风险容忍度
风险容忍度 是什么?
风险容忍度围绕具体目标或风险类别的可接受波动范围,以从风险偏好衍生出的定量或定性限值表达。
风险容忍度将战略性的风险偏好转化为各团队可以监控和执行的运营限值。风险偏好通常是定性的、宏观的,而容忍度则更细粒度:可接受的最大停机时间、货币损失阈值、年度高严重性事件数量上限、资本充足率等。突破容忍度会触发上报、额外处置或治理复审。明确的容忍度可以在项目立项、供应商引入和事件响应中实现一致的决策,并为监管和审计提供可衡量的证据。ISO 31000、COSO ERM 以及巴塞尔式的操作风险框架都严格区分偏好、容忍度与承受能力。
● 示例
- 01
一级面客业务可容忍的最长中断时间为 4 小时。
- 02
每个财年的高严重性隐私事件不得超过 2 起。
● 常见问题
风险容忍度 是什么?
围绕具体目标或风险类别的可接受波动范围,以从风险偏好衍生出的定量或定性限值表达。 它属于网络安全的 合规与框架 分类。
风险容忍度 是什么意思?
围绕具体目标或风险类别的可接受波动范围,以从风险偏好衍生出的定量或定性限值表达。
风险容忍度 是如何工作的?
风险容忍度将战略性的风险偏好转化为各团队可以监控和执行的运营限值。风险偏好通常是定性的、宏观的,而容忍度则更细粒度:可接受的最大停机时间、货币损失阈值、年度高严重性事件数量上限、资本充足率等。突破容忍度会触发上报、额外处置或治理复审。明确的容忍度可以在项目立项、供应商引入和事件响应中实现一致的决策,并为监管和审计提供可衡量的证据。ISO 31000、COSO ERM 以及巴塞尔式的操作风险框架都严格区分偏好、容忍度与承受能力。
如何防御 风险容忍度?
针对 风险容忍度 的防御通常结合技术控制与运营实践,详见上方完整定义。
风险容忍度 还有哪些其他名称?
常见的别称包括: 容忍度阈值, 风险阈值。
● 相关术语
- compliance№ 934
风险偏好
由董事会和高层确定的、组织为实现战略目标而愿意追求或承担的风险的总体数量与类型。
- compliance№ 936
风险管理
对风险进行识别、分析、评估、处置、监控与沟通的协调过程,以将风险保持在组织既定的容忍度之内。
- compliance№ 383
企业风险管理(ERM)
面向全企业的整合性方法,识别、治理和处置战略、财务、运营、合规和网络等各类风险,使之与业务目标一致。
- compliance№ 923
残余风险
在已规划的控制和处置措施实施之后仍然存在的风险,组织必须选择接受、转移或进一步处置。
- compliance№ 939
风险处置
依据组织的风险准则,对风险作出修改性的决定与行动,通常包括接受、缓解、转移或规避。
- compliance№ 937
风险登记册
记录已识别风险的描述、责任人、评分、处置和状态的动态清单,用于跟踪组织在不同时间的风险敞口。