风险管理

概述

我们所有人都在日常生活中经历了大量的风险评估,但通常没有意识到。经典案例是是否应穿越马路。我们权衡交通可能受到的威胁及其他可能影响的风险,这些风险的影响后果以及采取任何预防措施的成本(如果适用),然后根据具体情况决定是否采取行动。我们自动而本能地做出这些决定。

虽然在个人的基础上,这种方法完全可以接受,因为我们控制着自己的生活,但对于保护公司信息和其他组织资产来说,这种方法过于主观。 您需要采用一致的方法来管理这些风险,以便任何进行风险评估的合格人员都可以通过遵循您选择的风险管理方法得出类似的结论。

风险管理,定量风险评估和定性风险评估有两种主要方法,或者可以使用两者结合的混合方法。定量风险评估的目标是尝试计算风险评估期间收集的每个组成部分的客观数值,并确定成本效益分析。 定性风险评估使用组织预先定义的相对值。

服务提供

    A-GRC顾问在为各种组织提供信息风险管理方面拥有丰富的经验。

    A-GRC拥有丰富经验并与曾国家和国际风险标准合作,如下:

  • AS / NZS 4360 (澳大利亚/新西兰);
  • BS 31100(英国);
  • BS 7799第3部分(英国);
  • ISO 13335 – 3(国际);
  • ISO 27001(国际);
  • ISO 27005(国际);
  • ISO 31000(国际);
  • NIST 800 – 30(美国)。

除了这些标准之外,还有许多风险评估和管理工具,从简单的Excel电子表格到完全集成的风险管理系统。

A-GRC可以:

  • 就项目风险管理提供建议。
  • 协助确定风险处理方案;
  • 为您的组织定义适当的风险评估和处理流程;
  • 制定并实施您的企业风险登记册;
  • 必要时确定替代或补偿控制;
  • 在您的组织内实施风险管理程序;
  • 实施您选择的风险处理方案;
  • 使用您选择的方法为您进行风险评估;
  • 培训员工参与相关的风险管理流程和程序
  • 对重大项目和计划进行风险评估;
  • 为各种管理体系标准(例如ISO 9001,ISO 20000,ISO 22301,ISO 27001,ISO 45001等)承担风险管理服务;
  • 对ICT基础设施进行战略风险评估;

方法

    A-GRC将帮助客户:

  • 识别;
  • 形式化;
  • 文献;
  • 实行;
  • 操作;
  • 培训员工;
  • 适当的风险管理计划。A-GRC方法考虑了影响客户业务和实现目标的复杂业务、竞争、监管和合规驱动因素。

    不同的客户将拥有并使用不同的方法和/或工具,A-GRC已经使用了许多主要工具。实质上,所有风险管理方法均类似,并经过以下步骤:

  • 确定风险评估的范围或背景;
  • 识别范围或上下文中的资产;
  • 识别资产所有者
  • 重视资产;
  • 识别资产威胁并对其进行评估;
  • 识别资产中的漏洞以及利用它们的已识别威胁的可能性;
  • 确定这种剥削的影响;
  • 确定现有的控制措施及其有效性;
  • 确定组织的风险偏好;
  • 将剩余风险与风险偏好进行比较;
  • 如果剩余风险超过风险偏好,则采取适当行动;
  • 定期监控所有风险并采取适当的措施。 :
  • 注意: 资产既可以是有形的,也可以是无形的,如声誉。

    无“一刀切”,A-GRC擅长构建适合客户需求的风险管理流程。

    选择控制风险的控制措施可以来自各种来源,最常见的是:

  • ISO 27001
  • CoBIT
  • ITIL / ISO 20000
  • NIST 800-53

益处

A-GRC可以通过以下方式帮助其客户:

  • 为各种管理标准实施适当风险管理程序的建议;
  • 保证您已在风险管理范围内识别出所有风险资产;
  • 评估风险处理方案;
  • 审查过去风险评估的专业知识;
  • 独立、公正的风险管理建议;
  • 培训您的员工使用各种工具和方法进行风险评估;