Last modified by superadmin on 2024/12/25, 15:36
From version < 11.1 >
edited by superadmin
on 2021/02/07, 00:15
To version < 44.1 >
edited by superadmin
on 2024/09/27, 17:23
< >
Change comment: There is no comment for this version

Summary

Details

Icon Page properties
Title
... ... @@ -1,1 +1,1 @@
1 -25 风险管理 (已发布)
1 +通用管理实践 - 25 风险
Content
... ... @@ -1,39 +1,31 @@
1 +{{info}}
2 +**学习长河老师 ¥799元  [[ITIL 4 基础级认证核心考点讲解和习题辅导网课>>https://www.itil4hub.cn/bin/view/ITIL4%E8%AE%A4%E8%AF%81%E5%9F%B9%E8%AE%AD%E8%80%83%E8%AF%95%E8%B5%84%E6%96%99/ITIL4%E5%9F%BA%E7%A1%80%E8%AE%A4%E8%AF%81%E5%BF%85%E8%80%83%E7%9F%A5%E8%AF%86%E9%80%9F%E5%AD%A6%E7%BD%91%E8%AF%BE/]],轻松获取 ITIL 4 Foundation国际证书**
3 +{{/info}}
4 +
5 +
6 +**申明:**
7 +
8 +本系列ITIL 4中文版本由长河领导的ITIL先锋论坛专家委员会组织翻译,国内众多从事ITIL理论推广及落地实践的专家们参与。需要下载最新翻译版本请关注**微信公众号:ITILXF**,并回复“**风险管理**”即可。
9 +
1 1  {{box cssClass="floatinginfobox" title="**Contents**"}}
2 2  {{toc/}}
3 3  {{/box}}
4 4  
5 5  (((
6 -= [[开始阅读>>doc:25 风险管理.1 关于本文件.WebHome]] =
15 +
7 7  
8 -
9 -需要下载 **ITIL 4风险管理实践【中文】**pdf版全文,请关注微信公众号itilxf ,并回复“风险管理”即可。
10 -
11 -[[image:微信截图_20210206234644.png]]
12 -
13 -
14 -**申明:**
15 -
16 -本系列ITIL 4实践中文版本由ITIL先锋论坛专家委员会组织翻译,国内众多从事ITIL理论推广及落地实践的专家们参与,需要下载最新翻译版本请关注微信公众号:ITILXF,也可访问ITIL4中文知识库网站:itil4hub.cn。
17 -
18 18  请注意,ITIL先锋论坛专家团队仅仅只是进行了这些著作的语种转换工作,我们并不拥有包括原著以及中文发行文件的任何版权,所有版权均为Axoles持有,读者在使用这些文件(含本中文翻译版本)时需完全遵守Axoles 和 TSO所申明的所有版权要求。
19 19  
20 20  
21 21  **翻译**:史坦晶        **审校**:隗玉凯        **审核**:严宝龙  
22 -)))
23 23  
24 -(% class="row" %)
25 -(((
26 -(% class="col-xs-12 col-sm-4" %)
27 -(((
28 28  ----
29 29  
30 30  
31 31  )))
32 -)))
33 33  
34 34  = **1 关于本文档** =
35 35  
36 -[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/1%20%E5%85%B3%E4%BA%8E%E6%9C%AC%E6%96%87%E4%BB%B6/WebHome?section=1]]
37 37  
38 38  本文档为风险管理实践提供了实用指南。它分为五个主要部分,内容包括:
39 39  
... ... @@ -45,7 +45,6 @@
45 45  
46 46  == 1.1 ITIL®4 认证计划 ==
47 47  
48 -[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/1%20%E5%85%B3%E4%BA%8E%E6%9C%AC%E6%96%87%E4%BB%B6/WebHome?section=2]]
49 49  
50 50  本文档中的部分内容可作为以下教学大纲的一部分以供检查:
51 51  
... ... @@ -61,7 +61,6 @@
61 61  = **2 一般信息** =
62 62  
63 63  
64 -[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/2%20%E4%B8%80%E8%88%AC%E4%BF%A1%E6%81%AF/WebHome?section=1]]
65 65  
66 66  == 2.1 目的和描述 ==
67 67  
... ... @@ -83,12 +83,11 @@
83 83  风险管理实践提供了在服务管理四个维度上有效且高效地识别和管理风险所需资源的机制。
84 84  
85 85  
86 -== 2.2 术语和概念                                                               ==
76 +== 2.2 术语和概念                                                   ==
87 87  
88 -[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/2%20%E4%B8%80%E8%88%AC%E4%BF%A1%E6%81%AF/WebHome?section=3]]
89 89  
90 -=== ===
91 91  
80 +
92 92  === **2.2.1 风险** ===
93 93  
94 94  |**风险**
... ... @@ -107,8 +107,8 @@
107 107  
108 108  如果组织中的风险级别太高,则可能对其持续运营能力产生重要的影响。组织的风险容量是组织可以忍受风险的最大值,并且通常基于诸如对声誉和资产的损害等因素。
109 109  
110 -=== ===
111 111  
100 +
112 112  === **2.2.3 风险偏好** ===
113 113  
114 114  风险偏好由组织治理定义,用于促进决策和风险管理活动。
... ... @@ -148,11 +148,12 @@
148 148  
149 149  表2.1 风险处置选项
150 150  
151 -|**处置**|**描述**|**示例**
152 -|风险规避|通过不执行危险的活动来防止风险|通过拒绝商业投资建议,避免无法交付预期价值的投资风险
153 -|风险修正(或风险降低)|实施控制以减少风险的可能性或影响|在网络上传输敏感信息时对其进行加密,以减少被破译的可能性
154 -|风险分担|通过将一些风险传递给第三方来减少影响|为火灾或网络攻击购买保险
155 -|风险残留(或风险接受)|主观上决定接受风险,因为它低于可接受的阈值(并且在组织的风险偏好范围之内)|通过接受商业投资建议,接受未能交付预期价值的投资风险
140 +(% style="width:814px" %)
141 +|(% style="width:172px" %)**处置**|(% style="width:277px" %)**描述**|(% style="width:363px" %)**示例**
