15323800465
1、所需活動
通過風(fēng)險評估確定風(fēng)險和機遇,以確保信息服務(wù)管理體系能夠?qū)崿F(xiàn)其預(yù)期的結(jié)果,并持續(xù)改進。制定處理風(fēng)險的風(fēng)險管理方法,確定并策劃處理風(fēng)險的措施。
2、說明
此項活動的目的是識別和解決信息服務(wù)管理體系中的風(fēng)險和機遇。考慮4.1中確定的內(nèi)部和外部因素以及4.2中描述的相關(guān)方的要求,以確定影響信息服務(wù)管理體系的風(fēng)險和機遇。此評估的重點是:
a)識別可能影響信息服務(wù)管理體系成果實現(xiàn)的風(fēng)險;
b)防止或減少這些風(fēng)險對信息服務(wù)管理體系造成的不良影響;
c)為信息服務(wù)管理體系的持續(xù)改進提供輸入。
應(yīng)確定各種風(fēng)險和機遇,確定風(fēng)險和機遇的有關(guān)因素如下:
a)組織本身,比如結(jié)構(gòu)和文化,還有市場條件和競爭;
b)無法滿足服務(wù)要求的可能性,如由于自然條件造成的。供應(yīng)鏈問題或財務(wù)問題;
c)其他相關(guān)方,如在外包情況下,供應(yīng)商提供或經(jīng)營(部分)服務(wù)。
這些風(fēng)險的影響和可能性取決于它們與信息服務(wù)管理體系和客戶的關(guān)系。根據(jù)組織的風(fēng)險接受標(biāo)準(zhǔn),即組織風(fēng)險的偏好,組織確定處理這些風(fēng)險的方法。這個決定應(yīng)根據(jù)規(guī)定,或者是根據(jù)環(huán)境的變化而做出的。風(fēng)險接受的例子包括:得分低于可接受閾值的風(fēng)險或得分高于閾值但被最高管理層接受的風(fēng)險。信息服務(wù)管理體系內(nèi)的風(fēng)險管理應(yīng)與組織的風(fēng)險管理框架緊密結(jié)合,以確保對風(fēng)險的一致定義和處理。
可能的風(fēng)險處理措施包括:
a)通過采取措施規(guī)避風(fēng)險,例如:只允許授權(quán)人員將軟件下載到公司所有的移動設(shè)備上;
b)考慮到機會的風(fēng)險,如預(yù)期會產(chǎn)生積極影響,例如:當(dāng)服務(wù)需求突然增加時,接受收入增加的積極影響;
c)通過消除風(fēng)險源、改變風(fēng)險發(fā)生的可能性或減少其影響來降低風(fēng)險,例如:修補服務(wù)資產(chǎn)上的漏洞;
d)將風(fēng)險轉(zhuǎn)移給愿意接受風(fēng)險的另一方與之分擔(dān)風(fēng)險,例如:當(dāng)另一方管理構(gòu)成風(fēng)險的部分服務(wù)時;
e)通過評估風(fēng)險的后果并確定其是可接受的風(fēng)險;這是一個最高管理層的決定,應(yīng)記錄下來以供將來參考。
風(fēng)險也被視為服務(wù)連續(xù)性和信息安全過程的輸入。
注:ISO31000包含廣泛的風(fēng)險管理一般框架,包括原則和處理方案。
3、其他信息
與風(fēng)險相關(guān)的文件化信息可以包括風(fēng)險管理方法和風(fēng)險登記表。
最高管理層或其代表是對風(fēng)險負(fù)責(zé)的主要角色。可以指定風(fēng)險責(zé)任人領(lǐng)導(dǎo)風(fēng)險管理過程。
如您想更詳細(xì)的了解ISO20000標(biāo)準(zhǔn),需要ISO20000標(biāo)準(zhǔn),請您網(wǎng)絡(luò)搜索航鑫認(rèn)證,快人一步,成就管理者風(fēng)范。
