10.1 溝通咨詢概述

10.1.1　溝通咨詢的概念

溝通咨詢為信息安全風險管理主循環的四個步驟（即背景建立、風險評估、風險處理和批準監督）中相關人員提供溝通和咨詢。溝通是為直接參與人員提供交流途徑，以保持參與人員之間的協調一致，共同實現安全目標。咨詢是為所有相關人員提供學習途徑，以提高風險意識、知識和技能，配合實現安全目標。

10.1.2　溝通咨詢的意義

為保證信息安全風險管理活動順利和有效地進行，相關人員行動的協調和一致以及相關知識和技能的熟練掌握是十分關鍵的因素。通過暢通的交流和充分的溝通，保持行動的協調和一致；通過有效的培訓和方便的咨詢，保證行動者具有足夠的知識和技能，就是溝通咨詢的意義所在。

10.1.3　溝通咨詢的目標

溝通咨詢包括以下方面和目標：
1、面向參與人員的溝通
1）與決策層溝通，以得到理解和批準。
2）與管理層和執行層溝通，以得到理解和協作。
3）與支持層溝通，以得到了解和支持。
4）與用戶層溝通，以得到了解和配合。
2、面向相關人員的咨詢

10.1.4　溝通咨詢的方式

溝通咨詢的雙方角色不同，所采取的方式有所不同。有關信息安全風險管理相關人員的角色和責任的劃分參見表1。表11給出了不同層面人員之間溝通咨詢的方式。

溝通咨詢的各種方式說明如下：
1、指導和檢查指機構上級對下級工作的指導和檢查，用以保證工作質量和效率，適用于決策層對管理層、決策層對執行層和管理層對執行層。
2、表態指機構高層支持信息安全風險管理的對外表態，用以得到外界認同和支持，適用于決策層對支持層和決策層對用戶層。
3、匯報指機構下級對上級做工作匯報，用以得到上級認可，適用于管理層對決策層、執行層對決策層和執行層對管理層。
4、宣傳和介紹指機構的信息系統和信息安全風險管理的對外宣傳和介紹，用以得到外界支持和配合，適用于管理層對支持層、管理層對用戶層和執行層對支持層。
5、培訓和咨詢指專業人員對信息安全風險管理相關人員的培訓和咨詢，用以提高人員的安全意識、知識和技能，適用于執行層對用戶層、支持層對決策層、支持層對管理層和支持層對執行層。
6、反饋指機構信息系統使用者對機構信息安全風險管理的意見反饋，用以了解實施效果和用戶需求，適用于用戶層對決策層、用戶層對管理層、用戶層對執行層和用戶層對支持層。
7、交流指同級或同行之間的對等交流，用以共享信息和協調工作，適用于決策層對決策層、管理層對管理層、執行層對執行層、支持層對支持層和用戶層對用戶層。