HR法律网:
在信息安全领域,风险就是指信息资产遭受损坏并给企业带来负面影响的潜在可能性,既然是可能,风险事件可能发生也可能不发生。如果事件确定发生,该事件就不属于风险,因为它是可以规划的已知问题。
对于风险事件,我们不能简单对待,而要通过风险管理过程去识别、评估并解决这些可能发生的问题。简单来说,风险管理就是识别风险、评估风险、采取措施将风险减少到可接受水平,并维持这个风险水平的过程。
信息安全管理的核心内容就是风险管理,因此,我们往往会以风险管理来概述信息安全管理,在以风险为驱动的模式中,这种说法是成立的。企业面对存在风险的现实环境,首先要考虑保护什么,通过资产识别与评价来找到对自己业务生存最为关键的东西;接下来,企业要通过多种途径来识别风险,并评估风险可能给企业带来负面影响的严重程度;
在此基础上,企业度量现实状况与目标之间的差距,确定风险处理的策略,并通过安全措施的选择和实施来弥合这些差距。需要注意的是,风险管理首要的目标是保护组织及其履行正常使命的能力,而不仅仅是信息资产,所以,认为风险管理过程只是操作及管理IT系统的专家所应承担的技术职能,这种认识是错误的,风险管理实际上应该是组织最基本的管理职能的一部分。
HR法律网(www.law-hr.com)十分乐意为您解答相关问题!若您的企事业单位需进一步帮助,请在本网查询更多信息,或直接在线咨询、拔打热线电话,我们将竭诚为您服务。
法律知识延伸阅读
HR法律网:它应当包含: 1、范围。它应当涉及企业内所有信息、系统、设施、程序、数据、网络、所有的技术用户,绝无例外。 2、信息分类。策略应当提供特定内容的定义而不是一般
HR法律网:客运企业主要运用的信息技术主要是两大块,一个是GPS,这个关乎调度和远程监控。另一个是ERP,就是根据实时的信息汇总得出决策的结论。 服务:运用GPS可以知道客车在路上的
HR法律网:我认为你可以考虑企业监控系统。企业监控系统能够通过实名上网的技术手段对上网人员进行上网行为管理和合规化信息管理,在加强上网机构内外部网络信息管理的同时,为避