ISO27001認(rèn)證
熱線:
Q Q:ISO20000-應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇的措施
發(fā)布時(shí)間:2020-06-07 作者:廣匯聯(lián)合 來(lái)源:廣匯聯(lián)合
1、所需活動(dòng)
通過(guò)風(fēng)險(xiǎn)評(píng)估確定風(fēng)險(xiǎn)和機(jī)遇,以確保信息服務(wù)管理體系能夠?qū)崿F(xiàn)其預(yù)期的結(jié)果,并持續(xù)改進(jìn)。制定處理風(fēng)險(xiǎn)的風(fēng)險(xiǎn)管理方法,確定并策劃處理風(fēng)險(xiǎn)的措施。
2、說(shuō)明
此項(xiàng)活動(dòng)的目的是識(shí)別和解決信息服務(wù)管理體系中的風(fēng)險(xiǎn)和機(jī)遇??紤]4.1中確定的內(nèi)部和外部因素以及4.2中描述的相關(guān)方的要求,以確定影響信息服務(wù)管理體系的風(fēng)險(xiǎn)和機(jī)遇。此評(píng)估的重點(diǎn)是:
a) 識(shí)別可能影響信息服務(wù)管理體系成果實(shí)現(xiàn)的風(fēng)險(xiǎn);
b) 防止或減少這些風(fēng)險(xiǎn)對(duì)信息服務(wù)管理體系造成的不良影響;
c) 為信息服務(wù)管理體系的持續(xù)改進(jìn)提供輸入。
應(yīng)確定各種風(fēng)險(xiǎn)和機(jī)遇,確定風(fēng)險(xiǎn)和機(jī)遇的有關(guān)因素如下:
a)組織本身,比如結(jié)構(gòu)和文化,還有市場(chǎng)條件和競(jìng)爭(zhēng);
b)無(wú)法滿足服務(wù)要求的可能性,如由于自然條件造成的。供應(yīng)鏈問(wèn)題或財(cái)務(wù)問(wèn)題;
c)其他相關(guān)方,如在外包情況下,供應(yīng)商提供或經(jīng)營(yíng)(部分)服務(wù)。
這些風(fēng)險(xiǎn)的影響和可能性取決于它們與信息服務(wù)管理體系和客戶的關(guān)系。根據(jù)組織的風(fēng)險(xiǎn)接受標(biāo)準(zhǔn),即組織風(fēng)險(xiǎn)的偏好,組織確定處理這些風(fēng)險(xiǎn)的方法。這個(gè)決定應(yīng)根據(jù)規(guī)定,或者是根據(jù)環(huán)境的變化而做出的。風(fēng)險(xiǎn)接受的例子包括:得分低于可接受閾值的風(fēng)險(xiǎn)或得分高于閾值但被最高管理層接受的風(fēng)險(xiǎn)。信息服務(wù)管理體系內(nèi)的風(fēng)險(xiǎn)管理應(yīng)與組織的風(fēng)險(xiǎn)管理框架緊密結(jié)合,以確保對(duì)風(fēng)險(xiǎn)的一致定義和處理。
可能的風(fēng)險(xiǎn)處理措施包括:
a) 通過(guò)采取措施規(guī)避風(fēng)險(xiǎn),例如:只允許授權(quán)人員將軟件下載到公司所有的移動(dòng)設(shè)備上;
b) 考慮到機(jī)會(huì)的風(fēng)險(xiǎn),如預(yù)期會(huì)產(chǎn)生積極影響,例如:當(dāng)服務(wù)需求突然增加時(shí),接受收入增加的積極影響;
c) 通過(guò)消除風(fēng)險(xiǎn)源、改變風(fēng)險(xiǎn)發(fā)生的可能性或減少其影響來(lái)降低風(fēng)險(xiǎn),例如:修補(bǔ)服務(wù)資產(chǎn)上的漏洞;
d) 將風(fēng)險(xiǎn)轉(zhuǎn)移給愿意接受風(fēng)險(xiǎn)的另一方與之分擔(dān)風(fēng)險(xiǎn),例如:當(dāng)另一方管理構(gòu)成風(fēng)險(xiǎn)的部分服務(wù)時(shí);
e) 通過(guò)評(píng)估風(fēng)險(xiǎn)的后果并確定其是可接受的風(fēng)險(xiǎn);這是一個(gè)最高管理層的決定,應(yīng)記錄下來(lái)以供將來(lái)參考。
風(fēng)險(xiǎn)也被視為服務(wù)連續(xù)性和信息安全過(guò)程的輸入。
注:ISO 31000包含廣泛的風(fēng)險(xiǎn)管理一般框架,包括原則和處理方案。
3、其他信息
與風(fēng)險(xiǎn)相關(guān)的文件化信息可以包括風(fēng)險(xiǎn)管理方法和風(fēng)險(xiǎn)登記表。
最高管理層或其代表是對(duì)風(fēng)險(xiǎn)負(fù)責(zé)的主要角色。可以指定風(fēng)險(xiǎn)責(zé)任人領(lǐng)導(dǎo)風(fēng)險(xiǎn)管理過(guò)程。
