iT邦幫忙

第 11 屆 iThome 鐵人賽

DAY 17
0
Security

打雜小弟的公務機關法遵面面觀(資訊彙整+彙整+筆記)系列 第 17

Day17:風險管理-掩耳盜鈴行不行

在法遵的場子寫風險管理合適嗎?
當然...合適啊^^
風險管理在講的就是找出所有可能帶來衝擊的因子,

風險管理知多少?

迷思1:所有風險都是壞事。風險是潛在的問題,且如果他們發生了我們就有麻煩了。
解謎:風險同時包括威脅與機會,且兩者都需要主動管理,機會能節省時間或金錢、增強性能、並有助於我們達成目標。

迷思2:風險管理浪費時間。大部分的風險是在我們的控制之外,而且他們是不可能事前處置的,反而我們應該在任何問題發生後再處理它。
解謎:如果我們能有效處置風險,我們將不會有那麼多的問題需要應付!

迷思3:我們不知道的事情不會傷害我們。也許我們很幸運風險沒有影響我們,無知是有福的!
解謎:風險會傷害我們、我們的事業、或我們的專案,有機會規避的問題將會發生、且本可來可掌握的效益將會消失,>不知道風險的代價很昂貴。

迷思4:風險經理管理風險。我們不需要管理風險-我們有一個風險經理在。
解謎:每個團隊成員都是一個「風險經理」,要負責應付其領域內有影響的風險,風險經理應該協助風險流程進行並確保其有效。

迷思5:所有風險都可以且應該被規避。我們應極其所能確保風險無法發生,不論需投入多少成本或精神。
解謎:不是所有的威脅都可規避掉,有時候規避太貴或太耗時,所以需要有其他的策略,如移轉、減輕、或承擔。

迷思6:我們的事業與專案是沒有風險的。沒有風險是成功的訊號,風險出現時,需要儘快地將其移除。
解謎:風險是內建在所有企業及專案內的、且連結著報酬,正如同我們承擔風險以創造價值。

迷思7:風險管理需要數字。只有量化風險分析才能反應出真正的風險暴露程度。
解謎:量化風險分析是威力強大,但通常不符合成本效益,有許多風險也不易量化,因此質化方法總是需要的。

迷思8:風險已包括在現有流程中了。我們有處理所有例行性風險的流程,所以我們不須進行風險管理。
解謎:對我們未曾經歷過的風險要怎麼辦呢?風險流程應該要辨識新的風險、評估其嚴重性、並發展針對性的回應。

迷思9:弱者才需要應變準備。管理強者會達成所有目標,不需要額外的時間或金錢準備給永遠不會發生的事情。
解謎:沒有人可以預見未來,對已知的風險編列風險預算並對無法預見的風險建立應變準備是一種智慧的象徵而非軟弱。

迷思10:風險管理是無效的。我們辨識出的風險從來不會發生,採取了回應卻不會有任何改變,因此我們放棄。
解謎:也許是我們遺漏了真正的風險、採取了無效的回應、或是沒有執行已核定的行動。適切的執行、風險管理總是有效的。


上一篇
Day16:安全的比較級
下一篇
Day18:導入ISMS之前,先了解為什麼要導ISMS~
系列文
打雜小弟的公務機關法遵面面觀(資訊彙整+彙整+筆記)30

1 則留言

0
CyberSerge
iT邦好手 1 級 ‧ 2019-10-06 01:01:16

通常爭議性應該是在評定風險的標準,試著量化風險的過程中,顧問和主管MIS團隊各執一詞。要好好溝通

Doraemon iT邦新手 4 級 ‧ 2019-10-08 23:44:13 檢舉

心有戚戚焉
工作上常遇到有人抱怨資安人員很多事害他們多了好多工作
其實是契約有規範平常沒在做
等到有一天要受稽前才來抱怨
背後真正的問題就是資安未落實

資安人員很多事害他們多了好多工作

我們幫忙製造工作機會耶^^

我要留言

立即登入留言