142 +|(% style="width:172px" %)风险规避|(% style="width:277px" %)通过不执行危险的活动来防止风险|(% style="width:363px" %)通过拒绝商业投资建议,避免无法交付预期价值的投资风险
143 +|(% style="width:172px" %)风险修正(或风险降低)|(% style="width:277px" %)实施控制以减少风险的可能性或影响|(% style="width:363px" %)在网络上传输敏感信息时对其进行加密,以减少被破译的可能性
144 +|(% style="width:172px" %)风险分担|(% style="width:277px" %)通过将一些风险传递给第三方来减少影响|(% style="width:363px" %)为火灾或网络攻击购买保险
145 +|(% style="width:172px" %)风险残留(或风险接受)|(% style="width:277px" %)主观上决定接受风险,因为它低于可接受的阈值(并且在组织的风险偏好范围之内)|(% style="width:363px" %)通过接受商业投资建议,接受未能交付预期价值的投资风险
156 156  
157 157  在涉及正面风险(机会)时,术语通常略有不同。“风险规避“变成“风险利用“,而”风险降低”变成”风险增强“。然而,术语”风险修正”已经涵盖了正面风险和负面风险的意思。
158 158  
... ... @@ -169,34 +169,32 @@
169 169  
170 170  表2.2 控制示例
171 171  
172 -|**维度**|**控制示例**
173 -|组织和人员|(((
162 +(% style="width:533px" %)
163 +|(% style="width:163px" %)**维度**|(% style="width:368px" %)**控制示例**
164 +|(% style="width:163px" %)组织和人员|(% style="width:368px" %)(((
174 174  * 整洁办公桌策略
175 175  * 安全意识培训
176 176  )))
177 -|信息和技术|(((
168 +|(% style="width:163px" %)信息和技术|(% style="width:368px" %)(((
178 178  * 网络防火墙
179 179  * 审计记录
180 180  )))
181 -|供应商和合作伙伴|(((
172 +|(% style="width:163px" %)供应商和合作伙伴|(% style="width:368px" %)(((
182 182  * 将供应商认证作为质量管理体系标准的合同要求
183 183  * 供应商活动的日常审计
184 184  )))
185 -|价值流和流程|(((
176 +|(% style="width:163px" %)价值流和流程|(% style="width:368px" %)(((
186 186  * 部署之前的变更评估
187 187  * 员工招聘期间的背景调查
188 188  )))
189 189  
190 -=== ===
191 -
192 192  === **2.2.8 剩余风险** ===
193 193  
194 194  风险处置通常不能完全消除风险。因此,在应用控制之后有必要执行新的风险评估。这是为了了解新的可能性和影响,然后计算剩余风险。组织然后可以选择应用更多控制来进一步减小风险。或者,组织可以接受剩余风险,并将其记录在风险登记册中,像其他保留的风险一样以相同的方式传递给利益相关者。
195 195  
196 196  
197 -== 2.3 范围                                                                          ==
186 +== **2.3 范围**                                                              ==
198 198  
199 -[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/2%20%E4%B8%80%E8%88%AC%E4%BF%A1%E6%81%AF/WebHome?section=4]]
200 200  
201 201  风险管理的范围非常广泛。大多数活动和组织中的所有人员在风险管理中都可以起到一定做用。服务提供者必须理解和管理与每个服务和每个客户相关的诸多风险。ITIL 4中描述的许多管理实践要求将风险管理作为其活动的一部分。这些包括:
202 202  
... ... @@ -214,9 +214,10 @@
214 214  
215 215  表2.3 其他实践指南中与风险管理实践相关的活动
216 216  
217 -|活动|实践指南
218 -|特定风险的管理|所有实践
219 -|实施变更以减轻风险|(((
205 +(% style="width:346px" %)
206 +|(% style="width:169px" %)活动|(% style="width:174px" %)实践指南
207 +|(% style="width:169px" %)特定风险的管理|(% style="width:174px" %)所有实践
208 +|(% style="width:169px" %)实施变更以减轻风险|(% style="width:174px" %)(((
220 220  组织变更管理
221 221  
222 222  变更使能
... ... @@ -235,11 +235,9 @@
235 235  
236 236  项目管理
237 237  )))
238 -|成本控制,风险的财务评价和风险减轻选项|服务财务管理
239 -|愿景的定义和风险管理的战略目标|战略管理
227 +|(% style="width:169px" %)成本控制,风险的财务评价和风险减轻选项|(% style="width:174px" %)服务财务管理
228 +|(% style="width:169px" %)愿景的定义和风险管理的战略目标|(% style="width:174px" %)战略管理
240 240  
241 -=== ===
242 -
243 243  === **2.3.1 项目管理** ===
244 244  
245 245  项目管理中的一个重要部分是管理项目风险。应根据与战略目标、成本、风险、收益和进度的一致性来分析每个项目。这样做的结果将会创建一个项目风险登记册,该登记簿将在整个项目生命周期中进行维护,并用于确保项目风险得到妥善管理。
... ... @@ -292,9 +292,8 @@
292 292  好的服务级别报告包括识别将来可能影响服务的风险,以及如何管理这些风险的说明。通常,风险管理需要记录来自客户和用户的输入或他们采取的行动。
293 293  
294 294  
295 -== 2.4 实践成功因素                                                            ==
282 +== **2.4 实践成功因素        ** ==
296 296  
297 -[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/2%20%E4%B8%80%E8%88%AC%E4%BF%A1%E6%81%AF/WebHome?section=5]]
298 298  
299 299  |(((
