超级会员免费看
联邦风险管理:从信息系统到企业级的全面视角
1. 风险管理简介
风险管理在联邦政府中的角色已经发生了显著变化,从最初主要关注单个信息系统内的风险评估,转变为涉及组织各级的与风险相关活动的整合。
风险是指实体受到潜在情况或事件威胁的程度,通常取决于不利影响的大小和事件发生的可能性。风险管理主要由风险评估、风险缓解和不确定性分析组成。
联邦政府的风险管理采用三级方法:组织层面(一级)、任务/业务流程层面(二级)和信息系统层面(三级)。其目的是管理信息安全风险,涵盖建立风险活动的背景、评估风险、确定风险后的应对以及随时间监测风险。
在当今复杂且相互关联的环境中,组织使用先进和传统的信息系统,风险管理过程的应用变得尤为重要,它应是一项全组织范围的活动,从战略规划者到信息系统运营者都应参与其中。
企业风险管理(ERM)通过组织的风险管理流程得以促进,确保风险在整个企业中得到一致管理。有效的风险管理计划应采用“自上而下”的方法,高级管理层需发挥关键作用,包括分配风险管理职责、认识到信息安全风险管理是一项持续活动、在组织内建立并传达风险容忍度,以及确保风险管理决策的问责制和有效的全组织风险管理计划。
2. 联邦信息安全风险管理实践
风险管理在联邦政府中并非新概念。早在1974年,就已制定指南支持联邦机构将风险管理实践融入联邦安全计划。例如,国家局标准(NBS)发布了《自动数据处理物理安全和风险管理指南》,为自动数据处理(ADP)设施管理人员开发物理安全计划提供了风险分析和安全措施选择与实施的程序,这些早期的风险管理理念成为了联邦信息安全计划的基础。
多年来,联邦政府对风险管理的观点发生了变化
订阅专栏 解锁全文
扫一扫
4640
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
