认证咨询电话:021-54888341
推荐ISO认证

ISO20000认证风险处置方法有哪些?


随着人民生活水平的提高和科技的进步,越来越多的金融机构落户城市,高新技术产业纷纷布局,,也正是因为如此,侧重于通过IT服务标准化来对IT问题进行管理的ISO20000认证开始风靡各大IT企业。

  企业认证的同时,也存在一定的风险,对于选定为控制的风险,ISO20000信息技术服务管理体系认证将采取信息安全战略、安全组织、业务连续性管理、法规遵从等控制措施降低风险,这种控制可以降低安全事件发生的可能性,也可以从降低安全事件影响两个方面来降低风险。

  ISO20000认证风险处置方法通常包括四种:风险接受、风险控制、风险转移和风险规避。

  风险接受:组织的非经济风险不能通过接受低于特定风险水平的、不可避免的和技术性的资源响应来降低或降低。

风险控制:通过适当的控制来缓解风险是风险处理的优先级,包括降低安全事件的可能性或影响。

    风险转移:与其他利益相关者分担风险,避免自己承担全部损失。 例如,保险和其他风险分担协议。

    风险规避:通常可以通过执行非组织核心的业务或活动,或使用不成熟的产品技术来避免可能的风险

    在选择了控制措施后,还必须针对这些通过 ISO20000 认证的风险制定风险处理计划。 风险处置计划是风险评估中识别出的不可接受的风险处置方法和时间表,应在风险处置计划中予以详细说明。

  1)选择的处理方法;

  2) 现在有控件了。

  3) 推荐的实施控制;

  4) 实施时间和人员配备。

    最后,ISO20000认证对处置计划实施后资产的剩余风险进行分析,直至管理层批准剩余风险或选择管理措施,管理层接受剩余风险。 组织在使用“风险规避”或“风险转移”方法时还必须注意其局限性,这可能会引入新的风险。