Реестр рисков
Что такое Реестр рисков?
Реестр рисковПостоянно обновляемый перечень выявленных рисков с описанием, владельцем, оценками, мерами обработки и статусом, используемый для отслеживания подверженности рискам организации во времени.
Реестр рисков — основной артефакт деятельности по управлению рисками. Каждая запись обычно содержит уникальный идентификатор, чёткое описание риска, затрагиваемые активы или процессы, источники угроз, оценки присущего и остаточного рисков, владельца, согласованную обработку, ключевые контроли и даты пересмотра. Реестр пересматривается с заданной периодичностью и обновляется при появлении новых угроз, изменениях проектов или возникновении инцидентов. Он поддерживает отчётность совету директоров, внутренний аудит, запросы регулятора и приоритизацию инвестиций в безопасность. Хорошо ведомый реестр исключает слепые зоны и риск-усталость, сохраняя записи практически применимыми.
● Примеры
- 01
GRC-платформа, в которой ведётся 250 корпоративных рисков с ежеквартальным пересмотром.
- 02
Проектный реестр рисков, передаваемый в корпоративный реестр на управляющем комитете.
● Частые вопросы
Что такое Реестр рисков?
Постоянно обновляемый перечень выявленных рисков с описанием, владельцем, оценками, мерами обработки и статусом, используемый для отслеживания подверженности рискам организации во времени. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает Реестр рисков?
Постоянно обновляемый перечень выявленных рисков с описанием, владельцем, оценками, мерами обработки и статусом, используемый для отслеживания подверженности рискам организации во времени.
Как работает Реестр рисков?
Реестр рисков — основной артефакт деятельности по управлению рисками. Каждая запись обычно содержит уникальный идентификатор, чёткое описание риска, затрагиваемые активы или процессы, источники угроз, оценки присущего и остаточного рисков, владельца, согласованную обработку, ключевые контроли и даты пересмотра. Реестр пересматривается с заданной периодичностью и обновляется при появлении новых угроз, изменениях проектов или возникновении инцидентов. Он поддерживает отчётность совету директоров, внутренний аудит, запросы регулятора и приоритизацию инвестиций в безопасность. Хорошо ведомый реестр исключает слепые зоны и риск-усталость, сохраняя записи практически применимыми.
Как защититься от Реестр рисков?
Защита от Реестр рисков обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Реестр рисков?
Распространённые альтернативные названия: Журнал рисков, Реестр киберрисков.
● Связанные термины
- compliance№ 936
Управление рисками
Скоординированный процесс выявления, анализа, оценки, обработки, мониторинга и коммуникации рисков для удержания их в пределах установленной организацией толерантности.
- compliance№ 935
Оценка рисков
Структурированная деятельность в рамках управления рисками, в ходе которой выявляются угрозы, уязвимости и последствия для конкретных активов и определяется итоговый рейтинг риска для принятия решений по обработке.
- compliance№ 939
Обработка рисков
Решение и действия по изменению риска, обычно через принятие, снижение, передачу или избежание, на основе принятых организацией критериев риска.
- compliance№ 923
Остаточный риск
Риск, остающийся после применения запланированных контролей и мер обработки, который организация должна принять, передать или обрабатывать дополнительно.
- compliance№ 383
Корпоративное управление рисками (ERM)
Интегрированный подход к идентификации, управлению и обработке стратегических, финансовых, операционных, комплаенс- и киберрисков в масштабе всей организации, согласованный с её целями.
- compliance№ 557
ISO/IEC 27001
Международный стандарт, устанавливающий требования к системе менеджмента информационной безопасности (СМИБ), по которому организации могут пройти официальную сертификацию.
● См. также
- № 938Толерантность к риску
- № 534Присущий риск
- № 888Качественный анализ рисков