风险登记册
风险登记册 是什么?
风险登记册记录已识别风险的描述、责任人、评分、处置和状态的动态清单,用于跟踪组织在不同时间的风险敞口。
风险登记册是风险管理活动产生的核心记录。每条条目通常包含唯一编号、清晰的风险描述、受影响的资产或流程、威胁来源、固有与残余评分、风险责任人、约定的处置方式、关键控制以及复审日期。登记册按既定周期复审,在新威胁出现、项目变化或事件发生时及时更新。它支持董事会汇报、内部审计、监管问询以及安全投资的优先级排序。维护良好的登记册能避免盲区与风险疲劳,使每条记录都具备可执行性,而不是变成静态电子表格。
● 示例
- 01
GRC 平台中跟踪 250 项企业级风险,每季度进行复审。
- 02
项目级风险登记册经指导委员会汇入企业级登记册。
● 常见问题
风险登记册 是什么?
记录已识别风险的描述、责任人、评分、处置和状态的动态清单,用于跟踪组织在不同时间的风险敞口。 它属于网络安全的 合规与框架 分类。
风险登记册 是什么意思?
记录已识别风险的描述、责任人、评分、处置和状态的动态清单,用于跟踪组织在不同时间的风险敞口。
风险登记册 是如何工作的?
风险登记册是风险管理活动产生的核心记录。每条条目通常包含唯一编号、清晰的风险描述、受影响的资产或流程、威胁来源、固有与残余评分、风险责任人、约定的处置方式、关键控制以及复审日期。登记册按既定周期复审,在新威胁出现、项目变化或事件发生时及时更新。它支持董事会汇报、内部审计、监管问询以及安全投资的优先级排序。维护良好的登记册能避免盲区与风险疲劳,使每条记录都具备可执行性,而不是变成静态电子表格。
如何防御 风险登记册?
针对 风险登记册 的防御通常结合技术控制与运营实践,详见上方完整定义。
风险登记册 还有哪些其他名称?
常见的别称包括: 风险台账, 网络风险登记册。
● 相关术语
- compliance№ 936
风险管理
对风险进行识别、分析、评估、处置、监控与沟通的协调过程,以将风险保持在组织既定的容忍度之内。
- compliance№ 935
风险评估
风险管理中的结构化活动,针对特定资产识别威胁、脆弱性与影响,并对由此产生的风险进行评级,以支持处置决策。
- compliance№ 939
风险处置
依据组织的风险准则,对风险作出修改性的决定与行动,通常包括接受、缓解、转移或规避。
- compliance№ 923
残余风险
在已规划的控制和处置措施实施之后仍然存在的风险,组织必须选择接受、转移或进一步处置。
- compliance№ 383
企业风险管理(ERM)
面向全企业的整合性方法,识别、治理和处置战略、财务、运营、合规和网络等各类风险,使之与业务目标一致。
- compliance№ 557
ISO/IEC 27001
信息安全管理体系(ISMS)要求的国际标准,组织可据此通过正式认证。