对于选择作为控制的风险,ISO20000认证将采取减少风险的控制措施,例如信息安全策略、安全组织、资产分类和控制、人力资源安全、物理和环境安全、通信和运营管理、访问控制、信息系统获取和开发与维护、安全事件管理、业务连续性管理,以及法规遵从性十一大这种控制可以降低安全事件发生的可能性,也可以在降低安全事件影响的两个方面降低风险。
风险接受:不能通过低于特定风险水平的可接受风险、不可避免的风险和技术、资源上的应对来减少或减少组织的非经济风险。
风险管理:通过适当的控制缓解风险是确定风险处理的优先级,包括减少安全事故发生的可能性或减少安全事故的影响。
风险转移:分担风险和其他利益相关方,以避免自己承担全部损失。例如,保险和其他风险共享协议。
风险规避:通常,通过执行不是组织核心的业务或活动,或使用不成熟的产品技术,可以避免可能发生的风险。
选择控制措施后,还必须制定这些ISO20000认证风险的风险处置计划。风险处置计划是风险评估中确定的不可接受风险的风险处理方法和时间表,应在风险处置计划中详细列出。
1)选定的处理方法;
2)现在有控制。
3)建议的实施控制;
4)实施时间和人员配置。
最后,ISO20000认证通过执行处置计划后对资产的剩馀风险进行分析,直到管理人员批准剩馀风险或选择管理措施,管理人员接受剩馀风险为止。组织在使用“风险规避”或“风险转移”处理方法时,还必须注意其局限性,这可能会引入新的风险。
15109220028
