Основные вынос
Структура управления рисками помогает вашей организации подготовиться к потенциальным проблемам
Структура управления рисками NIST — это государственная система США для создания институциональной политики для снижения рисков.
Структура управления рисками является гибкой и целостной, а также является полезным инструментом для организаций всех типов и размеров.
По мере усложнения мира усложняются и потенциальные риски, с которыми может столкнуться организация. Современные предприятия сильно зависят от глобализированного и цифрового мира и сталкиваются с рисками, связанными с ИТ-инфраструктурой, глобальными цепочками поставок и общими проблемами постоянно меняющейся экономической среды. В конце концов, чем сложнее система, тем легче ей все развалиться. Хотя мы не можем устранить все риски, угрозы и саботаж, мы все равно должны максимально контролировать ситуацию. Внедрение систем для снижения различных типов рисков имеет решающее значение для предприятий любого размера, и здесь на помощь приходит система управления рисками.
В этой статье мы разберем 5 компонентов управления рисками, которые являются общим стандартом для создания структуры управления рисками, которую можно применять к различным рискам в разных организациях. После описания общей структуры мы подробно обсудим структуру управления рисками NIST и применим ее к конкретным приложениям и примерам.
Каковы 5 компонентов управления рисками?
- Идентификация
- Измерение и оценка
- риска
- Отчетность и мониторинг
- Управление
Идентификация риска
Во-первых, вам необходимо подробно описать текущие и потенциальные риски, с которыми сталкивается ваша организация. Для этого компонента мозговой штурм:
- Какие угрозы могут нанести вред вашей организации?
- Какие уязвимости могут быть использованы в системе безопасности, процедурах или ИТ-системах вашей организации?
- Какова вероятность возникновения каждой угрозы?
- Какие последствия могут иметь эти угрозы?
Наконечник: SWOT-анализ может помочь выявить внутренние слабости и внешние угрозы.
Измерение и оценка риска
Во втором компоненте структуры управления рисками вы создадите профиль для каждого из выявленных вами рисков. Вы можете измерить эти риски несколькими способами, в зависимости от вашей организации и отрасли. Например, пытливый ум может помочь вам оценить риски, связанные с конкурирующими операторами. В качестве альтернативы, сторонняя структура управления рисками может измерять, сколько денег может быть потеряно, в то время как структура рисков кибербезопасности может измерять альтернативные издержки замены существующей системы безопасности по сравнению с ее улучшением.
После того, как вы заполнили профили рисков, ранжируйте их от наименьшей до наибольшей угрозы. Имейте в виду, что риски меняются по мере развития организации и ее операционной среды, поэтому вам, вероятно, придется периодически повторять этот шаг.
Снижение риска
Имея ранжированный список профилей рисков, ваша организация может подумать о том, как снизить более высокие риски и научиться терпеть более низкие риски. Например, организация, создающая систему управления рисками в цепочке поставок, должна сосредоточиться на снижении любых потенциальных рисков в отношении своего крупнейшего поставщика, даже если для этого требуется уделять меньше времени другим своим поставщикам.
Отчетность и мониторинг рисков
Четвертый компонент RMF требует регулярной отчетности по мерам риска. Этот компонент позволяет вашей организации поддерживать оптимальный уровень риска и гарантировать, что стратегии смягчения последствий, рассмотренные в третьем компоненте, по-прежнему ценны и эффективны.
Управление рисками
Последним компонентом системы управления рисками является процесс управления. Другими словами, организациям необходимо создать формальную систему, которую сотрудники постоянно используют для обеспечения надлежащего управления рисками.
Что такое структура управления рисками NIST?
Ассоциация Система управления рисками (RMF) изначально был создан военными США для обеспечения безопасности и безопасного обслуживания конфиденциальных информационных систем в федеральном правительстве. В настоящее время Национальный институт стандартов и технологий (NIST) отвечает за систему управления рисками. NIST обновляет структуру, чтобы идти в ногу с технологическим прогрессом и возрастающей сложностью современного мира.
Хотя RMF изначально создавался для федерального правительства для работы с системами информационных технологий, это полезный инструмент, который можно применять к различным типам рисков для организаций частного сектора. Итак, как же работает RMF?
Структура управления рисками NIST состоит из семи шагов. Эти шаги создают функционирующую институциональную систему, которая может эффективно снизить риски для организации. Пройдемся по каждому из них.
Каковы 7 шагов системы управления рисками?
- Подготовить
- классифицировать
- Выберите
- Осуществлять
- Оценивать
- санкционировать
- монитор
Подготовить
Подготовка к работе. находится в центре взаимосвязанной сети, которая составляет структуру управления рисками. Этот шаг подготавливает вашу организацию к принятию официальной стратегии путем выявления рисков, установления допустимых рисков и распределения ролей между персоналом.
Хотя подготовка — это первый шаг, вы можете повторять ее на каждом этапе процесса. Если что-то изменится или вы поймете, что ваши предположения были неверны, возможно, будет полезно вернуться к мозговому штурму.
Вы можете использовать компонент «Идентификация», чтобы выделить возможные риски, угрозы и уязвимости и начать формировать эти идеи в стратегии управления рисками.
классифицировать
Категоризация аналогичен как компонентам измерения и мониторинга, так и компонентам смягчения последствий, но носит более формальный характер, чем просто перечисление различных рисков. На этом этапе вы формально ранжируете риски от меньшего к большему и от наименее к самому важному. Затем эта структура используется для создания политик для минимизации рисков для организации.
