31、组织风险评估与管理全解析

组织风险评估与管理全解析

1. 确定组织的首要威胁

在信息系统的安全管理中，保密性、完整性和可用性是安全工程师开展工作的基本概念。在风险管理的初始阶段，这些概念足以帮助识别组织最重要的数字资产。接下来，我们将探讨如何对组织内的信息进行排序，以找出那些需要特别关注的数据。

1.1 自上而下识别威胁

成功的风险管理计划应从组织高层开始，识别可能导致整个业务崩溃的威胁。从底层向上进行风险排序极为困难，因为评估者对组织的了解有限，随着对组织生存能力的了解增多，不得不不断调整评估级别。更好的方法是从高层入手，询问高层管理人员他们所担忧的问题，例如竞争对手是否威胁到市场份额、负面新闻是否会损害产品声誉、自然灾害是否会导致公司运营中断等。

1.2 风险归类

每个组织都面临财务风险，且大多数风险看似都与财务相关。但在评估风险时，应先确定风险的初始类型，而非其最终可能转化的结果。例如，电池爆炸是声誉风险，制造工厂的安全问题是生产力风险。当然，在某些情况下，财务风险是直接的，如与供应商签订合同或投入大量资源开展高成本项目。

1.3 与高层沟通示例

对于小型组织，可以直接与高管团队沟通。以下是与CEO的一段对话示例：
- 询问者：“我正在收集公司的风险清单并逐步排序。从您的角度看，公司面临的最大风险是什么？”
- CEO：“很简单，距离圣诞节只有三个月了，这是一年中最大的购物季。我担心在线商店的重新设计不能按时完成。我们寄希望于新版本来提高销售额，投资者也急于看到明年之前我们的收入增长。”
- 询问者：“您认为什么会导致这个项目不能按时完成？是人力资源不足、技术问题，还是其他原因？