风险管理
风险管理 是什么?
风险管理对风险进行识别、分析、评估、处置、监控与沟通的协调过程,以将风险保持在组织既定的容忍度之内。
风险管理是组织系统性应对可能影响其目标、资产或利益相关方的不确定性的学科。其通常遵循一个循环:确定背景、识别风险、分析可能性和影响、依据准则进行评价、决定处置方式(接受、缓解、转移或规避),并持续监控残余风险。成熟的项目通常对齐 ISO 31000、NIST RMF 或 COSO ERM 等框架,并为合规义务、内部审计和董事会报告提供输入。有效的风险管理需要在控制成本与潜在损失之间取得平衡,并嵌入到项目、供应商和运营决策中,而不是独立运行。
● 示例
- 01
每年与责任高管一起复审公司风险登记册。
- 02
在资本规划和保险续保中纳入网络风险情景。
● 常见问题
风险管理 是什么?
对风险进行识别、分析、评估、处置、监控与沟通的协调过程,以将风险保持在组织既定的容忍度之内。 它属于网络安全的 合规与框架 分类。
风险管理 是什么意思?
对风险进行识别、分析、评估、处置、监控与沟通的协调过程,以将风险保持在组织既定的容忍度之内。
风险管理 是如何工作的?
风险管理是组织系统性应对可能影响其目标、资产或利益相关方的不确定性的学科。其通常遵循一个循环:确定背景、识别风险、分析可能性和影响、依据准则进行评价、决定处置方式(接受、缓解、转移或规避),并持续监控残余风险。成熟的项目通常对齐 ISO 31000、NIST RMF 或 COSO ERM 等框架,并为合规义务、内部审计和董事会报告提供输入。有效的风险管理需要在控制成本与潜在损失之间取得平衡,并嵌入到项目、供应商和运营决策中,而不是独立运行。
如何防御 风险管理?
针对 风险管理 的防御通常结合技术控制与运营实践,详见上方完整定义。
风险管理 还有哪些其他名称?
常见的别称包括: 风险管理流程。
● 相关术语
- compliance№ 935
风险评估
风险管理中的结构化活动,针对特定资产识别威胁、脆弱性与影响,并对由此产生的风险进行评级,以支持处置决策。
- compliance№ 937
风险登记册
记录已识别风险的描述、责任人、评分、处置和状态的动态清单,用于跟踪组织在不同时间的风险敞口。
- compliance№ 939
风险处置
依据组织的风险准则,对风险作出修改性的决定与行动,通常包括接受、缓解、转移或规避。
- compliance№ 383
企业风险管理(ERM)
面向全企业的整合性方法,识别、治理和处置战略、财务、运营、合规和网络等各类风险,使之与业务目标一致。
- compliance№ 733
NIST 风险管理框架
NIST 在 SP 800-37 中定义的七步流程,用于将安全、隐私和供应链风险管理整合到系统生命周期中。
- compliance№ 557
ISO/IEC 27001
信息安全管理体系(ISMS)要求的国际标准,组织可据此通过正式认证。