Выберите
На этом этапе процесса вы выберите решения или политики, необходимые для предотвращения или минимизации ранее выявленных рисков. Эти решения будут выглядеть по-разному в разных организациях. Структура управления рисками предприятия может предлагать решения для предотвращения кражи интеллектуальной собственности, в то время как структура управления рисками кибербезопасности обеспечивает меры по укреплению сетевого брандмауэра.
Осуществлять
Следующим шагом является осуществлять решения, которые вы выбрали. Это часть системы управления рисками, где вы превращаете свои мысли в действия. Обязательно задокументируйте процесс и процедуры, чтобы выбранные решения стали формальными политиками организации.
Оценивать
На этом этапе системы управления рисками вы оценить внедрение ваших решений по управлению рисками. Цель этого шага — проверить, были ли решения выполнены правильно и, что более важно, привели ли они к желаемым результатам. Если нет, вам нужно будет устранить любые недостатки в управлении рисками.
санкционировать
В разрешение шаг, вы предоставите руководителю или старшему члену организации обзор плана и оценки, чтобы получить их официальное одобрение того, что система работает так, как предполагалось. Кроме того, старшие члены должны убедиться, что структура управления рисками соответствует законам и политикам организации.
монитор
Последний шаг структуры управления рисками, как и шаг «Подготовка», может быть выполнен в любое время. Ваша организация должна постоянно монитор системы, созданные для обеспечения того, чтобы они по-прежнему были актуальными, эффективными и работали должным образом. Если возникают какие-либо сомнения или новые соображения, лица, отвечающие за поддержание системы управления рисками, должны вернуться к этапу подготовки.
Как мы можем использовать NIST RMF для управления рисками предприятия?
Структура управления рисками NIST — отличный инструмент для управления рисками предприятия (ERM), поскольку ERM имеет дело со снижением рисков на организационном уровне. ERM также может быть жизненно важным шагом в стратегическое планирование поскольку любые принимаемые решения должны учитывать потребности всей фирмы, а не только отдельных сегментов организации. NIST RMF обеспечивает рассмотрение всей организации и предоставляет модель для создания политик и правил на институциональном уровне.
Использование компонента «Идентификация» на этапе «Подготовка» позволяет вашей организации сосредоточиться как на внутренних, так и на внешних рисках. Внутренним риском может быть устаревшая информационная система, затрагивающая только один отдел. Внешний риск — это общая проблема, которая может повлиять на организацию в целом, а также на внутренние структуры различных отделов.
Более того, на внешнем уровне риски могут относиться к различным бизнес-сегментам по-разному. Например, демографические изменения создают для отдела продаж и маркетинга иные риски, чем для финансового отдела. Точно так же, добавляя Отраслевые исследования к компоненту идентификации структуры риска NIST делает Анализ рисков более эффективно. Чем больше у вас информации, тем более правильные решения вы сможете принять. Если меняются демографические или экономические факторы, применение углубленных отраслевых исследований поможет связать непосредственные факты с общими отраслевыми тенденциями.
Как можно использовать RMF для управления рисками третьих лиц?
Управление рисками третьих сторон (TPRM) направлено на снижение рисков, связанных с внешними сторонами, такими как продавцы, поставщики и подрядчики. Полный спектр NIST RMF может помочь свести к минимуму этот тип риска. При работе с третьими сторонами ваша организация не может контролировать множество факторов, поэтому контроль над теми, которые вы можете, имеет жизненно важное значение. Именно здесь ключевую роль играет всеобъемлющая система управления рисками третьей стороны.
Если ваша организация сильно зависит от поставщика, вы столкнетесь с огромным риском, если он не сможет довести дело до конца. Крайне важно проявлять бдительность в отношении компонентов смягчения последствий, отчетности и мониторинга, поскольку ваша организация должна быть готова к любым неожиданным изменениям, чтобы снизить риск для третьих лиц.
Структура управления рисками NIST полезна для создания и поддержания политик организации по управлению рисками. Формализованные и рутинные организационные процессы уменьшают неопределенность, что очень полезно в TPRM.
Как RMF применяется к управлению рисками кибербезопасности?
По мере того, как все больше учреждений приступают к работе в цифровой сфере, у организаций постоянно растет потребность в кибербезопасности. Организациям любого размера, от магазина на углу до компании из списка Fortune 500, требуется надежная система управления рисками кибербезопасности.
Существует много типов рисков кибербезопасности, и они могут варьироваться от одной организации к другой. Сбой системы представляет собой серьезный риск, который относится ко всем типам организаций. Бдительность и проведение последовательных проверок снижает вероятность отказа системы. NIST RMF — отличный инструмент для снижения риска общесистемного сбоя информационных сетей.
Заключение
Вы не можете сделать свои операции безрисковыми, но есть и хорошие новости: ваша организация может многое сделать для минимизации рисков. Надежная структура управления рисками, такая как NIST RMF, является одновременно гибкой и последовательной и является полезным инструментом для организаций всех типов и размеров.
Источник из IBISWorld
Отказ от ответственности: изложенная выше информация предоставлена IBISWorld независимо от Alibaba.com. Alibaba.com не делает заявлений и не дает гарантий в отношении качества и надежности продавца и продукции.