300 300  实践成功因素(PSF)
... ... @@ -333,18 +333,13 @@
333 333  
334 334  风险分析包括了解每个风险发生的可能性和潜在影响。分析可以是定性的或定量的。
335 335  
336 -==== ====
337 337  
338 -(% class="wikigeneratedid" id="H2.4.3.15B9A602798CE966952066790" %)
339 -2.4.3.1 定性风险分析
340 340  
324 +==== 2.4.3.1 定性风险分析 ====
325 +
341 341  定性风险分析使用简单的度量(例如高,中或低)来区分可能性和影响的不同级别。定性风险分析通常会使用一个表格,该表格用于从影响级别和可能性级别两个维度中得出总体风险的级别,如图2.1 所示。
342 342  
343 -|(% rowspan="5" %)影响|高|中|高|高
344 -|中|低|中|中
345 -|低|低|低|低
346 -| |低|中|高
347 -|(% colspan="4" %)可能性
328 +[[image:1642583640886-103.png]]
348 348  
349 349  图2.1 用于定性风险分析的矩阵示例
350 350  
... ... @@ -353,11 +353,10 @@
353 353  
354 354  一些组织使用的是五点量表,而不是图2.1中所示的简单的三点量表(高,中或低),但是方法仍然相同。
355 355  
356 -==== ====
357 357  
358 -(% class="wikigeneratedid" id="H2.4.3.25B9A91CF98CE966952066790" %)
359 -2.4.3.2 定量风险分析
360 360  
339 +==== 2.4.3.2 定量风险分析 ====
340 +
361 361  定量风险分析在财务基础以及其他量化基础上考虑风险影响。可能性以概率来衡量。这种风险分析用于支持商业案例中的预算,以证明管理风险可能需要的投资是合理的。
362 362  
363 363  |(((
... ... @@ -368,8 +368,6 @@
368 368  单一预期损失(SLE)
369 369  
370 370  每次发生风险时,由风险造成的预期财务损失。
371 -
372 -
373 373  )))
374 374  
375 375  |(((
... ... @@ -384,11 +384,10 @@
384 384  
385 385  ALE通过将SLE乘以ARO来计算。然后可以将此结果与控制的成本进行比较,以便决定在管理特定风险方面需要投入多少资金。
386 386  
387 -==== ====
388 388  
389 -(% class="wikigeneratedid" id="H2.4.3.398CE96695B9A6027548C5B9A91CF7ED3540852066790" %)
390 -2.4.3.3 风险定性和定量结合分析
391 391  
367 +==== 2.4.3.3 风险定性和定量结合分析 ====
368 +
392 392  定量风险分析比定性风险分析要花费更多的时间,因此通常将两者结合在一起来优化分析数据的时间开销。这包括对每个已识别的风险进行定性风险分析,然后针对风险级别和降低风险的成本中超出特定阈值的那些风险执行定量风险分析。例如,组织的风险管理策略可能声明,如果控制的成本低于5,000英镑,则将使用控制来管理低级别风险。如果控制的成本高于5,000英镑,将执行定量风险分析。
393 393  
394 394  
... ... @@ -403,7 +403,6 @@
403 403  
404 404  == **2.5 关键指标 ** ==
405 405  
406 -[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/2%20%E4%B8%80%E8%88%AC%E4%BF%A1%E6%81%AF/WebHome?section=6]]
407 407  
408 408  应在每个实践所贡献的价值流的情形中 评估ITIL实践的效果和绩效。与任何工具的绩效一样,只能在应用实践的上下文中评估实践的绩效。但是,在工具设计和质量方面可能会有很大差异,当根据工具的用途在使用时,这些差异决定了工具的潜力或有效性。有关测量标准和关键绩效指标(KPI)的进一步指南以及可以帮助您解决此问题的其他技术,请参见测量和报告实践指南。
409 409  
... ... @@ -412,19 +412,20 @@
412 412  
413 413  表2.4 实践成功因素的关键指标示例
414 414  
415 -|**实践成功因素**|**关键指标**
416 -|建立风险管理的治理|(((
391 +(% style="width:553px" %)
392 +|(% style="width:146px" %)**实践成功因素**|(% style="width:405px" %)**关键指标**
393 +|(% style="width:146px" %)建立风险管理的治理|(% style="width:405px" %)(((
417 417  * 自上次评审和更新风险偏好以来的时间
418 418  * 明确记录了可能性、影响、所有者、处置计划和下一个行动日期的战略风险的百分比
419 419  )))
420 -|培育风险管理文化并识别风险|(((
397 +|(% style="width:146px" %)培育风险管理文化并识别风险|(% style="width:405px" %)(((
421 421  * 表示愿意在匿名调查中识别风险和错误的员工比例
422 422  * 非指定风险管理角色的人员所识别的风险数量
423 423  )))
424 -|分析风险|(((
401 +|(% style="width:146px" %)分析风险|(% style="width:405px" %)(((
425 425  * 在风险登记册上明确记录了可能性、影响和所有者的风险的百分比
426 426  )))
427 -|处置,监控和评审风险|(((
404 +|(% style="width:146px" %)处置,监控和评审风险|(% style="width:405px" %)(((
428 428  * 在风险登记册上明确记录了处置计划和下一个行动日期的风险百分比
429 429  * 风险登记册中最近六个月中已评审的风险百分比
430 430  * 在最近六个月内通过控制评审和审计的控制的百分比
... ... @@ -438,24 +438,20 @@
438 438  
439 439  = **3 价值流和流程** =
440 440  
441 -[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/3%20%E4%BB%B7%E5%80%BC%E6%B5%81%E5%92%8C%E6%B5%81%E7%A8%8B/WebHome?section=1]]
442 442  
443 -== ==
444 444  
445 -[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/3%20%E4%BB%B7%E5%80%BC%E6%B5%81%E5%92%8C%E6%B5%81%E7%A8%8B/WebHome?section=2]]
446 446  
447 -== 3.1 价值流贡献                                                                     ==
448 448  
