本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
網路安全風險回應
對正面風險和負面風險的回應有很大的不同。對於負面風險,需要採取措施將對結果的影響降到最低,但對於正面風險,需要採取措施最大限度地提高對結果的影響。下表顯示對正面風險和負面風險的可能回應。
| 風險類型 | 回應 | 定義 |
|---|---|---|
| 正面風險 | 利用 | 最大限度地提高風險發生的概率或可能性,以實現其積極作用。 |
| Share (分享) | 將風險的一部分所有權或責任分配給另一方。這是與負面風險相同的方法,它試圖控制潛在的損失或收益。 | |
| 提升 | 增加產生風險的條件,以最大限度地提高機會。 | |
| Ignore | 忽略風險的可能性,不採取任何行動。當風險的可能性很低或潛在的積極結果的好處很小時,這種回應很常見。 | |
| 負面風險 | 減輕 | 將風險發生的概率或可能性降至最低。 |
| 轉移 | 將風險的責任或義務轉移給另一方,例如購買保險單,將風險轉移給保險公司。 | |
| 避免 | 消除產生風險的條件。 | |
| 接受 | 確認風險的存在,但不採取任何行動。 |
對於負面風險,組織會根據其風險承受能力和偏好來避免、轉移、減輕或接受風險。他們試圖防止風險的發生,如果發生,他們會盡量減少對整體任務的影響。
說明正面風險回應的最佳方法是使用範例:
-
利用 – 安全主管了解到一名合格的安全專業人員最近決定尋求新的就業機會,並安排了豐厚的簽約獎金,以吸引潛在員工加入他的團隊。
-
共用 – 業務單位負責人希望透過使用特權存取管理產品來提高安全性,但沒有足夠的預算來購買目前會計年度的工具和服務。該負責人與來自不同業務單位的負責人合作,後者將購買並實作工具作為試點專案,然後擴展安裝以支援兩個業務單位。
-
提升 – 員工發現了一個將現有業務流程自動化以減少網路安全威脅的機會,但這需要在時間和設備上進行投資。看到這樣一個過程的積極好處,經理批准加班以開發能力,並重新調整現有硬體和軟體資源,使專案得以進行。
-
忽略 – 財務主管了解到在銷售部門工作的員工開發了一種新的應用程式,它可以自動執行乏味的手動任務。該應用程式最近被授權僅在銷售部門使用。財務主管在未經明確授權的情況下獲得新應用程式的複本,以便在他的部門中獲得類似優勢。
