15323800465
1、所需活動
通過風險評估確定風險和機遇,以確保信息服務管理體系能夠?qū)崿F(xiàn)其預期的結(jié)果,并持續(xù)改進。制定處理風險的風險管理方法,確定并策劃處理風險的措施。
2、說明
此項活動的目的是識別和解決信息服務管理體系中的風險和機遇。考慮4.1中確定的內(nèi)部和外部因素以及4.2中描述的相關(guān)方的要求,以確定影響信息服務管理體系的風險和機遇。此評估的重點是:
a)識別可能影響信息服務管理體系成果實現(xiàn)的風險;
b)防止或減少這些風險對信息服務管理體系造成的不良影響;
c)為信息服務管理體系的持續(xù)改進提供輸入。
應確定各種風險和機遇,確定風險和機遇的有關(guān)因素如下:
a)組織本身,比如結(jié)構(gòu)和文化,還有市場條件和競爭;
b)無法滿足服務要求的可能性,如由于自然條件造成的。供應鏈問題或財務問題;
c)其他相關(guān)方,如在外包情況下,供應商提供或經(jīng)營(部分)服務。
這些風險的影響和可能性取決于它們與信息服務管理體系和客戶的關(guān)系。根據(jù)組織的風險接受標準,即組織風險的偏好,組織確定處理這些風險的方法。這個決定應根據(jù)規(guī)定,或者是根據(jù)環(huán)境的變化而做出的。風險接受的例子包括:得分低于可接受閾值的風險或得分高于閾值但被最高管理層接受的風險。信息服務管理體系內(nèi)的風險管理應與組織的風險管理框架緊密結(jié)合,以確保對風險的一致定義和處理。
可能的風險處理措施包括:
a)通過采取措施規(guī)避風險,例如:只允許授權(quán)人員將軟件下載到公司所有的移動設備上;
b)考慮到機會的風險,如預期會產(chǎn)生積極影響,例如:當服務需求突然增加時,接受收入增加的積極影響;
c)通過消除風險源、改變風險發(fā)生的可能性或減少其影響來降低風險,例如:修補服務資產(chǎn)上的漏洞;
d)將風險轉(zhuǎn)移給愿意接受風險的另一方與之分擔風險,例如:當另一方管理構(gòu)成風險的部分服務時;
e)通過評估風險的后果并確定其是可接受的風險;這是一個最高管理層的決定,應記錄下來以供將來參考。
風險也被視為服務連續(xù)性和信息安全過程的輸入。
注:ISO31000包含廣泛的風險管理一般框架,包括原則和處理方案。
3、其他信息
與風險相關(guān)的文件化信息可以包括風險管理方法和風險登記表。
最高管理層或其代表是對風險負責的主要角色。可以指定風險責任人領(lǐng)導風險管理過程。
如您想更詳細的了解ISO20000標準,需要ISO20000標準,請您網(wǎng)絡搜索航鑫認證,快人一步,成就管理者風范。