449 -[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/3%20%E4%BB%B7%E5%80%BC%E6%B5%81%E5%92%8C%E6%B5%81%E7%A8%8B/WebHome?section=3]]
422 +== 3.1 价值流贡献                                                         ==
450 450  
424 +
451 451  像任何其他ITIL 管理实践一样,风险管理实践支撑多个价值流。重要的是要记住,价值流永远不会由单个实践形成。风险管理实践与其他实践相结合从而为消费者提供高质量服务。本实践为所有的价值链活动做出了重大贡献。
452 452  
453 453  图3.1 中显示了风险管理实践对服务价值链的贡献。
454 454  
455 455  
456 -== 3.2 流程                                                                                ==
430 +== 3.2 流程                                                                    ==
457 457  
458 -[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/3%20%E4%BB%B7%E5%80%BC%E6%B5%81%E5%92%8C%E6%B5%81%E7%A8%8B/WebHome?section=4]]
459 459  
460 460  每个实践可能包含一个或多个流程和活动,它们对于实现该实践的目的可能是必需的。
461 461  
... ... @@ -466,7 +466,7 @@
466 466  )))
467 467  
468 468  (% style="text-align:center" %)
469 -[[image:http://itil4hub.cn/bin/download/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/3%20%E4%BB%B7%E5%80%BC%E6%B5%81%E5%92%8C%E6%B5%81%E7%A8%8B/WebHome/1600758036102-102.png?rev=1.1||alt="1600758036102-102.png"]]
442 +[[image:1642584198311-223.png]]
470 470  
471 471   **图3.1 风险管理实践对价值链活动的贡献热力图**
472 472  
... ... @@ -484,31 +484,13 @@
484 484  
485 485  **表3.1 风险管理的治理流程的输入、活动和输出**
486 486  
487 -|**关键输入**|**活动**|**关键输出**
488 -|(((
489 -1. 环境因素(PESTLE)
490 -1. 竞争环境
491 -1. 威胁环境
492 -1. 法规要求
493 -1. 组织战略
494 -)))|(((
495 -1. 分析环境
496 -1. 记录风险容量和风险偏好
497 -1. 记录风险管理策略
498 -1. 为管理提供指导
499 -1. 监控组织
500 -)))|(((
501 -1. 风险容量
502 -1. 风险偏好
503 -1. 风险管理策略
504 -1. 风险管理预算
505 -1. 提供给管理的指导
506 -)))
460 +[[image:1642584384875-903.png]]
507 507  
462 +
508 508  图3.2 显示了流程的工作流图
509 509  
510 510  (% style="text-align:center" %)
511 -[[image:http://itil4hub.cn/bin/download/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/3%20%E4%BB%B7%E5%80%BC%E6%B5%81%E5%92%8C%E6%B5%81%E7%A8%8B/WebHome/1600758179177-501.png?rev=1.1||alt="1600758179177-501.png"]]
466 +[[image:1642584395108-576.png]]
512 512  
513 513  **图3.2 风险管理的治理流程的工作流**
514 514  
... ... @@ -518,38 +518,12 @@
518 518  
519 519  **表3.2 风险管理的治理流程的活动**
520 520  
521 -|**活动**|**示例**
522 -|分析环境|(((
523 -该活动并非特定用于风险管理。治理主体分析了:
476 +[[image:1642584450731-804.png]]
524 524  
525 -* 限制和影响组织的PESTLE因素(政治,经济,社会,技术,法律和环境)
526 -* 法规要求
527 -* 竞争环境
528 -* 威胁环境
478 +[[image:1642584466717-342.png]]
529 529  
530 -并基于这些因素和其他因素制定整体的组织战略,其中包括风险管理的策略。
531 531  
532 -该活动通常按计划进行,典型的是每年一次,但也可以由任何可能影响组织战略的事件触发。
533 -)))
534 -|记录风险容量和风险偏好|基于对环境、组织文化和组织战略的分析,治理主体建立并记录了组织的风险容量和风险偏好。
535 -|记录风险管理策略|(((
536 -风险管理策略指定了用于识别、分析和管理风险的方法。这可能包括采用特定的标准和准则,例如ISO31000。创建此策略需要风险管理的专业知识,但决定和授权仍由治理主体负责。
537 537  
538 -治理主体为风险管理分配预算,该预算必须足以满足策略的需求。
539 -)))
540 -|为管理提供指导|(((
541 -该活动并非特定用于风险管理(但提供的特定指导是关于风险管理的)。
542 -
543 -治理主体适当地分担风险容量、风险偏好和风险管理策略,并确保整个组织中的管理层都意识到各自的风险管理责任。
544 -)))
545 -|监控组织|(((
546 -尽管可能存在特定的有关风险管理的内容,但该活动并非特定用于风险管理。
547 -
548 -治理主体评审审计报告并监控组织,以确保风险管理正按照其意图进行。如果存在重大缺陷,则可能会触发重新分析环境和评审风险容量、偏好和策略的需求。
549 -)))
550 -
551 -=== ===
552 -
553 553  === **3.2.2 风险的识别,分析和处置** ===
554 554  
555 555  该流程包括表3.3 中列出的活动,并将输入转换为输出。
... ... @@ -557,30 +557,12 @@
557 557  
558 558  **表3.3 标识,分析和处置流程的输入,活动和输出**
559 559  
560 -|**关键输入**|**活动**|**关键输出**
561 -|(((
562 -* 风险管理策略
563 -* 风险偏好
564 -* 风险管理预算
565 -* 现有风险登记册
566 -* 服务组合
567 -* 服务模型
568 -* 确定为其他活动一部分的风险
569 -* 标准和框架
570 -* 第三方提供的威胁评估和脆弱性评估服务
571 -)))|(((
572 -* 风险识别
573 -* 风险分析和评价
574 -* 风险处置
575 -)))|(((
