下载掌阅APP,畅读海量书库
立即打开
基本准则是在风险管理框架的基础上依据组织风险管理目标、组织的能力等因素定义的一系列用于评估风险重要性、支持风险管理决策过程的标准、原则和方针。基本准则一般包括风险评价准则、影响准则和风险接受准则。它反映了组织的价值观、目标、义务,以及利益相关方的关切。
风险评价准则是一系列用于指导风险评估活动的标准、原则和方针。制定风险评价准则应考虑以下因素 [7] :
(1)风险评估的规范性、法律法规的要求和合同的义务,例如推导出标准性原则,指导风险评估的流程规范化;
(2)业务信息化的战略价值,例如推导出关键业务原则,明确评估重点;
(3)涉及信息资产的范围和边界,例如推导出关键业务原则和最小影响原则,指导评估范围和评估时机;
(4)相关信息资产的危急程度;
(5)运营和业务的重要性、可用性、保密性和完整性,例如推导出最小影响原则、可控性原则、可恢复性原则和保密性原则,指导评估工作自身风险控制、意外情况恢复和签订保密协议等;
(6)利益相关方的期望和观念,以及风险对商誉和声誉的负面影响,例如推导出可控性原则,保证风险评估活动服务可控、人员信息可控、过程可控、工具可控等;
(7)决定风险处置的优先顺序,例如推导出标准性原则和关键业务原则,指导风险分析与评价,为后续风险处置提供建议。
影响是指信息安全风险给组织的目标所带来的不利变化。值得注意的是国际标准ISO 31000使用“后果准则”的概念而不是“影响准则”,强调风险带来的正面和负面的双重后果。
所谓影响准则是一系列标准、原则或方针,用于判断信息安全威胁利用资产或安全措施的脆弱性、并结合业务和资产的重要性对组织造成的损失和损害。
定义影响准则应考虑下列因素 [7] :
(1)受影响的信息资产的级别;
(2)对信息安全属性的破坏情况(如保密性、完整性和可用性的丧失);
(3)业务运行中的损失(内部或第三方);
(4)商业和财务价值的损失;
(5)对计划和最终期限的破坏;
(6)对组织声誉的损毁;
(7)对法律法规或合同要求的违背等。
风险接受是组织管理者通过评估正式决定接受某一风险的决策。风险接受准则是指组织应该为风险接受水平的尺度所制定的一系列标准、原则和方针。风险接受准则通常与组织的方针、目标和利益相关方的利益有关。在定义风险接受准则时组织应考虑以下因素 [7] :
(1)风险接受准则可以规定多个具有风险预期目标水平的阈值,但在确定的情形下,提交给高层管理者接受的风险可能超出该级别;
(2)风险接受准则可以表示为估计利润(或其他商业利益)与估计风险的比率;
(3)不同类别的风险需对应不同的风险接受准则,例如,导致不符合法律法规的风险可能是不可接受的,但可能允许接受导致违背合同要求的高风险;
(4)应与风险处置的要求相对应,例如,通过实施风险处置措施,在规定的时间段内将风险降低到可接受的水平,则可以接受风险;
(5)根据预期风险存在的不同时间,风险接受准则也应不同,例如可以与临时或短期风险相对应;
(6)其他考虑因素还包括商业运作标准、技术水平、财力、人道主义和社会因素等。