iT邦幫忙

2021 iThome 鐵人賽

DAY 12
0
Security

資訊安全制度建立與驗證系列 第 12

殘餘風險與未識別風險

  • 分享至 

  • xImage
  •  

風險管理原則

  1. 高風險原則優先處理,多項低風險疊加可能產生新的高風險,須彙整歸納並定期追蹤。
  2. 風險管理沒有最佳答案,每一種風險處理方法,都可能降低一部份風險,並強化前一次處理程序。
  3. 建立風險評估的正確目標與評估標準,比尋找其它人聽說過的、有效的、速成的制式化方法與程序更為重要。
  4. 風險發生率為0是實務上難以達成的標準,建議改為:「將風險發生率降低至可控範圍內,組織內部核心資通訊系統服務可在組織規範時限內恢復服務。」
  5. 將難題放在正確的著眼點上,勿停留在PDCA的第一個英文字母(追求完美無暇的規劃而忽略現況)
  6. 顧問或資安專責人員可提供高階主管建議(如何將風險管理得更好)供參,資安治理成熟度取決於高階主管的所有決策。
  7. 程序規劃或設計上,沒有所謂的「安全難題」,只有管理難題,倘若任憑留下這些難題而未處理,將可能遭致災難。


殘餘風險

是指已經盡了風險管理的努力之後,而依然存在的風險。它經常被誤認為是可接受風險,而事實上,殘餘風險乃是可接受風險與未識別風險之總和。某些風險始終無法確知,甚至事故發生後,事故調查有時仍無法發現某些先前未確知的風險。

未識別風險

是指尚未確定的風險。它是實際存在的,且也是非常重要的,只是它尚未被確知或是無法衡量。

簡單來說,就是風險處理後搞不定的部份

  1. 可能是預算、技術、人、時間又或者是其它意料之外的事項...
  2. 資安制度的建立與維護在於組織內部的每個人,是否確實參與並提供職務應有的品質。

資料來源:
風險評估觀念與實務
風險評估
行政院及所屬各機關風險管理及危機處理作業原則
淺談風險管理與稽核之運用
風險之接受性
資安知識大補丸


上一篇
風險評鑑三步曲
下一篇
當計劃趕不上變化... ISMS 制度怎麼繼續玩下去?
系列文
資訊安全制度建立與驗證40
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言