576 -* 更新的风险登记册
577 -* 新增和更新的控制
578 -)))
489 +[[image:1642584492168-982.png]]
579 579  
580 580  图3.3 显示了流程的工作流图。
581 581  
582 582  (% style="text-align:center" %)
583 -[[image:http://itil4hub.cn/bin/download/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/3%20%E4%BB%B7%E5%80%BC%E6%B5%81%E5%92%8C%E6%B5%81%E7%A8%8B/WebHome/1600758257795-496.png?rev=1.1||alt="1600758257795-496.png"]]
494 +[[image:1642584503066-361.png]]
584 584  
585 585  图3.3 风险识别,分析和处置流程的工作流
586 586  
... ... @@ -590,54 +590,14 @@
590 590  
591 591  **表3.4 风险识别、分析和处置流程的活动**
592 592  
593 -|**活动**|**描述**
594 -|风险识别|(((
595 -风险识别活动专注于特定的控制范围。项目的风险识别将考虑项目风险,服务的风险识别将考虑服务风险,依此类推。
504 +[[image:1642584543542-498.png]]
596 596  
597 -风险识别可以定期执行,也可以由事件触发,例如安全违规事件,新的服务建立或与新合作伙伴开始合作。
506 +[[image:1642584594216-230.png]]
598 598  
599 -有许多不同的技术可用于识别风险,包括:
508 +[[image:1642584607526-755.png]]
600 600  
601 -* 评审以前的风险登记册
602 -* 分析服务组合和服务模型
603 -)))
604 -| |(((
605 -* 头脑风暴
606 -* 考虑特定场景的桌面练习
607 -* 与利益相关者的访谈,包括客户,用户,技术人员等
608 -* 威胁评估和脆弱性评估,如果内部没有可用的资源和技能,则可以由第三方进行
609 -* 基于标准和最佳实践的检查表
610 -* 组织中其他部分已经识别的风险
611 -* 发布到建议箱或匿名电子邮件帐户的风险
612 -* 供应商,合作伙伴或其他组织已确定的有关风险的信息
613 -* 技术工具的输出,例如防火墙日志或入侵检测系统的报告
614 -* 服务级别报告,显示趋势和潜在的由于无法满足约定的服务质量带来的失效
615 615  
616 -为每个识别出的风险分配一个所有者,负责确保了解风险并采取适当的行动。
617 617  
618 -风险和风险所有者记录在风险登记册中。
619 -)))
620 -|(((
621 -风险分析和评价
622 -
623 -
624 -)))|(((
625 -使用风险管理策略指定的定性或定量方法分析每个风险的可能性和潜在影响。基于此分析以及组织的风险偏好,对每个风险进行评估以决定用怎样的时间和预算级别来管理风险。风险所有者可以自己进行分析,也可以评价自己进行分析,或者委托它并审查发现。
626 -
627 -风险登记册依据风险分析的输出和评价进行更新
628 -)))
629 -|风险处置|(((
630 -为每个风险选择一个风险处置选项
631 -
632 -* 如果风险被接受,则必须将此决定记录在案并传达给适当的利益相关者
633 -* 用于管理每个风险控制的选择可以基于风险管理、策略,或者标准和最佳实践,也可以针对特定情况而设计
634 -* 风险处置可能需要设计,投资,开发,测试,部署和其他活动。所有这些都应进行管理,以确保风险的处理已完全按照与风险所有者达成的意见实施
635 -
636 -风险登记册已更新,以显示风险处置方式,包括相关的实施日期。
637 -)))
638 -
639 -=== ===
640 -
641 641  === **3.2.3 风险监控和评审** ===
642 642  
643 643  该流程包括表3.5 中列出的活动,并将以下输入转换为输出。
... ... @@ -645,24 +645,13 @@
645 645  
646 646  **表3.5 风险监控和评审流程的输入、活动和输出**
647 647  
648 -|**关键输入**|**活动**|**关键输出**
649 -|(((
650 -* 风险管理策略
651 -* 风险登记册
652 -* 威胁和脆弱性评估服务
653 -)))|(((
654 -* 控制评估和评价
655 -* 风险评审和审计
656 -)))|(((
657 -* 更新的风险登记册
658 -* 审计报告
659 -* 新增和已更新控制的需求
660 -)))
519 +[[image:1642584631769-602.png]]
661 661  
521 +
662 662  图3.4 显示了风险监控和评审流程的工作流图
663 663  
664 664  (% style="text-align:center" %)
665 -[[image:http://itil4hub.cn/bin/download/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/3%20%E4%BB%B7%E5%80%BC%E6%B5%81%E5%92%8C%E6%B5%81%E7%A8%8B/WebHome/1600758490716-262.png?rev=1.1||alt="1600758490716-262.png"]]
525 +[[image:1642584640794-437.png]]
666 666  
667 667  **图3.4 风险监控和评审流程的工作流**
668 668  
... ... @@ -669,38 +669,18 @@
669 669  
670 670  **表3.6 风险监控和评审流程的活动**
671 671  
672 -|**活动**|**示例**
673 -|控制评估和评价|(((
674 -控制评估和评价确保控制已得到完全正确地实现,且仍与目标相符,并能够提供所需的风险管理级别。
532 +[[image:1642584673251-422.png]]
675 675  
676 -活动应该定期执行,在高风险环境中可能需每周甚至每天执行。活动也可能由事件触发,例如安全事件,新增的或更改的服务,或与新合作伙伴建立关系。
677 677  
678 -控制评估是分析已实施的一个或多个控制的实现程度。例如,通过审计计算机以确保它们安装了正确的防病毒软件版本,或通过检查办公室以确保遵守整洁办公桌策略。
679 679  
680 -控制评价是分析控制的连续相关性,以确定它是否仍与目标相符。例如,通过确定控制试图修改的风险仍然存在。
681 -
682 -控制评估和评价通常是针对控制的特定子集来执行的。某些控制可能需要每天进行评审,而其他控制的评审频率可能要低得多。
683 -
684 -评估和评价可能会导致风险登记册的更新,对新增控制或更新控制的需求或对风险审计的需求。
685 -)))
686 -|风险审计|(((
687 -审计确保风险管理随环境的变化而保持符合性和相关性。
688 -
689 -审计通常是按计划执行的,但是可以由事件触发,例如安全事件,或与新合作伙伴建立关系。
690 -
691 -审计可以在内部进行,也可以由第三方进行。审计的输出可能会确定需要实施新增的或更新的控制,并将为“ 风险管理的治理”流程的“监控组织”活动提供输入。
692 -)))
693 -
694 694  ----
695 695  
