-ISO 31000

在風險管理社區中，人們普遍認為無法消除風險，並且“沒有風險”是不可能的，因為我們可以管理已識別的風險（已知未知數-known unknowns），但是無法管理意外事件（未知未知數-unknown unknowns）。但是，高級管理層和董事會更傾向於“毫不意外”並且將“沒有風險”作為最終目標並不罕見。在這種情況下，需要意識，培訓和溝通。

上下文，利益相關者和標準(Context, Stakeholders, and Criteria)
“零風險(zero risks)”策略是不現實的。應將風險偏好或“組織準備追求，保留或承擔的風險的數量和類型”告知CISO。邀請高層管理團隊和董事會的反饋可以確定風險承受能力。然後可以進一步定義可接受的殘留風險級別。

明智的決定(Informed Decisions)
明智的決定是必要的。在信息不足（例如風險偏好）不足的情況下批准或拒絕該策略不是一個好習慣。批准策略後，將發布用於啟動信息安全程序的程序策略。

風險偏好(Risk Appetite)
風險承受能力是組織在為降低風險而必須採取的行動之前，為實現其目標而準備接受的風險水平。它代表了創新的潛在利益與不可避免地帶來的威脅之間的平衡。ISO 31000風險管理標準將風險偏好稱為“組織準備追求，保留或承擔的風險的數量和類型”。此概念有助於指導組織的風險管理方法。
資料來源：維基百科

參考
. 風險偏好

資料來源： Wentz Wu QOTD-20201215