Đầu vào: Toàn bộ thông tin rủi ro thu được từ các hoạt động quản lý rủi ro (xem Hình 2).
Hoạt động: Thông tin về rủi ro phải được truyền thông và/hoặc chia sẻ giữa người ra quyết định và
các bên liên quan khác.
Truyền thông rủi ro là một hoạt động nhằm đạt được sự nhất quán giữa các bên tham gia về việc làm thế nào để quản lý những rủi ro bằng việc truyền thông và/hoặc chia sẻ thông tin về rủi ro giữa người ra quyết định và các bên liên quan khác. Các thông tin này bao gồm, nhưng không bị giới hạn về tính tồn tại, tính tự nhiên, hình thức, khả năng xảy ra, mức độ nghiêm trọng, cách xử lý và khả năng chấp nhận rủi ro.
Truyền thông hiệu quả giữa các bên liên quan là quan trọng vì truyền thông có thể có một tác động quan trọng vào việc đưa ra các quyết định cần thiết. Truyền thông sẽ đảm bảo người chịu trách nhiệm của đã đưa ra triển khai quản lý rủi ro, và người có quyền lợi cá nhân sẽ hiểu được cơ sở của các quyết định và tại sao cần thiết phải có các hành động cụ thể. Truyền thông có tính hai chiều.
Nhận thức về rủi ro có thể thay đổi do sự khác nhau trong các giả thiết, khái niệm và nhu cầu, các vấn đề và các mối quan tâm của các bên có liên quan đến rủi ro hoặc các vấn đề đang được thảo luận. Các bên liên quan có thể quyết định chấp nhận rủi ro dựa vào nhận thức của họ về rủi ro. Điều này đặc biệt quan trọng để đảm bảo rằng nhận thức về rủi ro của các bên liên quan, cũng như nhận thức của họ về các lợi ích, có thể được nhận biết và được tài liệu hóa và những lý do cơ bản đã được hiểu và được giải quyết một cách rõ ràng.
Truyền thông rủi ro cần phải được tiến hành để đạt được những điều sau: • Cung cấp sự đảm bảo cho kết quả quản lý rủi ro của tổ chức • Thu thập thông tin về rủi ro
• Chia sẻ những kết quả từ hoạt động đánh giá rủi ro và đưa ra kế hoạch xử lý rủi ro
• Ngăn ngừa và giảm thiểu sự cố và hậu quả có thể xảy ra của việc vi phạm an toàn thông tin do sự thiếu hiểu biết lẫn nhau giữa người ra quyết định và các bên liên quan
• Hỗ trợ cho việc ra quyết định
• Thu được những hiểu biết mới về an toàn thông tin
• Phối hợp với các bên khác và lập kế hoạch đáp ứng kịp thời nhằm giảm thiểu các hậu quả từ bất kỳ sự cố nào
• Đưa ra ý thức trách nhiệm về rủi ro cho người ra quyết định và các bên liên quan • Nâng cao nhận thức
Một tổ chức cần phải phát triển các kế hoạch truyền thông rủi ro đối với các vận hành thông thường cũng như cho các trường hợp khẩn cấp. Vì vậy, hoạt động truyền thông rủi ro phải được thực hiện liên tục và thường xuyên.
Sự phối hợp giữa người ra quyết định chính với các bên liên quan có thể đạt được bằng cách thành lập một ủy ban để tranh luận về những rủi ro, thứ tự ưu tiên của chúng và cách xử lý thích hợp và việc chấp nhận có thể xảy ra.
Một điều quan trọng là phải hợp tác với đơn vị quan hệ công chúng hoặc với đơn vị truyền thông thích hợp trong phạm vi của tổ chức nhằm điều phối tất cả các nhiệm vụ liên quan đến truyền thông rủi ro. Điều này rất quan trọng trong hoạt động truyền thông về khủng hoảng, ví dụ như để đáp ứng với các sự cố cụ thể.
Đầu ra: Sự hiểu biết liên tục về quy trình và các kết quả của việc quản lý rủi ro an toàn thông tin của tổ
chức.