696 696  = 4 组织和人员 =
697 697  
698 698  
699 -[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/4%20%E7%BB%84%E7%BB%87%E5%92%8C%E4%BA%BA%E5%91%98/WebHome?section=1]]
700 700  
701 -== 4.1 角色,能力和责任                                                          ==
542 +== 4.1 角色,能力和责任                                              ==
702 702  
703 -[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/4%20%E7%BB%84%E7%BB%87%E5%92%8C%E4%BA%BA%E5%91%98/WebHome?section=2]]
704 704  
705 705  实践指南没有描述实践管理的角色,例如实践所有者,实践领导者或实践教练。而是专注于每个实践特定的专业角色。每个角色的结构和命名在不同组织间各不相同,因此ITIL中定义的任何角色都不应被视为强制性的,甚至不能作为建议使用。
706 706  
... ... @@ -711,12 +711,13 @@
711 711  
712 712  **表4.1 能力代码和概况**
713 713  
714 -|**能力编码**|**能力类型(活动和技能)**
715 -|**L**|领导 Leader,决策、授权、监督其他活动,提供激励和动力,并评估结果
716 -|**A**|管理员 Administrator,分配任务并确定优先级,保存记录,持续报告,并启动基本改进
717 -|**C**|协调者/沟通者 Coordnator/Communicator,协调多方,维持利益相关者之间的沟通,并开展宣传活动
718 -|**M**|方法和技巧专家 Methods and techniques expert,设计和实施工作技巧,记录步骤,流程咨询、工作分析和持续改进
719 -|**T**|技术专家 Technical expert,提供技术(IT)专业知识并执行基于专家经验的作业
554 +(% style="width:575px" %)
555 +|(% style="width:91px" %)**能力编码**|(% style="width:482px" %)**能力类型(活动和技能)**
556 +|(% style="width:91px" %)**L**|(% style="width:482px" %)领导 Leader,决策、授权、监督其他活动,提供激励和动力,并评估结果
557 +|(% style="width:91px" %)**A**|(% style="width:482px" %)管理员 Administrator,分配任务并确定优先级,保存记录,持续报告,并启动基本改进
558 +|(% style="width:91px" %)**C**|(% style="width:482px" %)协调者/沟通者 Coordnator/Communicator,协调多方,维持利益相关者之间的沟通,并开展宣传活动
559 +|(% style="width:91px" %)**M**|(% style="width:482px" %)方法和技巧专家 Methods and techniques expert,设计和实施工作技巧,记录步骤,流程咨询、工作分析和持续改进
560 +|(% style="width:91px" %)**T**|(% style="width:482px" %)技术专家 Technical expert,提供技术(IT)专业知识并执行基于专家经验的作业
720 720  
721 721  下表4.2 中列出了风险管理涉及的角色示例。
722 722  
... ... @@ -723,41 +723,15 @@
723 723  
724 724  **表4.2 负责风险管理活动的角色示例**
725 725  
726 -|**活动**|**负责角色**|**能力类型**|**特定技能**
727 -|(% colspan="4" %)流程:风险管理的治理
728 -|分析环境|风险管理委员会(代表董事会)|MC|影响组织的PESTLE因素的可视化
729 -|记录风险容量和风险偏好|风险管理委员会|MC|能够定义简洁完整而客观的风险指标系统
730 -|记录风险管理策略|风险管理委员会|MCL|意识到组织特定的文档要求。
731 -|为管理提供指导|(((
732 -风险管理委员会,
567 +[[image:1642584956469-967.png]]
733 733  
734 -预算委员会
735 -)))|LC|启用沟通渠道;确保管理人员不断参与,以确保风险管理策略的清晰和持续实现。
736 -|监控组织|风险管理委员会|CAM|可视化组织绩效指标
737 -|(% colspan="4" %)流程:风险的识别,分析和处置
738 -|风险识别|(((
739 -主题事务专家,
569 +[[image:1642584973390-620.png]]
740 740  
741 -服务或产品所有者
742 -)))|MTC|影响风险评估范围中对象的专业能力和PESTLE因素可视化
743 -|风险分析和评价|主题事务专家(风险所有者)|TML|能够系统地应用定性和定量风险分析工具并得出结论的能力
744 -|风险处置|风险所有者,网络安全项目管理人员|CAM|项目管理实践
745 -|(% colspan="4" %)流程:风险监控和评审
746 -|控制评估和评价|风险所有者,风险管理委员会代表|MTCA|了解风险管理政策中规定的现有控制和控制维护要求
747 -|风险审计和评审|审计委员会或外部审计人员(根据授权并代表董事会)|CAMT|(((
748 -审计管理技术
749 749  
750 -通用审计实践命令
751 751  
752 -保证审计人员的完整性,客观性和独立性
753 -)))
573 +== 4.1 组织结构和团队                                                 ==
754 754  
755 -== ==
756 756  
757 -== 4.1 组织结构和团队                                                             ==
758 -
759 -[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/4%20%E7%BB%84%E7%BB%87%E5%92%8C%E4%BA%BA%E5%91%98/WebHome?section=3]]
760 -
761 761  风险管理实践是众多的实践之一,它为服务提供者实现价值共创所做的一切提供支撑。因此,此实践是每个人在其控制范围中应承担的责任。
762 762  
763 763  在商业企业中,董事会(或另一个顶层治理主体)最终要负责为组织的利益相关者实施一个充足且令人满意的风险管理框架。这个风险管理框架的持续开发工作通常委派给一个或多个风险管理委员会,并在董事会监督之下进行。
... ... @@ -770,12 +770,10 @@
770 770  
771 771  = 5 信息和技术 =
772 772  
773 -[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/5%20%E4%BF%A1%E6%81%AF%E5%92%8C%E6%8A%80%E6%9C%AF/WebHome?section=1]]
