怎么进行 风险控制

  可选中1个或多个下面的关键词,搜索相关资料。也可直接点“搜索资料”搜索整个问题。

  展开全部风险控制就是使风险降低到企业可以接受的程度,当风险发生时,不至于影响企业的正常业务运作。

  为了降低或消除信息安全体系范围内所涉及到的被评估的风险,企业应该识别和选择合适的安全控制措施。选择安全控制措施应该以风险评估的结果作为依据,判断与威胁相关的薄弱点,决定什么地方需要保护,采取何种保护手段。

  安全控制选择的另外一个重要方面是费用因素。如果实施和维持这些控制措施的费用比资产遭受威胁所造成的损失预期值还要高,那么所建议的控制措施就是不合适的。如果控制措施的费用比企业的安全预算还要高,则也是不合适的。但是,如果预算不足以提供足够数量和质量的控制措施,从而导致不必要的风险,则应该对其进行关注。

  通常,一个控制措施能够实现多个功能,功能越多越好。当考虑总体安全性时,应该考虑尽可能地保持各个功能之间地平衡,这有助于总体安全有效性和效率。

  根据控制措施的费用应当与风险相平衡的原则,企业应该对所选择的安全控制措施应该严格实施以及应用,达到降低风险的途径有很多种,下面是常用的集中手段:

  信息系统总会在一定程度上存在风险,绝对的安全是不存在的。当企业根据风险评估的结构,完成实施所选择的控制措施后,会有残余的风险。残余风险可能是企业可以接受的风险,也可能是遗漏了某些信息资产,使其未受保护。为确保企业的信息安全,残余风险应该控制在可以接受的范围内。

  风险接受是对残余风险进行确认和评价的过程。在实施了安全控制措施后,企业应该对安全措施的实施情况进行评审,即对所选择的控制在多大程度上降低了风险做出判断。对于残留的仍然无法容忍的风险,应该考虑增加投资。

  风险是随时间而变化的,风险管理是一个动态的管理过程,这就要求企业实施动态的风险评估与风险控制,即企业要定期进行风险评估。一般而言,当出现以下情况时,应该重新进行风险评估:

时间

2019-08-04 19:29


栏目

风险控制


作者

admin


分享