21、风险管理与业务连续性规划全解析

风险管理与业务连续性规划全解析

1. 风险管理概述

在实际情况中，几乎没有系统或活动是完全无风险的，而且并非所有已实施的控制措施都能消除其旨在解决的风险。风险管理的目的是分析流程、应用程序、系统或其他资产的业务风险，以确定安全运营的最谨慎方法。风险分析团队在审查这些资产时，会将业务目标作为首要考虑因素。我们既不希望也无法使用将风险降至零的控制机制，因为一个以实现百分百安全为目标的安全计划会导致组织的生产率为零。

风险分析过程有两个关键目标：
- 仅实施必要的控制措施。
- 记录管理层的应尽职责。

作为安全专业人员，我们的目标是为组织提供支持，并确保实现管理层的目标。通过实施有效的风险管理和风险分析过程，这一目标将得以实现，并为用户群体所接受。

2. 不同控制列表

2.1 IT 组控制列表

控制类型	具体控制	控制描述
安全控制	管理支持	请求管理层支持，以确保各业务部门的合作与协调。
安全控制	专有流程	建立流程，以确保公司的专有资产得到保护，并确保公司遵守所有第三方许可协议。
系统控制	变更管理	确定备份要求