Last modified by superadmin on 2024/12/25, 15:36
From version < 37.1 >
edited by superadmin
on 2022/01/19, 17:39
To version < 12.1 >
edited by superadmin
on 2021/02/07, 18:34
< >
Change comment: There is no comment for this version

Summary

Details

Icon Page properties
Title
... ... @@ -1,1 +1,1 @@
1 -25 风险管理实践
1 +25 风险管理 (已发布)
Content
... ... @@ -3,7 +3,7 @@
3 3  {{/box}}
4 4  
5 5  (((
6 -
6 += =
7 7  
8 8  
9 9  需要下载 **ITIL 4风险管理实践【中文】**pdf版全文,请关注微信公众号itilxf ,并回复“风险管理”即可。
... ... @@ -77,12 +77,12 @@
77 77  风险管理实践提供了在服务管理四个维度上有效且高效地识别和管理风险所需资源的机制。
78 78  
79 79  
80 -== 2.2 术语和概念                                                          ==
80 +== 2.2 术语和概念                                                              ==
81 81  
82 82  [[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/2%20%E4%B8%80%E8%88%AC%E4%BF%A1%E6%81%AF/WebHome?section=3]]
83 83  
84 +=== ===
84 84  
85 -
86 86  === **2.2.1 风险** ===
87 87  
88 88  |**风险**
... ... @@ -101,8 +101,8 @@
101 101  
102 102  如果组织中的风险级别太高,则可能对其持续运营能力产生重要的影响。组织的风险容量是组织可以忍受风险的最大值,并且通常基于诸如对声誉和资产的损害等因素。
103 103  
104 +=== ===
104 104  
105 -
106 106  === **2.2.3 风险偏好** ===
107 107  
108 108  风险偏好由组织治理定义,用于促进决策和风险管理活动。
... ... @@ -142,12 +142,11 @@
142 142  
143 143  表2.1 风险处置选项
144 144  
145 -(% style="width:814px" %)
146 -|(% style="width:172px" %)**处置**|(% style="width:277px" %)**描述**|(% style="width:363px" %)**示例**
147 -|(% style="width:172px" %)风险规避|(% style="width:277px" %)通过不执行危险的活动来防止风险|(% style="width:363px" %)通过拒绝商业投资建议,避免无法交付预期价值的投资风险
148 -|(% style="width:172px" %)风险修正(或风险降低)|(% style="width:277px" %)实施控制以减少风险的可能性或影响|(% style="width:363px" %)在网络上传输敏感信息时对其进行加密,以减少被破译的可能性
149 -|(% style="width:172px" %)风险分担|(% style="width:277px" %)通过将一些风险传递给第三方来减少影响|(% style="width:363px" %)为火灾或网络攻击购买保险
150 -|(% style="width:172px" %)风险残留(或风险接受)|(% style="width:277px" %)主观上决定接受风险,因为它低于可接受的阈值(并且在组织的风险偏好范围之内)|(% style="width:363px" %)通过接受商业投资建议,接受未能交付预期价值的投资风险
145 +|**处置**|**描述**|**示例**
146 +|风险规避|通过不执行危险的活动来防止风险|通过拒绝商业投资建议,避免无法交付预期价值的投资风险
147 +|风险修正(或风险降低)|实施控制以减少风险的可能性或影响|在网络上传输敏感信息时对其进行加密,以减少被破译的可能性
148 +|风险分担|通过将一些风险传递给第三方来减少影响|为火灾或网络攻击购买保险
149 +|风险残留(或风险接受)|主观上决定接受风险,因为它低于可接受的阈值(并且在组织的风险偏好范围之内)|通过接受商业投资建议,接受未能交付预期价值的投资风险
151 151  
152 152  在涉及正面风险(机会)时,术语通常略有不同。“风险规避“变成“风险利用“,而”风险降低”变成”风险增强“。然而,术语”风险修正”已经涵盖了正面风险和负面风险的意思。
153 153  
... ... @@ -164,33 +164,32 @@
164 164  
165 165  表2.2 控制示例
166 166  
167 -(% style="width:533px" %)
168 -|(% style="width:163px" %)**维度**|(% style="width:368px" %)**控制示例**
169 -|(% style="width:163px" %)组织和人员|(% style="width:368px" %)(((
166 +|**维度**|**控制示例**
167 +|组织和人员|(((
170 170  * 整洁办公桌策略
171 171  * 安全意识培训
172 172  )))
173 -|(% style="width:163px" %)信息和技术|(% style="width:368px" %)(((
