性色av无码不卡中文字幕,中文字幕精品久久久久人妻红杏1,亚洲AV永久无无码精品一区二区三区 ,亚洲国产精品日韩AV不卡在线

 

風(fēng)險管理中的風(fēng)險場景

 趙立軍 2024-10-28 

概述

風(fēng)險管理中的風(fēng)險場景

2022年10月,國際標(biāo)準(zhǔn)化組織ISO發(fā)布了ISO/IEC 27005:2022《信息安全 網(wǎng)絡(luò)安全和隱私保護(hù) 信息安全風(fēng)險管理指南》。該標(biāo)準(zhǔn)中,增加了一個新的術(shù)語:“風(fēng)險場景(risk scenario)”,并且在后續(xù)的條款中多次引用。那么,什么是風(fēng)險場景?為什么新增風(fēng)險場景?風(fēng)險場景如何編寫?本文就這些問題對風(fēng)險管理中的風(fēng)險場景談?wù)劰P者個人的看法。


01  風(fēng)險場景的定義和使用

在風(fēng)險管理中,風(fēng)險場景是指可能發(fā)生并影響企業(yè)實現(xiàn)其經(jīng)營目標(biāo)的一系列事件或情況。這些場景通常涉及不確定性,并且可能導(dǎo)致正面或負(fù)面的影響。風(fēng)險場景的概念出現(xiàn)在很多風(fēng)險框架中。例如,國際信息系統(tǒng)審計協(xié)會(ISACA)的風(fēng)險IT [1]、美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)風(fēng)險管理框架RMF[2]、美國反虛假財務(wù)報告委員會下屬發(fā)起人委員會(COSO)、企業(yè)風(fēng)險管理ERM等,都涉及到風(fēng)險場景。ISO/IEC 27005將風(fēng)險情景定義為“由最初的起因?qū)е虏黄谕蠊氖聭B(tài)序列或組合”。從定義可以看出,風(fēng)險場景由起因和事態(tài)兩部分構(gòu)成。風(fēng)險場景定義之后,ISO ISO/IEC 27005分別在“信息安全管理循環(huán)”、“風(fēng)險識別“、“信息安全風(fēng)險分析”、“選擇適合的信息安全風(fēng)險處置選項”、“監(jiān)視和評審”和附錄中均使用了風(fēng)險場景的概念,特別是附錄中添加了大量對風(fēng)險場景的描述??梢?,對于ISO/IEC 27005風(fēng)險場景的理解非常重要。只有正確、全面理解風(fēng)險場景,才能對新版的ISO/IEC 27005有更為清晰的認(rèn)識,更好地指導(dǎo)風(fēng)險管理工作的開展。

02  風(fēng)險場景的目的

通常,在風(fēng)險框架中,風(fēng)險場景的目的一是幫助決策者理解不利事件是如何影響組織戰(zhàn)略目標(biāo)的。二是構(gòu)建風(fēng)險場景,為進(jìn)行下一步的風(fēng)險評估提供輸入。在ISO/IEC 27005標(biāo)準(zhǔn)中,風(fēng)險場景與風(fēng)險評估和風(fēng)險處置密切相關(guān)。風(fēng)險場景必須清晰定義哪些因素會導(dǎo)致不利事件頻繁發(fā)生以及產(chǎn)生后產(chǎn)生的嚴(yán)重后果,并對這些因素進(jìn)行分解。

03  風(fēng)險場景的編寫

風(fēng)險場景對風(fēng)險評估和風(fēng)險處置非常重要,必須對風(fēng)險場景進(jìn)行編寫或表述。風(fēng)險場景的編寫通常用敘述性的語言,有多種不同的格式,例如:

(1)國際信息系統(tǒng)審計協(xié)會(ISACA)使用的風(fēng)險場景編寫格式:由[原因]引起的[對目標(biāo)有影響的事件]導(dǎo)致了[后果]
(2)OpenFAIR(The Open Group, 領(lǐng)導(dǎo)廠商中立的開放的技術(shù)標(biāo)準(zhǔn)和認(rèn)證的開發(fā))使用的風(fēng)險場景編寫格式是:[威脅發(fā)起者]通過(可選)[方法]對[資產(chǎn)]造成了[影響]

兩種場景編寫格式大同小異,但都覆蓋了ISO/IEC 27005中所描述的起因和事態(tài)兩部分內(nèi)容。

在ISO/IEC 27005中,風(fēng)險識別提出了兩種方法,即基于資產(chǎn)的方法和基于事態(tài)的方法,這兩種方法都可以形成風(fēng)險場景??梢钥紤]采用下圖來描述風(fēng)險場景,由五個部分組成:發(fā)起人、威脅類型、事態(tài)、資產(chǎn)/資源和時間。
風(fēng)險場景描述

在ISO/IEC 27005中引入風(fēng)險場景的概念,為組織和相關(guān)方理解是什么原因?qū)е铝孙L(fēng)險的發(fā)生,如何在組織內(nèi)外部環(huán)境不斷變化中開展風(fēng)險管理,起到積極、基礎(chǔ)和重要的作用。

參考文獻(xiàn)
[1] https://www.isaca.org/resources/it-risk
[2]https://csrc.nist.gov/projects/risk-management/about-rmf
[3] https://www.coso.org/pages/erm.aspx


——CISAW 風(fēng)險管理認(rèn)證方向——

信息安全保障人員認(rèn)證(CISAW)風(fēng)險管理方向是中國網(wǎng)絡(luò)安全審查認(rèn)證和市場監(jiān)管大數(shù)據(jù)中心針對網(wǎng)絡(luò)與信息安全風(fēng)險管理領(lǐng)域的中高級專業(yè)技術(shù)人員和管理人員開展的人員能力認(rèn)證。通過風(fēng)險管理方向認(rèn)證,證明持證人員滿足《信息安全保障人員認(rèn)證準(zhǔn)則》的要求,具備網(wǎng)絡(luò)與信息安全風(fēng)險管理領(lǐng)域的專業(yè)知識和技能。CISAW風(fēng)險管理方向綜合考查認(rèn)證申請人員在網(wǎng)絡(luò)與信息安全風(fēng)險管理領(lǐng)域?qū)︼L(fēng)險管理標(biāo)準(zhǔn)、風(fēng)險管理原則、框架和過程(包括環(huán)境建立、風(fēng)險識別、風(fēng)險分析、風(fēng)險評價和風(fēng)險處置)等知識的掌握程度,運用風(fēng)險管理方法解決實際問題的技術(shù)水平。
風(fēng)險場景風(fēng)險管理

上一篇: 企業(yè)開展個人信息保護(hù)合規(guī)審計的必要性

下一篇: 最后一頁

 證書咨詢

 電話咨詢  在線咨詢  預(yù)約報名