组织如何控制、指导和交流其网络安全风险管理活动。

　　什么是安全治理？

　　安全管理是通过控制和指挥组织的安全方法。如果做得好，安全治理将有效地协调组织的安全活动，支持围绕组织进行安全信息和决策的流动。

　　正如安全是组织内每个人的责任一样，安全决策可以发生在所有级别。为实现这一目标，组织的高层领导应使用安全治理来规定他们准备让员工承担哪些安全风险，以及他们不准备承担哪些安全风险。

　　哪种安全治理方法适合我？

　　首先，需要明确一点就是没有“一刀切”的安全治理方法。不同组织最终采用的方法会有所不同。在一种极端情况下，可以选择具有明确定义的角色和业务流程的正式安全框架。另一方面，可以选择更非正式的方法来指导、控制和制定安全决策。

　　回答以下问题将帮助组织决定正式方法：

　　组织规模和复杂程度如何？

　　哪些资源可用于安全治理？

　　组织是做什么的，安全对于这些目标有多重要？

　　是否有任何外部考虑因素（例如合同、法律、监管或部门特定要求）？

　　实际上，正确的方法意味着确定：

　　需要做出的安全决策

　　制造它们的人

　　做出明智和明智的选择所需的信息

　　图片

　　安全治理的好方法是什么样的？

　　无论正式程度如何，善治都应该：

　　将安全活动与组织的目标和优先事项明确联系起来

　　确定负责制定安全决策的各个级别的个人并授权他们这样做

　　确保对决策负责

　　确保向决策者提供有关其选择影响的反馈

　　任何安全治理方法都应该适合组织更广泛的治理方法。安全需要与其他业务优先事项一起考虑，例如健康和安全或财务治理。

　　确定适合组织的方法

　　应该考虑组织面临的问题并决定适合的方法，因为采用安全治理流程本身并不能实现良好的安全性。治理行为不应与良好安全性的日常运营和维护分开。

　　例如，高层领导仅仅声明“安全风险是不可接受的”是不够的。这样做将迫使员工仅根据个人知识和经验承担风险，而没有充分考虑组织的优先事项。