风险处置
风险处置 是什么?
风险处置依据组织的风险准则,对风险作出修改性的决定与行动,通常包括接受、缓解、转移或规避。
风险处置是风险管理循环中将评估出的风险与应对方案相匹配的环节。经典选项包括:接受(承担残余风险)、缓解(采取控制以降低发生可能性或影响)、转移(保险、合同条款、外包)和规避(停止或重新设计相关活动)。处置计划明确责任人、成本、时间表、目标残余风险水平以及参照 ISO/IEC 27001 附录 A 或 NIST SP 800-53 等框架所选的控制。计划在风险登记册中跟踪,在控制失效、威胁变化或业务目标演进时进行复审。有效的处置应与风险的严重程度相称,并与风险偏好和容忍度保持一致。
● 示例
- 01
部署 MFA 与条件访问以缓解账户接管风险。
- 02
购买网络保险以转移勒索软件造成的部分财务损失。
● 常见问题
风险处置 是什么?
依据组织的风险准则,对风险作出修改性的决定与行动,通常包括接受、缓解、转移或规避。 它属于网络安全的 合规与框架 分类。
风险处置 是什么意思?
依据组织的风险准则,对风险作出修改性的决定与行动,通常包括接受、缓解、转移或规避。
风险处置 是如何工作的?
风险处置是风险管理循环中将评估出的风险与应对方案相匹配的环节。经典选项包括:接受(承担残余风险)、缓解(采取控制以降低发生可能性或影响)、转移(保险、合同条款、外包)和规避(停止或重新设计相关活动)。处置计划明确责任人、成本、时间表、目标残余风险水平以及参照 ISO/IEC 27001 附录 A 或 NIST SP 800-53 等框架所选的控制。计划在风险登记册中跟踪,在控制失效、威胁变化或业务目标演进时进行复审。有效的处置应与风险的严重程度相称,并与风险偏好和容忍度保持一致。
如何防御 风险处置?
针对 风险处置 的防御通常结合技术控制与运营实践,详见上方完整定义。
风险处置 还有哪些其他名称?
常见的别称包括: 风险应对, 风险缓解计划。
● 相关术语
- compliance№ 936
风险管理
对风险进行识别、分析、评估、处置、监控与沟通的协调过程,以将风险保持在组织既定的容忍度之内。
- compliance№ 935
风险评估
风险管理中的结构化活动,针对特定资产识别威胁、脆弱性与影响,并对由此产生的风险进行评级,以支持处置决策。
- compliance№ 937
风险登记册
记录已识别风险的描述、责任人、评分、处置和状态的动态清单,用于跟踪组织在不同时间的风险敞口。
- compliance№ 923
残余风险
在已规划的控制和处置措施实施之后仍然存在的风险,组织必须选择接受、转移或进一步处置。
- compliance№ 557
ISO/IEC 27001
信息安全管理体系(ISMS)要求的国际标准,组织可据此通过正式认证。
- compliance№ 737
NIST SP 800-53
NIST 发布的安全与隐私控制综合目录,适用于美国联邦信息系统及众多私营部门采用者。