用户投稿四、风险处理
根据事件情景之风险评估标準排定优先顺序的风险列表,选择风险控制以降低、保持、迴避或转移风险并确定风险处理计划,最后提交风险处置计画和残余风险给组织管理者以进行风险接受决策,下图是典型风险处理的过程:
根据上面的流程,首先必须确认前面风险评估的结果是否符合组织的要求,如果评估结果令人不满意,可能要重新执行风险评鉴作业;如果没有问题就要选择风险处置的方式,区分为以下四种:
(一)风险降低
透过选择控制措施,风险级别应该被降低,使之可以进行残余风险的再评估并决定是否可被接受。组织需要选择适当和合理的控制措施,权衡控制措施的获得、实施、管理、运作、监视和维护的成本与被保护资产的价值,并注意控制措施选择的限制条件。ISO 27001附录A提供有关控制措施的具体资讯,组织应适当地挑选并执行这些控制措施,例如前面的清单中有关伺服器被骇客利用漏洞入侵,所对应的控制措施为A.12.6.1 技术脆弱性的管理,执行本项控制措施以定期进行脆弱性的管理、定期更新系统,确保伺服器维持最新的状态,并配合防火墙设定等,来降低骇客利用漏洞入侵的风险。
(二)风险保持
根据风险评估,决定不採取进一步的活动而保持风险,如果风险等级满足风险接受準则,则不需要实施额外的控制措施,这与ISO/IEC 27001中「在明显满足组织方针策略和接受风险準则的条件下,有意识地接受可能的风险」所表达的意思相同,表示组织决定接受这些风险、不採取任何的行动,在表五、风险接受準则範例的矩阵图中,组织可以设定本次风险评鉴作业可接受的风险值。以表五为例,风险等级从0到8,设定可接受风险值为6,6以下均不处理,高于6就要订定风险处理计画。
(三)风险迴避
当所识别的风险,其控制措施成本太高,已超过资讯资产价值或组织愿意付出的水平时,则採取规避可能导致特定风险之活动或条件的作法。比如对于来自自然灾害的风险,组织选择将资讯处理设施实体转移到没有风险或风险受控的位置,可能是最符合成本经济效益的选择,例如:机房设置于地下室,并曾有淹水的纪录,所以组织决定搬迁机房至不容易淹水的楼层。
(四)风险转移
根据风险评估结果,对于特定风险最有效的管理,可能是将风险转移给其他方。採取此种方式须考量涉及与外部分担风险的决策、会不会产生新的风险或改变现有的及已识别的风险,例如:可以通过保险来分担后果(资安险),或者将制止攻击的职责委外给合作伙伴(ISP阻挡服务),但必须注意的是有些风险是无法转移的,例如:法律责任、负面影响,举例来说:如果採用云端服务储存企业所保有的个人资料,如果有外洩的情况发生,法律责任还是由企业来负责,对企业声誉上的损害也是相同的,无法转移到云端服务的提供者身上。
微信扫一扫打赏
支付宝扫一扫打赏
