風險管理之評估風險
前言
風險評估,是風險管理的一個非常重要的過程,它可以幫助你像偵探一樣找出可能造成日後危害,並且在發生之前盡快予以防範或減輕災害,很多國際標準如 ISO 31000定義了風險評估標準, ISO 31010 則是給予了5個問題來協助辨識風險並評估。
建立圖表
圖表可以表示物品評估關係。
一般圖表上面會有人,流程表示,還有使用的技術。
比例來說:現在有一個資料庫儲存著客戶的消費記錄,身為資料庫管理師,我需要進行資料的維護,而這個資料可能會透過防火牆傳送到FTP上做儲存,而這一個資料也可能透過網路連到客戶自己本身的電腦上,查詢自己的消費紀錄,所以在這一個模型中我們可以看到有我,客戶這兩個人。而流程我們可以看到的是使用者的操作模式使用的相對應技術。透過圖表的建立,我們可以評估危險以及防禦脆弱的地方等等等。
威脅性與脆弱性與衝擊性
我們在前面定義風險為當資產的某些威脅性被利用其相對應的脆弱性直接或間接造成組織受到衝擊。
威脅性是利用某資產已有存在的脆弱性,透過攻擊手法造成該資產的損失。
脆弱性是資產先天具備某些特質,攻擊者透過其中具威脅性特質利用,而造成營運方面的衝擊。
衝擊性是因為天然因素或者人為因素中「故意」或「意外」所導致我們「非預期」的結果
根據以上的定義,我們可以針對之前做的圖表進行分析。建立風險評估舉證
在圖中我們首先分析我跟資料庫兼間的危險性或脆弱性,例如我會剽竊資料,這是一個威脅。再來看客戶藉有FTP 讀取消費資料,這個過程中有可能會有駭客攻擊,所以這邊有可能會有系統的脆弱性,還有資料被偷竊的危險性。還有一種可能就是例如機器運作了很久,導致隨時可能停擺這是一個造成業務上的威脅。
控制
針對風險,我們會進行控制,降低他發生的可能。根據上面建立的矩陣,我們可以進行每一個風險的控制,例如繼續運作很久的事情,我們可能要隨時做好資料的備份或者是規定他的使用年限。
可能性
這個意思是某事發生的機率。我們可以針對所有的風險建立發生的可能性數字,如果滿分是5分的話。舉例來說,三表示發生的機率很大,需要針對這一個可能性做關心。
影響
一個強烈的效果或者是結果。
我會根據一個事件來評估其影響的嚴重程度,例如滿分若為5分的話,我覺得一旦資料庫孫會造成資料的遺失或者是客戶的資料消失,可能客戶會對我們的產品失望,我們就損失了一些商業機會,所以我們將這個影響設為 4。
一旦我們把這些的數字都建立好之後,我們可以計算其風險程度,簡單的算法是可能性乘以影響。所以根據途中計算的結果我們可以看到風險那個欄位有三個數字,而這個數字如果越大的當然是我們必須越早處理,這邊可以結合之前講的風險容忍程度,如果我的數字是 9 表示風險值為12這一個資料庫損毁的問題,我們必須要盡早處理,以減輕那些疑慮。
先做哪一個?
沒有特別哪一個比較好,我們做風險評估的目的就是為了解決未來可能發生的問題,所以每個方法都可以達到。
