ISO20000-应对风险和机遇的措施
发布时间:2020-06-07 作者:广汇联合 来源:广汇联合
1、所需活动
通过风险评估确定风险和机遇,以确保信息服务管理体系能够实现其预期的结果,并持续改进。制定处理风险的风险管理方法,确定并策划处理风险的措施。
2、说明
此项活动的目的是识别和解决信息服务管理体系中的风险和机遇。考虑4.1中确定的内部和外部因素以及4.2中描述的相关方的要求,以确定影响信息服务管理体系的风险和机遇。此评估的重点是:
a) 识别可能影响信息服务管理体系成果实现的风险;
b) 防止或减少这些风险对信息服务管理体系造成的不良影响;
c) 为信息服务管理体系的持续改进提供输入。
应确定各种风险和机遇,确定风险和机遇的有关因素如下:
a)组织本身,比如结构和文化,还有市场条件和竞争;
b)无法满足服务要求的可能性,如由于自然条件造成的。供应链问题或财务问题;
c)其他相关方,如在外包情况下,供应商提供或经营(部分)服务。
这些风险的影响和可能性取决于它们与信息服务管理体系和客户的关系。根据组织的风险接受标准,即组织风险的偏好,组织确定处理这些风险的方法。这个决定应根据规定,或者是根据环境的变化而做出的。风险接受的例子包括:得分低于可接受阈值的风险或得分高于阈值但被最高管理层接受的风险。信息服务管理体系内的风险管理应与组织的风险管理框架紧密结合,以确保对风险的一致定义和处理。
可能的风险处理措施包括:
a) 通过采取措施规避风险,例如:只允许授权人员将软件下载到公司所有的移动设备上;
b) 考虑到机会的风险,如预期会产生积极影响,例如:当服务需求突然增加时,接受收入增加的积极影响;
c) 通过消除风险源、改变风险发生的可能性或减少其影响来降低风险,例如:修补服务资产上的漏洞;
d) 将风险转移给愿意接受风险的另一方与之分担风险,例如:当另一方管理构成风险的部分服务时;
e) 通过评估风险的后果并确定其是可接受的风险;这是一个最高管理层的决定,应记录下来以供将来参考。
风险也被视为服务连续性和信息安全过程的输入。
注:ISO 31000包含广泛的风险管理一般框架,包括原则和处理方案。
3、其他信息
与风险相关的文件化信息可以包括风险管理方法和风险登记表。
最高管理层或其代表是对风险负责的主要角色。可以指定风险责任人领导风险管理过程。