識別並了解風險
將識別出的風險視為改善機會。
WAFR 環境中有兩種風險類別:高風險問題 (HRI) 和中等風險問題 (MRI)。
-
高風險問題 (HRI):可能會對業務造成重大負面影響的架構和操作選擇。高風險最佳實務視為支柱內必須實施的基礎實務。這些可能會影響組織營運、資產和個人。安全支柱的 HRI 範例:沒有保護好您的 AWS 帳戶。
-
中等風險問題 (MRI):同樣可能對您的業務造成負面影響,但程度低於 HRI 的選擇。中等風險最佳實務代表可實質改善工作負載的可行實務。安全支柱的 MRI 範例:沒有定期稽核和輪換憑證。
產生報告
目視找出 HRI 和 MRI 的第一步是產生報告,以顯示您檢閱的每個工作負載的風險。
AWS Well-Architected Tool (AWS WA Tool )儀表板可讓您存取工作負載及其相關聯的 HRI 和 MRI。您也可以包含已與您共用的工作負載。您可以使用儀表板,依工作負載、支柱或嚴重性 (高或中等) 篩選問題。
在儀表板頁面中,您可以查看依支柱或嚴重性篩選的 HRI 和 MRI 清單。選取改善項目後,您便會從 Well-Architected Framework 直接前往與其相關聯的最佳實務。在該處,您可以閱讀有關補救問題所需的建議動作,以及必要的資源。
您可以從 WA Tool 儀表板選擇產生報告,將所有調查結果合併在一份報告中。
我們建議您將回顧電子郵件與報告一起傳送給 WAFR 出席者,並摘要說明重要的調查結果和建議的改進計畫,幫助他們準備進行下一步。
管理風險
為了有效管理風險,務必定義風險及其可接受層級。透過風險分析,探索有哪些潛在問題,以及如何判斷這些是否為問題。
有兩種主要方法可以進行風險評估:
-
量化:使用加權目標資料來評估風險在成本超支、資源消耗和排程延遲方面的影響。
-
質性:使用與成本或效益的實際價值無關的主觀資料來評量機率和整體影響。
在某些情況下,您可能最終會使用結合兩種方法優點的混合方法,來評估風險的影響。
根據 HRI 和 MRI 定義評估風險層級時,請考慮提出下列問題:
-
風險造成影響的可能性為何?
-
客戶會受到什麼影響?
-
可能造成什麼樣的業務影響?
-
可完全排除或只能緩解風險?
-
誰有此風險?
-
誰負責消除或緩解的改善工作?
-
此結果再次發生的機率是多少? 是否可能造成相同的影響?
-
是否能找出結果的可能性與週期模式之間的關係?
請主要利害關係人或業務負責人回答這些問題,這樣將有助於建立一份需要關注的最重要風險清單,以及解決這些風險預計的時間。
風險程度
您可以使用下表來協助您判斷風險程度:
| 可能性 x 影響 | 可忽略 (1) | 輕微 (2) | 中等 (3) | 重大 (4) | 嚴重 (5) |
|---|---|---|---|---|---|
| 幾乎確定 (5) | 5 | 10 | 15 | 20 | 25 |
| 很可能 (4) | 4 | 8 | 12 | 26 | 20 |
| 可能 (3) | 3 | 6 | 9 | 12 | 15 |
| 不太可能 (2) | 2 | 4 | 6 | 8 | 10 |
| 少見 (1) | 1 | 2 | 3 | 4 | 5 |
彼此合作,一起探討 HRI 和 MRI,以及兩者對業務帶來的風險。建立需要解決的 HRI 清單。根據業務重要性將風險排名,以建立優先順序。
