安全风险识别和管理(二)
目录01风险识别02风险评估03风险控制04风险调整
风险识别风险评估风险控制风险调整风险管理的步骤
01风险识别
01风险识别风险识别,就是指风险管理的第一步,也是风险管理的基础。只有在正确识别出自身所面临的风险的基础上,人们才能够主动选择适当有效的方法进行的处理。
02风险评估
02风险评估风险评估是指,在风险事件发生之前或之后(但还没有结束),该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。目前,风险评估一般是量化测评某一事件或事物带来的影响或损失的可能程度。
02风险评估当企业根据风险评估的结构,完成实施所选择的控制措施后,会有残余的风险。风险接受是对残余风险进行确认和评价的过程。
02风险评估在实施了安全控制措施后,企业应该对安全措施的实施情况进行评审,即对所选择的控制在多大程度上降低了风险做出判断。对于残留的仍然无法容忍的风险,应该考虑增加投资。
03风险控制
03风险控制风险控制就是使风险降低到企业管理者可以接受的程度,消灭或减少风险事件发生的各种可能性,或减少风险事件发生时造成的损失。
03风险控制(1)选择安全控制措施为了降低或消除信息安全体系范围内所涉及到的被评估的风险,企业应该识别和选择合适的安全控制措施。选择安全控制措施应该以风险评估的结果作为依据,判断与威胁相关的薄弱点,决定什么地方需要保护,采取何种保护手段。
03风险控制(1)选择安全控制措施通常,一个控制措施能够实现多个功能,功能越多越好。当考虑总体安全性时,应该考虑尽可能地保持各个功能之间地平衡,这有助于总体安全有效性和效率。
03风险控制(2)风险控制方式1)避免风险:比如将重要的计算机系统与因特网进行物理隔离;2)转移风险:比如将重要的数据进行异地网络备份;3)减少威胁:比如组织具有恶意的软件的执行,避免遭到攻击;4)减少薄弱点:比如对员工进行信息安全教育,提高员工的安全意识;5)进行安全监控:比如及时探测对信息处理设施有害的行为,并及时作出响应。
04风险调整
04风险调整风险调整则是指根据不同行业的承受风险确定采取哪些调整措施。一般而言,风险是随时间而变化的,风险管理是一个动态的管理过程,这就要求企业实施动态的风险评估与风险调整,即企业要定期进行风险评估。
04风险调整当企业新增信息资产时当系统发生重大变更时发生严重信息安全事故时企业认为非常必要时
小结了解企业如何开展全面风险管理工作;提高企业管理水平;增强企业竞争力和企业持续、健康、稳定发展;为新时代港口安全提供充足的保障。
谢谢欣赏珠海城市职业技术学院刘敏