为什么残留风险如此重要?

术语“residual risk’根据ISO 27001的风险管理过程是强制性的,但不幸的是经常使用而不欣赏概念的真正含义。

什么是残余风险?
根据 ISO 27001.,残余风险是“风险处理后剩余的风险”.

以下是它的工作原理:首先,您必须识别风险,然后您需要减轻您发现不可接受的风险(即对待它们)。一旦你对待风险,你就赢了’T完全消除所有风险,因为它根本不可能–因此,一些风险将留在一定程度上,这是剩余风险。重点是,组织需要确切地知道计划的治疗是否足够。

通常以与执行初始风险评估相同的方式进行剩余风险–您使用相同的方法,相同的评估尺度等。什么是不同的是,您需要考虑控制的影响(以及其他缓解方法),因此事件的可能性通常会降低,有时甚至影响较小。

有关风险管理过程的更多信息,请阅读 ISO 27001.风险评估& treatment – 6 basic steps.

它如何与可接受的风险水平有关?
我提到剩余风险的目的是找出计划的治疗是否足够–问题是,你怎么知道什么是足够的?这是可接受的风险水平的概念发挥作用–它没有别的但决定了多少“risk appetite’一个组织有,或者换句话说,管理层是否认为公司在高风险环境中运营的是,这更有可能发生一些事情,或者管理层希望涉及较低级别的安全性更高的安全性风险。

在ISO 27001中允许两种方法–每个组织必须决定其情况(以及其预算)是什么。前一种方法可能更适合高增长的初创公司,而这封信通常由金融组织追求。

剩余风险管理

一旦你发现剩余风险是什么,你对他们做了什么?基本上,你有这三个选择:

1.如果风险程度低于可接受的风险水平,那么你什么都不做–管理层需要正式接受这些风险。
2.如果风险程度高于可接受的风险水平,那么您需要找出一些新的(更好)的方法来减轻这些风险– that also means you’LL需要重新评估残余风险。
3.如果风险水平高于可接受的风险水平,并且降低这种风险的成本将高于影响本身,而不是建议管理层接受这些高风险。

这种系统的方式确保管理层涉及到达最重要的决策,并且没有被忽视。

所以点是–即使在应用各种缓解方法之后,最高管理层也需要知道其公司将面临的风险。毕竟,顶级管理层不仅对公司的底线负责,而且责任其可行性。

你也可以看看我们的 风险评估和治疗方法 这描述了如何设置可接受的风险水平以及如何管理剩余风险(商业销售的文件模板)。

分享这个