用户投稿冲击準则:
为了充分了解所识别风险,组织应清楚地了解每个风险事件中明显的后果,这对于衡量这些风险事件、为风险评估其后果和可能性提供资讯至关重要,此过程还将有助于决定已识别风险的优先次序,并指导资源分配以减轻其影响。组织应针对每个已识别的风险考虑以下因素:
•风险最终可能产生的结果是什么?
•风险发生的时间和频率如何?
•可能影响的风险在哪里?
•谁可能会受到风险事件发生的影响?
•谁是风险事件的利害相关者?对他们有什么影响?
•什么催化剂可能导致风险事件?
•如何减轻风险的可能性?
•如何减轻风险事件的后果?
•该风险评估所依据的资讯有多可靠?
组织为冲击程度定义相关準则所应参考的相关面向如后:资讯资产的分类程度、破坏与违害资讯安全、营运上的受损、企业财务价值的损失、对计画和最后期限的破坏、声誉的危害、对法律法规或合约要求的违背。
风险接受準则:
组织参考第四章的全景分析后产出分析结果,分析结果通常带有风险期望目标级别的多项等级,提交给高层管理者接受的风险应该与其等级相对应,对不同类型的风险可以採用不同的风险接受準则,例如估算收益(或业务收益)与估算风险的比值。风险接受準则可以包括未来补偿措施要求并考量营运、业务準则、法律法规、技术、财务、社会等人为因素后,来决定整体风险可以接受的程度。
(二)确认範畴界线
规划风险管理之前依样要先行确认风险管理的界线,避免因範围太大造成无效的分析,也要避免侷限的範围影响整体资讯安全,这个範围是以风险的角度出发,所有在ISMS範围内的风险都要被分析及管理,要考虑的事项如下:
•企业的目标与组织策略、布局与政策
•业务过程
•组织的职能和结构
•适用于组织的法律法规和合约义务的要求
•组织的资讯安全方针
•组织风险管理的整体方法
•资讯资产
•组织的位置及其地理特性
•影响组织运作的因素
•利害关係者的期望
•社会文化环境
•资讯交换环境的介面
组织应该判断及检讨範围内的任何排除项目,并对排除理由提出说明,比较好的範例是:IT的应用、IT的基础设施、业务流程或者某个部门。
微信扫一扫打赏
支付宝扫一扫打赏