774 774  
775 -== ==
776 776  
777 -[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/5%20%E4%BF%A1%E6%81%AF%E5%92%8C%E6%8A%80%E6%9C%AF/WebHome?section=2]]
778 778  
591 +
779 779  == 5.1 信息交换,输入/输出 ==
780 780  
781 781  风险管理实践的效果基于所用信息的质量。该信息包括但不限于以下信息:
... ... @@ -788,9 +788,8 @@
788 788  信息可以采用各种形式。本实践的关键输入和输出在第3节中列出。
789 789  
790 790  
791 -== 5.2 自动化和工具                                                                     ==
604 +== 5.2 自动化和工具                                                         ==
792 792  
793 -[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/5%20%E4%BF%A1%E6%81%AF%E5%92%8C%E6%8A%80%E6%9C%AF/WebHome?section=4]]
794 794  
795 795  在大多数情况下,风险管理实践可以从自动化中受益显著(有关何时适用的详细信息,请参阅本指南的价值流和流程部分)。可行且有效的解决方案可能包括表5.1中所列。
796 796  
... ... @@ -797,38 +797,18 @@
797 797  
798 798  **表5.1 风险管理活动的自动化解决方案**
799 799  
800 -|流程活动|自动化方法|关键功能|对实践效果的影响
801 -|(% colspan="4" %)流程:风险管理的治理
802 -|分析环境|(((
803 -服务组合
612 +[[image:1642585074201-892.png]]
804 804  
805 -服务目录
614 +[[image:1642585123347-542.png]]
806 806  
807 -服务模型
808 808  
809 -知识管理工具和文档库
810 -)))|提供有关交付和使用服务的环境的信息|高
811 -|记录风险容量和风险偏好|知识管理工具和文档库| |中
812 -|记录风险管理策略|知识管理工具和文件库|(% rowspan="3" %)风险管理框架,包括策略,指南,现有和预期的控制以及服务提供者工作人员可以轻松访问的风险登记册;外部利益相关者,例如客户代表和监管机构,在框架上也应该有足够的可视化|中
813 -|为管理提供指导|电子邮件和其他通讯渠道,知识管理工具和文档库|高
814 -|监控组织|电子邮件和其他通讯渠道|高
815 -|(% colspan="4" %)流程:风险的识别,分析和处置
816 -|风险识别|基础架构和应用程序的监控和报告工具,内置的用户行为监控工具,仪表板和报告工具,高级分析工具,调查和满意度监控工具,用户门户和移动应用程序,社交媒体|服务管理工具提供有关风险参数变化的运维和分析信号。风险所有者应在履行其风险管理职责过程中应用这些内容|高
817 817  
818 -|流程活动|自动化方法|关键功能|对实践效果的影响
819 -|风险分析和评价|知识管理工具和文档库,服务模型,CMDB,分析工具|根据所识别或更新的风险的性质,分析可通过多种管理系统数据来得到支撑。风险所有者应确保得到关于分析和评价决定的通知|高
820 -|风险处置|变更初始化和控制工具|现有的变更管理和项目管理工具应确保以受控方式实施风险对策,无论是一次性的还是持续进行的、技术的、组织的或其他形式的对策|中
821 -|(% colspan="4" %)流程:风险监控和评审
822 -|控制评估和评价|知识管理工具和文档库|尽管必须通过非自动化的交互来观察组织内的风险管理文化,但评估者应有权访问包括风险登记册在内的风险管理框架|中
823 -|风险审计和评审|知识管理工具和文档库|尽管必须通过非自动化的交互来观察组织内的风险管理文化,但审计人员应有权访问包括风险登记册在内的风险管理框架|中
824 -
825 825  ----
826 826  
620 +=
621 +6 合作伙伴和供应商 =
827 827  
828 -= 6 合作伙伴和供应商 =
829 829  
830 -[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/6%20%E5%90%88%E4%BD%9C%E4%BC%99%E4%BC%B4%E5%92%8C%E4%BE%9B%E5%BA%94%E5%95%86/WebHome?section=1]]
831 -
832 832  组织内仅有很少的服务使用自己的资源来交付。大多数服务(如果不是全部)依赖于其他服务,这些服务通常由组织之外的第三方提供(服务关系模型请参阅//ITIL Foundation: ITIL 第4 版//的2.4章节)。由支持服务引入的关系和依赖性在供应商管理和服务级别管理的ITIL实践中描述。
833 833  
834 834  服务提供者的合作伙伴和供应商可能会为现有服务提供和变更配置生成和减轻新的风险。当引入新合作伙伴和供应商时,服务提供者需要关注后者。
... ... @@ -845,7 +845,6 @@
845 845  
846 846  = 7 重要提醒 =
847 847  
848 -[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/7%20%E9%87%8D%E8%A6%81%E6%8F%90%E9%86%92/WebHome?section=1]]
849 849  
850 850  实践指南的大部分内容都应作为组织在建立和培养自己的实践时可能考虑的领域的建议。实践指南是组织可能考虑事情的目录,而不是答案列表。使用ITIL 实践指南的内容时,组织应始终遵循ITIL 指导原则:
851 851  
... ... @@ -866,26 +866,21 @@
866 866  
867 867  = **8 致谢 ** =
868 868  
869 -[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/8%20%E8%87%B4%E8%B0%A2/WebHome?section=1]]
870 870  
871 871  AXELOS 公司非常感谢为本指南的开发做出贡献的每一个人。这些实践指南融合了ITIL社区前所未有的热情和反馈。AXELOS特别要感谢以下人员 :
872 872  
873 -== ==
874 874  
875 -[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/8%20%E8%87%B4%E8%B0%A2/WebHome?section=2]]
876 876  
877 -== 8.1 作者                                                                                 ==
878 878  
879 -[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/8%20%E8%87%B4%E8%B0%A2/WebHome?section=3]]
666 +== 8.1 作者                                                                     ==
