Post by account_disabled on Nov 27, 2023 7:22:38 GMT
不同规模和类型的组织面临着内部和外部的影响,这些影响可能使他们不确定是否能够实现其目标。这种不确定性对公司目标的影响称为“风险”。为了有效解决这个问题,风险管理领域有两项国际标准脱颖而出,这两项标准都为开展活动提供了重要信息。
第一个是 ISO 31000。该规范预计将于今年 10 月推出,将作为每项风险管理标准的主标准。由于其一般背景,它为风险管理的任何领域(即金融、工程、安全等)提供了总体指南。尽管大多数组织已经制定了一套明确的风险管理方法,但这一新标准定义了一系列必须遵循的原则,以确保 风险管理的有效性。它建议公司应不断开发、实施和改进一个框架,其目标是整合与 治理、战略和规划以及管理、数据和结果报告、政策、价值观和文化相关的风险管理流程贯穿整个组织。
另一个是 ISO 27005。该标准自 2008 年起成为 ISO 27000 的一 行业电邮清单 部分,建立了专门针对信息安全风险管理的风险管理最佳实践,特别是在遵守信息安全管理体系 (ISMS) 的要求方面,按照规定通过 ABNT NBR ISO/IEC 27001。它规定,应根据组织的特点来定义风险管理最佳实践,并考虑其 ISMS 的范围、风险管理背景及其行业。根据本标准中描述的用于实现 ISMS 要求的框架,可以使用几种不同的方法,并且可以在文件的附录中介绍与信息安全相关的不同风险管理方法。
ISO 31000 风险管理最佳实践
尽管 ISO 31000 更全面地描述了管理流程,并且具有不同的术语和表达方式,但这两个标准都以类似的方式处理风险管理流程。
根据 ISO 31000,组织通常通过识别、分析风险来确定背景并管理风险,然后评估是否应通过战略方法修改风险以符合其风险标准。在整个过程中,这些组织必须与利益相关者进行沟通和协商,同时严格监控和分析风险和修改风险的控制措施,以确保不需要额外的风险管理方法(参见图1中的流程)。
ISO 27005 风险管理最佳实践
对于 ISO 27005,与信息安全相关的风险管理应定义背景、评估风险并通过计划解决这些风险,以便实施建议和决策。风险管理在决定做什么和何时做之前分析潜在事件及其后果,从而将风险降低到可接受的水平。此外,该标准还包括有关风险分析和处理的决策(如图 2 中的两个决策点所示),因为风险接受活动将确保公司管理层明确接受剩余风险。这在由于成本等原因而省略或推迟控制实施的情况下尤其重要。
尽管风险管理最佳实践已经随着时间的推移而发展起来,以便通过使用不同的方法来满足许多领域和行业的特定需求,但在总体结构中采用一致的流程可能有助于确保风险得到高效、有效和一致的管理整个组织。 ISO 31000 是母标准,它提供了在任何范围和背景下以系统、透明和可靠的方式管理任何类型风险的总体指南和原则;而 ISO270005 是专门标准,通过提供管理与信息安全相关的风险的最佳实践来补充父标准。