4.3 发展战略和业务识别方法和工具

发展战略和业务识别既可通过访谈、文档查阅、资料调查，还可通过对信息系统进行梳理后总结整理进行补充。不论是发展战略识别还是业务识别，访谈的对象一般都是管理人员或者熟悉组织发展战略、整体业务和业务流程的人员。

4.3.1 发展战略识别方法和工具

组织的发展战略与其核心竞争力密不可分，而核心竞争力是保持组织持续竞争优势的源泉。因此，发展战略识别过程实际也是组织核心竞争力或核心能力识别的过程。组织经营管理者和风险管理工作组都必须能够正确识别它，以便就风险评估做出准确决策。但由于组织核心能力深植于组织产品技术生产流程、组织文化和制度之中，并与它们整体互动，这使得它们难以与组织中其他因素分离和度量，尤其分析鉴别它的细节或要素则更困难。如何选定一种科学识别方法一直是学术界关注的焦点，目前有代表性的识别方法如表4-4所示。

表4-4 发展战略识别方法

信息安全风险管理工作组在识别核心竞争力时需要区别资源和能力这两个概念。如果组织具有非常独特的价值资源，但是却没有将这一资源有效发挥，那么，组织所拥有的这一资源就无法为其创造出竞争优势。另外，当一个组织拥有竞争者所不具有的竞争能力时，那么，该组织并不一定要具有独特而有价值的资源才能建立起独特的竞争能力。

这些关于组织发展战略的识别方法各有特点，适合深入、细致分析组织的发展战略和核心竞争优势，辅助组织决策和战略规划。识别组织发展战略四个层面的内容既可以使用某一种方法，也可以组合使用多种方法。信息安全风险管理团队应根据自身实际情况选择合适的识别方法。识别出的属性和职能定位、业务规划、发展目标或竞争关系等内容共同组成了组织的发展战略。

4.3.2 业务识别方法和工具

业务识别的方法除了访谈、文档查阅、资料调查等手段，还可以采用关键成功因素法和价值分析法等，如表4-5所示。

表4-5 业务识别的方法