880 880  
668 +
881 881  斯图尔特·兰斯(Stuart Rance),康斯坦丁·纳里兹尼(Konstantin Naryzhny)
882 882  
883 -== ==
884 884  
885 -[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/8%20%E8%87%B4%E8%B0%A2/WebHome?section=4]]
886 886  
887 -== 8.1 审稿人                                                                             ==
888 888  
889 -[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/8%20%E8%87%B4%E8%B0%A2/WebHome?section=5]]
674 +== 8.1 审稿人                                                                 ==
890 890  
676 +
891 891  罗曼·朱拉夫列夫(Roman Jouravlev)
Icon 1642583640886-103.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.superadmin
Size
... ... @@ -1,0 +1,1 @@
1 +8.9 KB
Content Icon
Icon 1642584198311-223.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.superadmin
Size
... ... @@ -1,0 +1,1 @@
1 +121.2 KB
Content Icon
Icon 1642584384875-903.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.superadmin
Size
... ... @@ -1,0 +1,1 @@
1 +25.5 KB
Content Icon
Icon 1642584395108-576.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.superadmin
Size
... ... @@ -1,0 +1,1 @@
1 +118.8 KB
Content Icon
Icon 1642584450731-804.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.superadmin
Size
... ... @@ -1,0 +1,1 @@
1 +48.7 KB
Content Icon
Icon 1642584466717-342.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.superadmin
Size
... ... @@ -1,0 +1,1 @@
1 +61.8 KB
Content Icon
Icon 1642584492168-982.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.superadmin
Size
... ... @@ -1,0 +1,1 @@
1 +37.7 KB
Content Icon
Icon 1642584503066-361.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.superadmin
Size
... ... @@ -1,0 +1,1 @@
1 +60.4 KB
Content Icon
Icon 1642584543542-498.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.superadmin
Size
... ... @@ -1,0 +1,1 @@
1 +32.7 KB
Content Icon
Icon 1642584570362-740.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.superadmin
Size
... ... @@ -1,0 +1,1 @@
1 +59.0 KB
Content Icon
Icon 1642584594216-230.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.superadmin
Size
... ... @@ -1,0 +1,1 @@
1 +59.3 KB
Content Icon
Icon 1642584607526-755.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.superadmin
Size
... ... @@ -1,0 +1,1 @@
1 +59.1 KB
Content Icon
Icon 1642584631769-602.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.superadmin
Size
... ... @@ -1,0 +1,1 @@
1 +18.6 KB
Content Icon
Icon 1642584640794-437.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.superadmin
Size
... ... @@ -1,0 +1,1 @@
1 +67.6 KB
Content Icon
Icon 1642584673251-422.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.superadmin
Size
... ... @@ -1,0 +1,1 @@
1 +94.5 KB
Content Icon
Icon 1642584956469-967.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.superadmin
Size
... ... @@ -1,0 +1,1 @@
1 +84.5 KB
Content Icon
Icon 1642584973390-620.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.superadmin
Size
... ... @@ -1,0 +1,1 @@
1 +28.9 KB
Content Icon
Icon 1642585031895-976.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.superadmin
Size
... ... @@ -1,0 +1,1 @@
1 +64.0 KB
Content Icon
Icon 1642585074201-892.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.superadmin
Size
... ... @@ -1,0 +1,1 @@
1 +80.8 KB
Content Icon
Icon 1642585123347-542.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.superadmin
Size
... ... @@ -1,0 +1,1 @@
1 +71.4 KB
Content Icon
深圳市艾拓先锋企业管理咨询有限公司