5.2 背景建立過程

背景建立的過程包括風險管理準備、信息系統調查、信息系統分析和信息安全分析四個階段。在信息安全風險管理過程中，背景建立過程是一次信息安全風險管理主循環的起始，為風險評估提供輸入，監控審查和溝通咨詢貫穿其四個階段，如圖3所示。

5.2.1　風險管理準備

1、過程

2、說明

如圖4所示，風險管理準備階段的工作過程和內容如下：

1）確定風險管理對象。依據機構的使命，并遵循國家、地區或行業的相關政策、法律、法規和標準的規定，確定將要實施風險管理的對象。

2）組建風險管理團隊。組建風險管理團隊，確定團隊成員、組織結構、角色、責任等內容。

3）制定風險管理計劃。制定風險管理的實施計劃，包括風險管理的目的、意義、范圍、目標、組織結構、實施方案、經費預算和進度安排等，形成風險管理計劃書。

4）獲得支持。上述所有內容確定后，風險管理計劃書應得到組織最高管理者的支持和批準；對管理層和技術人員進行傳達，在組織范圍就風險管理相關內容進行培訓，以明確有關人員在風險管理中的任務。

5.2.2　信息系統調查

2、說明

如圖5所示，信息系統調查階段的工作過程和內容如下：

1）調查信息系統的業務目標。了解機構的使命，包括戰略背景和戰略目標等，從中明確支持機構完成其使命的信息系統的業務目標。

2）調查信息系統的業務特性。了解機構的業務，包括業務內容和業務流程等，從中明確支持機構業務運營的信息系統的業務特性。

3）調查信息系統的管理特性。了解機構的組織結構和管理制度，包括崗位設置、責任分配、規章制度、操作規程和人事管理等，從中明確支持機構業務運營的信息系統的管理特性。

4）調查信息系統的技術特性。了解信息系統的技術平臺，包括物理平臺、系統平臺、通信平臺、網絡平臺和應用平臺，從中明確支持業務運營的信息系統的技術特性。

5）匯總上述調查結果，形成信息系統的描述報告，其中包含信息系統的業務目標、業務特性、管理特性和技術特性等方面的內容。

信息系統的調查方式包括問卷回答、人員訪談、現場考察、輔助工具等多種形式，可以根據實際情況靈活采用和結合使用。

5.2.3　信息系統分析

1、過程

2、說明

如圖6所示，信息系統分析階段的工作過程和內容如下：

1）分析信息系統的體系結構。依據信息系統的描述報告，對信息系統的功能體系、數據體系、網絡體系、運營體系和管理體系等方面進行分析，明確它們的內部結構和外部關系。

2）分析信息系統的關鍵要素。依據信息系統的描述報告和上述體系結構的分析結果，找出信息系統中對機構使命具有關鍵和重要作用的部分，列出清單。

3）匯總上述分析結果，形成信息系統的分析報告，其中包含信息系統的體系結構和關鍵要素等方面的內容。

5.2.4　信息安全分析

1、過程

2、說明
如圖7所示，信息安全分析階段的工作過程和內容如下：
1）分析信息系統的安全環境。依據國家、地區或行業的相關政策、法律、法規和標準，考慮合作伙伴的合同要求，對信息系統的安全保障環境進行分析，明確環境因素對信息系統安全方面的影響和要求。
2）分析信息系統的安全要求。依據信息系統的描述報告和信息系統的分析報告，結合上述安全環境的分析結果，分析和提出對信息系統的安全要求，包括保護范圍和保護等級等。
3）匯總上述分析結果，形成信息系統的安全要求報告，其中包含信息系統的安全環境和安全要求等方面的內容。