15323800465
1、所需活動
通過風險評估確定風險和機遇,以確保信息服務管理體系能夠實現其預期的結果,并持續改進。制定處理風險的風險管理方法,確定并策劃處理風險的措施。
2、說明
此項活動的目的是識別和解決信息服務管理體系中的風險和機遇。考慮4.1中確定的內部和外部因素以及4.2中描述的相關方的要求,以確定影響信息服務管理體系的風險和機遇。此評估的重點是:
a)識別可能影響信息服務管理體系成果實現的風險;
b)防止或減少這些風險對信息服務管理體系造成的不良影響;
c)為信息服務管理體系的持續改進提供輸入。
應確定各種風險和機遇,確定風險和機遇的有關因素如下:
a)組織本身,比如結構和文化,還有市場條件和競爭;
b)無法滿足服務要求的可能性,如由于自然條件造成的。供應鏈問題或財務問題;
c)其他相關方,如在外包情況下,供應商提供或經營(部分)服務。
這些風險的影響和可能性取決于它們與信息服務管理體系和客戶的關系。根據組織的風險接受標準,即組織風險的偏好,組織確定處理這些風險的方法。這個決定應根據規定,或者是根據環境的變化而做出的。風險接受的例子包括:得分低于可接受閾值的風險或得分高于閾值但被最高管理層接受的風險。信息服務管理體系內的風險管理應與組織的風險管理框架緊密結合,以確保對風險的一致定義和處理。
可能的風險處理措施包括:
a)通過采取措施規避風險,例如:只允許授權人員將軟件下載到公司所有的移動設備上;
b)考慮到機會的風險,如預期會產生積極影響,例如:當服務需求突然增加時,接受收入增加的積極影響;
c)通過消除風險源、改變風險發生的可能性或減少其影響來降低風險,例如:修補服務資產上的漏洞;
d)將風險轉移給愿意接受風險的另一方與之分擔風險,例如:當另一方管理構成風險的部分服務時;
e)通過評估風險的后果并確定其是可接受的風險;這是一個最高管理層的決定,應記錄下來以供將來參考。
風險也被視為服務連續性和信息安全過程的輸入。
注:ISO31000包含廣泛的風險管理一般框架,包括原則和處理方案。
3、其他信息
與風險相關的文件化信息可以包括風險管理方法和風險登記表。
最高管理層或其代表是對風險負責的主要角色。可以指定風險責任人領導風險管理過程。
如您想更詳細的了解ISO20000標準,需要ISO20000標準,請您網絡搜索航鑫認證,快人一步,成就管理者風范。
