用户投稿条文6.1.3后面还要求必须要制定一个风险处理计画,条文本身并未叙述风险处理计画需要包含甚么。我们从前后条文来看,风险处理计画应该要有已选定的风险处理的做法、控制措施、执行情况、风险拥有者及预期降低风险的程度,以这种複杂程度建议还是用表格来分别叙述会比较清楚,因为组织可能会有多项的风险处理项目,举例来看如何订定风险处理计画:
某个组织允许员工将自己的笔记型电脑带入办公室进行作业,所以员工笔记型电脑上会储存公司的业务资讯。经过风险评估后,组织认为如果笔记型电脑遭窃取将会对组织业务资讯造成危害,这项风险已经超出组织可以接受的风险程度,因此决定订定风险处理计画。为了降低风险,组织可以採取的作法区分两项:
(一)降低可能性(发生机率)
组织订定相关资讯安全政策,将笔记型电脑内属于组织业务资讯的保管责任归属于员工,要求员工须对组织资产进行保护并负责,组织将定期检查业务资讯保存情况,使员工更能注意笔记型电脑的保管,降低失窃的机率。
(二)降低后果(冲击程度)
组织决定採取行动如下:
最初的风险评鉴资料如下:
执行上述风险处理计画后,预估的残余风险如下:
风险处理计画範例如下:
上面的範例只是将基本因素放进去考量,组织应发展适合的相关管控文件,以确认风险处置计画获得适切的执行与管控。
微信扫一扫打赏
支付宝扫一扫打赏
