企业充满风险,组织应尽力识别,评估和对待所有风险,至少是最相关的风险,这称为风险管理,它可以从潜意识的决定到基于复杂方法和数据安排的完全觉察的选择而变化。

但是,奇怪的是,当组织考虑风险时,他们通常将注意力集中在可能出问题的地方,并采取措施来防止这种情况,或者至少将其影响最小化,但是,风险也可能意味着可能会发生好事,而由于不准备好利用情况,您可能会错过收益。

本文将介绍如何在领先的信息安全ISO管理标准ISO 27001的背景下考虑和应对正风险(也称为机遇),通过将机会包括在ISMS方法中,组织可以增加信息安全的好处。

ISO 27001如何定义和处理风险

对于ISO 27001认证,风险是“不确定性对目标的影响”,而“不确定性”是我们无法完全控制所有风险的原因(毕竟,您无法抵御未知或无法理解的事物)。

关于ISO 27001个如何对待风险,标准本身没有规定的选项,只是他们必须正确选择考虑的结果,风险评估(第6.1.3),有关风险评估和治疗的详细信息,ISO 27001风险评估和治疗– 6个基本步骤。

支持标准ISO 27005(定义了信息安全风险管理流程)提出了四个选项:风险修改,风险保留,风险规避和风险共享。有关这些风险处理选项的详细信息可以在本文中找到:

根据ISO 27001的4种风险处理缓解选项,但总而言之,所有这些选项旨在降低发生风险的可能性和/或最小化其影响;即,他们考虑可能出问题的情况。

ISO信息安全的机会处理选项

在ISO关于风险管理的最全面的标准中,ISO 31000 –风险管理–准则,除了处理负面风险的选项外,组织还可以考虑承担或增加风险以寻求机会,这可以通过以下方法实现:

风险增强–包括采取措施增加风险发生的可能性,对于负风险,该选项可被视为降低风险选项的对应项,例如,为了抓住机会提高生产力,组织决定通过共享现有资源和人员来构建和运行服务来实现远程访问。

风险利用–这意味着采取一切可能的措施来确保风险会发生,它与风险增强选项的不同之处在于,它需要更多的精力和资源来有效地确保风险会发生,对于负风险,可以将这一选项视为避免风险的选择;考虑前面的示例,组织可以决定聘请顾问并购买专用资源来实施远程访问。

另外,风险分担和风险接受也可以在处理机会的上下文中使用。

分享机会。当组织意识到自己无法利用机会的好处时,它可能会分担风险,寻求合作伙伴分摊成本和精力,因此双方都可以分享机会,而他们俩都无法利用自己的机会。这不同于分担负面风险,因为在最后一种情况下,组织仅将负面影响的成本转移给第三方,系统开发公司与项目管理服务提供商之间的合资企业是考虑机会的风险分担的一个很好的例子。