@CI
2年前 提问
1个回答

哪些方法在确定网络风险优先级过程中有所帮助

趣能一姐
2年前

以下方法在确定网络风险优先级过程中有所帮助:

  • 在数据收集流程中分析风险。因为确定风险优先级可能需要大量的时间,请尝试预计有争议的风险并尽可能早地开始确定风险优先级。这种捷径有可能实现,因为安全风险管理小组是确定优先级流程的唯一所有者。

  • 进行研究以便为估计可能性建立可信性。根据适当情况使用过去的审核报告并考虑行业趋势和内部安全事件。根据需要重新拜访风险承担者,以了解其环境中特定风险的当前控制措施和知晓情况。

  • 在项目中安排足够的时间进行研究,并对当前控制环境的有效性和能力进行分析。

  • 提醒风险承担者安全风险管理小组负责确定可能性。上级主管必须承认此角色并支持安全风险管理小组的分析。

  • 用业务术语通告风险。在确定优先级分析中避免使用与恐惧或技术术语有关的语言。安全风险管理小组必须用组织理解的术语通告风险,同时不能对危险程度有任何夸大。

  • 使新的风险与以前的风险保持一致。在创建汇总级列表时,纳入以前评估中的风险。这使安全风险管理小组可以跟踪多个评估中的风险,并且可以根据需要更新以前的风险元素。例如,如果由于昂贵的缓解成本而未能缓解以前的风险,重新评估风险发生的可能性并审核及考虑缓解方案或成本的任何更改。