ISO20000-應(yīng)對風險和機遇的措施
發(fā)布時間:2020-06-07 作者:廣匯聯(lián)合 來源:廣匯聯(lián)合
1、所需活動
通過風險評估確定風險和機遇,以確保信息服務(wù)管理體系能夠?qū)崿F(xiàn)其預(yù)期的結(jié)果,并持續(xù)改進。制定處理風險的風險管理方法,確定并策劃處理風險的措施。
2、說明
此項活動的目的是識別和解決信息服務(wù)管理體系中的風險和機遇??紤]4.1中確定的內(nèi)部和外部因素以及4.2中描述的相關(guān)方的要求,以確定影響信息服務(wù)管理體系的風險和機遇。此評估的重點是:
a) 識別可能影響信息服務(wù)管理體系成果實現(xiàn)的風險;
b) 防止或減少這些風險對信息服務(wù)管理體系造成的不良影響;
c) 為信息服務(wù)管理體系的持續(xù)改進提供輸入。
應(yīng)確定各種風險和機遇,確定風險和機遇的有關(guān)因素如下:
a)組織本身,比如結(jié)構(gòu)和文化,還有市場條件和競爭;
b)無法滿足服務(wù)要求的可能性,如由于自然條件造成的。供應(yīng)鏈問題或財務(wù)問題;
c)其他相關(guān)方,如在外包情況下,供應(yīng)商提供或經(jīng)營(部分)服務(wù)。
這些風險的影響和可能性取決于它們與信息服務(wù)管理體系和客戶的關(guān)系。根據(jù)組織的風險接受標準,即組織風險的偏好,組織確定處理這些風險的方法。這個決定應(yīng)根據(jù)規(guī)定,或者是根據(jù)環(huán)境的變化而做出的。風險接受的例子包括:得分低于可接受閾值的風險或得分高于閾值但被最高管理層接受的風險。信息服務(wù)管理體系內(nèi)的風險管理應(yīng)與組織的風險管理框架緊密結(jié)合,以確保對風險的一致定義和處理。
可能的風險處理措施包括:
a) 通過采取措施規(guī)避風險,例如:只允許授權(quán)人員將軟件下載到公司所有的移動設(shè)備上;
b) 考慮到機會的風險,如預(yù)期會產(chǎn)生積極影響,例如:當服務(wù)需求突然增加時,接受收入增加的積極影響;
c) 通過消除風險源、改變風險發(fā)生的可能性或減少其影響來降低風險,例如:修補服務(wù)資產(chǎn)上的漏洞;
d) 將風險轉(zhuǎn)移給愿意接受風險的另一方與之分擔風險,例如:當另一方管理構(gòu)成風險的部分服務(wù)時;
e) 通過評估風險的后果并確定其是可接受的風險;這是一個最高管理層的決定,應(yīng)記錄下來以供將來參考。
風險也被視為服務(wù)連續(xù)性和信息安全過程的輸入。
注:ISO 31000包含廣泛的風險管理一般框架,包括原則和處理方案。
3、其他信息
與風險相關(guān)的文件化信息可以包括風險管理方法和風險登記表。
最高管理層或其代表是對風險負責的主要角色??梢灾付L險責任人領(lǐng)導(dǎo)風險管理過程。