风险评估和业务影响分析,该文是风险评估相关开题报告范文与风险评估和业务影响分析和分析方面论文范文数据库.
风险评估论文参考文献:
【摘 要】 在组织开展业务连续性管理时,必须关注的两个过程是风险评估与业务影响分析,但单从字面看会让人难以分清的风险评估与业务影响分析的关系,也给即将导入依据GB/T30146-2013 idt ISO22301:2012 标准的业务连续性管理体系的组织带来很大的困惑.
【关键词】 风险评估 业务影响分析
风险评估的概念在ISO 管理体系中,最初是由ISO27001信息安全管理体系引入的.后来随着风险管理学的发展,以及显而易见的所有业务、所有组织都存在风险管理的需求,所以在2009 年ISO 组织发布了ISO31000 风险管理标准,进一步的在ISO9001;2015 版中也将应对风险作为组织管理的必要环节.在业务连续性管理中风险评估的目的是系统地查明哪些事件可能发生在组织中,然后通过风险处理的过程来准备,以尽量减少此类事件的损害.
无论采取何种技术路线进行风险评估,其必须能够输出一份与风险接受准则相匹配的风险清单.风险清单是业务连续性管理的必要输入,无论是为了避免业务中断,或者是为了在中断后在最短时间内恢复——除非你知道哪些风险有哪些影响,否则无法实施保障措施/ 控制;在发现潜在问题所在之前,也不知道哪些保障措施是适当的.
已经实施ISO27001 信息安全管理体系的组织都会比较熟悉《ISO/IEC27005:2011 Information technology-Securitytechniques-Information security risk management》以及《GB/T20984-2007 信息安全技术信息安全风险评估规范》.这两个标准都采用了基于资产识别再对资产进行风险评估的技术路线,虽然业务连续性管理中的风险不等同于信息安全管理中的风险,但在特定条件下,例如IT 业务的业务连续性风险与信息安全管理中的可用性风险是重叠较多的.列举ISO/IEC27005 和GB/T20984 的原因是以往依据这两个标准做风险评估的组织都感到直接依据资产做风险评估的工作量太大,不利于风险评估工作的开展及维护.其根本原因是以资产作为风险评估的边界太宽泛,所以只有限定风险评估的范围才能缓解此问题.
如何才能限定风险评估的范围?业务影响分析正是限定风险评估范围的一种合适的手段.所以在在开展业务连续性管理项目时通常是先做业务影响分析,再进行风险评估.当然在GB/T30146 8.2.1 总则中也有备注:不同的业务影响分析和风险评估方法会决定业务影响分析和风险评估的顺序,可见风险评估与业务影响分析是相互影响、相辅相成的关系.以IT 业务的业务影响分析为例,通常业务影响分析会导出RTO(恢复时间目标)和RPO(恢复点目标)同时,其实还有第三个输出:哪些业务中断是不可接受的,哪些业务的中断是可接受的.将风险评估的范围限定在不可接受中断的业务范围里就可有效降低风险评估的工作量,将有限的资源投入到保障核心业务.
对于IT 行业的业务影响分析,通常关注以下四种风险中的一种或多种:
1. 访问权限丢失、
2. 数据丢失、
3.IT 功能丢失、
4. 技术丢失;
为此业务影响分析需要识别以下内容:
? 了解各业务的主导部门
? 识别关键业务
? 金融价值的过程(例如,核算每小时收入)
? 依赖的内部组织
? 依赖的外部组织
? 将数据恢复到以前的状态的最低要求
? 开展业务可接受的最低系统响应要求
? 事件发生后恢复正常或接近正常所需的最少时间
? 开展业务可接受的最低数量的人员需要.
业务影响分析应当清晰输出对影响对业务的实际损害,包括潜在的问题和可能的成本.业务影响分析的结果应该有助于确定哪些领域需要保护、对应的保护等级,组织可以容忍业务中断和最低服务水平.
完成了业务影响分析和风险评估即可制定灾难恢复计划的总体目标,并制定业务连续性战略和程序,以帮助在破坏性事件发生后尽快将IT 业务恢复到可接受的服务水平.IT服务恢复到正常或接近正常状态的速度,将影响公司能否迅速恢复业务或实现可接受的临时运营状态的速度.附:常规的业务连续性管理项目流程:
参 考 文 献
[1] ISO31000:2009 Risk management -Principles and guildlines.
[2] GB/T30146-2013 idt ISO/IEC 22301:2012 公共安全 业务连续性管理体系 要求
该文汇总:该文是一篇关于对不知道怎么写风险评估和业务影响分析和分析论文范文课题研究的大学硕士、风险评估本科毕业论文风险评估论文开题报告范文和文献综述及职称论文的作为参考文献资料.
基于层次分析法的大运河危化品码头安全风险评估
卢志远,周兆欣,徐铭(山东交通学院航海学院,山东威海264209)摘要随着物流行业的突飞猛进,内河航运业发展也较迅速 古老的大运河部分河段还发挥着航运功能,在其沿岸已建立起多个危化品码头 针对危化品码.
基于改进风险矩阵方法的战储物资以厂代储风险评估
摘 要本文在对国外广泛采用的风险矩阵评估方法进行全面分析和系统总结的基础上,针对风险矩阵方法的不足,结合战储物资“以厂代储”风险评估的客观实际和需要,对其进行了适应性改进 运用.
我国食品安全风险评估制度实施与应用
李水红,李彦毅(湖南渔米之湘食品有限公司,湖南 岳阳 414000)摘 要本文阐述了食品安全的概念及风险评估制度实施的具体意义,通过分析我国现阶段食品安全风险评估现状,剖析了食品安全风险评估制度存在的.
食品安全监管风险评估体系的构建
构建食品安全监管风险评估体系的意义 食品安全问题是关系到国计民生的基本问题,在食品安全监管的整个体系中,构建食品安全监管风险评估体系是一项重要内容,它的价值和意义主要体现在四个方面 它有利于监管资.