กลยุทธ์การบริหารความเสี่ยงสำหรับระบบไอที

การจัดการความเสี่ยงทำงานเป็นเวลานาน รัฐมนตรีว่าการกระทรวงการคลังดำเนินการประเมินความเสี่ยงในเกือบทุกรูปแบบธุรกิจและแนวคิดเรื่องความเสี่ยงมีความใกล้เคียงกับคำจำกัดความของอินเทอร์เน็ต อย่างไรก็ตามสำหรับผู้จัดการฝ่ายไอทีและผู้เชี่ยวชาญด้าน IT การจัดการความเสี่ยงยังคงมีความสำคัญน้อยกว่าการดำเนินการอื่น ๆ และกิจกรรมสนับสนุน

สำหรับโปรแกรมควบคุมด้านไอที DROP อาจเป็นคำจำกัดความที่ง่ายและเรียบง่ายของโมเดล FAIR แบบเปิดซึ่งระบุว่า:

การจัดการความเสี่ยงต้องเป็นไปตามกระบวนการที่มีโครงสร้างซึ่งตระหนักถึงหลาย ๆ ด้านของกระบวนการด้านไอทีโดยเฉพาะอย่างยิ่งกับความปลอดภัยและ ความพร้อมใช้งานของระบบ

กรอบเช่น Open Fair จะอยู่ในโครงสร้างของความน่าจะเป็นความถี่และค่า ระบบหรือกระบวนการที่สำคัญทั้งหมดต้องได้รับการพิจารณาอย่างเป็นอิสระน่าจะเป็นไปได้ด้วยความน่าจะเป็นของเหตุการณ์ไม่สงบหรือไม่หวังผลกำไร

องค์กรจะไม่ดำเนินการประเมินความเสี่ยงโดยอิงกับระบบที่สำคัญจำนวนมากการกำหนดและการแก้ไขในกรณีที่จำเป็นข้อบกพร่องเพื่อลดโอกาสหรือความสำคัญของเหตุการณ์หรือการสูญเสียที่อาจเกิดขึ้น เช่นเดียวกับกระบวนการ / กรอบสถาปัตยกรรมขององค์กรการให้บริการ (เช่น ITIL) หรือกรอบอื่น ๆ ที่ใช้ในการจัดการเป้าหมายก็คือการสร้างวิธีวิเคราะห์และวิเคราะห์ความเสี่ยงที่มีโครงสร้างโดยไม่ต้องล้นหลาม

การจัดการความเสี่ยงด้านไอทีได้รับการละเลยในหลาย ๆ องค์กรอาจเป็นเพราะการพัฒนาระบบไอทีอย่างรวดเร็วรวมถึงระบบคลาวด์คอมพิวติ้งและเครือข่ายบรอดแบนด์ เมื่อมีการหยุดให้บริการเกิดขึ้นหรือเหตุการณ์ด้านความปลอดภัยเกิดขึ้นองค์กรเหล่านี้ไม่ได้เตรียมพร้อมที่จะรับมือกับการสูญเสียการรบกวนและการขาดการเตรียมหรือการบรรเทาภัยพิบัติอาจส่งผลให้องค์กรไม่กลับมาจากเหตุการณ์อีกต่อไป

โชคดีที่กระบวนการและกรอบการกำกับดูแลกระบวนการบริหารความเสี่ยงกำลังกลายเป็นผู้ใหญ่และสามารถเข้าถึงได้เกือบทุกองค์กร มาตรฐานแบบเปิดของ FAIR และระบบการจัดหมวดหมู่ของกลุ่มเปิดเป็นกรอบที่เชื่อถือได้มากในคู่มือการบริหารความเสี่ยง ISACA Cobit 5

นอกจากนี้สถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐอเมริกา (NIST) ยังให้แนวทางการประเมินความเสี่ยงแบบเปิดและแนวทางการจัดการสำหรับทั้งภาครัฐและผู้ใช้ที่ไม่ใช่รัฐบาลในชุด NIST Special Edition รวมถึง SP 800-30 (การประเมินความเสี่ยง), SP 800-37 (กรอบการบริหารความเสี่ยงระบบ) และ SP 800-39 (Enterprise-Wide Risk Management)

ENISA เผยแพร่กระบวนการบริหารความเสี่ยงตามมาตรฐาน ISO 13335 และใช้มาตรฐาน ISO 27005

วัตถุประสงค์ของการรู้ขั้นตอนการประเมินและวิเคราะห์ความเสี่ยงคืออะไร? แน่นอนพวกเขาจำเป็นต้องสร้างการควบคุมการบรรเทาหรือต่อต้านการรบกวนหรือภัยคุกคามที่อาจเกิดขึ้นและเหตุการณ์ที่อาจก่อให้เกิดความสูญเสียแก่ บริษัท หรือผู้มีส่วนได้เสียทั้งทางตรงและทางอ้อม

หลายองค์กรโดยเฉพาะอย่างยิ่ง บริษัท ขนาดเล็กและขนาดกลางหรือไม่เชื่อว่าพวกเขามีทรัพยากรสำหรับการประเมินความเสี่ยงไม่มีกระบวนการกำกับอย่างเป็นทางการไม่มีการจัดการด้านความปลอดภัยอย่างเป็นทางการหรือเพียงแค่เชื่อว่าพวกเขาไม่สนับสนุนการเติบโตและการพัฒนาธุรกิจอย่างรวดเร็ว

ในฐานะผู้จัดการผู้จัดการนักลงทุนและลูกค้าเรามุ่งมั่นที่จะประเมินและทำความเข้าใจกับความเสี่ยงภายในของเรารวมทั้งลูกค้าและผู้บริโภคที่ซัพพลายเออร์และซัพพลายเออร์ของเราดำเนินการตามขั้นตอนการบริหารความเสี่ยงอย่างเป็นทางการ ในตลาดที่รวดเร็วว่องไวและเป็นสากลทางเลือกไม่สวยงาม

Source by sbobet

Leave a Reply

Your email address will not be published. Required fields are marked *