171 +|信息和技术|(((
174 174  * 网络防火墙
175 175  * 审计记录
176 176  )))
177 -|(% style="width:163px" %)供应商和合作伙伴|(% style="width:368px" %)(((
175 +|供应商和合作伙伴|(((
178 178  * 将供应商认证作为质量管理体系标准的合同要求
179 179  * 供应商活动的日常审计
180 180  )))
181 -|(% style="width:163px" %)价值流和流程|(% style="width:368px" %)(((
179 +|价值流和流程|(((
182 182  * 部署之前的变更评估
183 183  * 员工招聘期间的背景调查
184 184  )))
185 185  
184 +=== ===
186 186  
187 -
188 188  === **2.2.8 剩余风险** ===
189 189  
190 190  风险处置通常不能完全消除风险。因此,在应用控制之后有必要执行新的风险评估。这是为了了解新的可能性和影响,然后计算剩余风险。组织然后可以选择应用更多控制来进一步减小风险。或者,组织可以接受剩余风险,并将其记录在风险登记册中,像其他保留的风险一样以相同的方式传递给利益相关者。
191 191  
192 192  
193 -== **2.3 范围**                                                                     ==
191 +== 2.3 范围                                                                         ==
194 194  
195 195  [[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/2%20%E4%B8%80%E8%88%AC%E4%BF%A1%E6%81%AF/WebHome?section=4]]
196 196  
... ... @@ -210,10 +210,9 @@
210 210  
211 211  表2.3 其他实践指南中与风险管理实践相关的活动
212 212  
213 -(% style="width:346px" %)
214 -|(% style="width:169px" %)活动|(% style="width:174px" %)实践指南
215 -|(% style="width:169px" %)特定风险的管理|(% style="width:174px" %)所有实践
216 -|(% style="width:169px" %)实施变更以减轻风险|(% style="width:174px" %)(((
211 +|活动|实践指南
212 +|特定风险的管理|所有实践
213 +|实施变更以减轻风险|(((
217 217  组织变更管理
218 218  
219 219  变更使能
... ... @@ -232,9 +232,10 @@
232 232  
233 233  项目管理
234 234  )))
235 -|(% style="width:169px" %)成本控制,风险的财务评价和风险减轻选项|(% style="width:174px" %)服务财务管理
236 -|(% style="width:169px" %)愿景的定义和风险管理的战略目标|(% style="width:174px" %)战略管理
232 +|成本控制,风险的财务评价和风险减轻选项|服务财务管理
233 +|愿景的定义和风险管理的战略目标|战略管理
237 237  
235 +=== ===
238 238  
239 239  === **2.3.1 项目管理** ===
240 240  
... ... @@ -288,7 +288,7 @@
288 288  好的服务级别报告包括识别将来可能影响服务的风险,以及如何管理这些风险的说明。通常,风险管理需要记录来自客户和用户的输入或他们采取的行动。
289 289  
290 290  
291 -== **2.4 实践成功因素        ** ==
289 +== 2.4 实践成功因素                                                           ==
292 292  
293 293  [[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/2%20%E4%B8%80%E8%88%AC%E4%BF%A1%E6%81%AF/WebHome?section=5]]
294 294  
... ... @@ -307,7 +307,6 @@
307 307  * 分析和评估风险
308 308  * 处置、监控和评审风险
309 309  
310 -
311 311  === **2.4.1 建立风险管理的治理** ===
312 312  
313 313  所有风险管理活动都需要清楚地了解组织的风险容量和风险偏好。这些活动不能由实践者定义,它们是组织治理的关键。这意味着风险管理依赖于组织的整体治理。
... ... @@ -330,13 +330,18 @@
330 330  
331 331  风险分析包括了解每个风险发生的可能性和潜在影响。分析可以是定性的或定量的。
332 332  
330 +==== ====
333 333  
332 +(% class="wikigeneratedid" id="H2.4.3.15B9A602798CE966952066790" %)
333 +2.4.3.1 定性风险分析
334 334  
335 -==== 2.4.3.1 定性风险分析 ====
336 -
337 337  定性风险分析使用简单的度量(例如高,中或低)来区分可能性和影响的不同级别。定性风险分析通常会使用一个表格,该表格用于从影响级别和可能性级别两个维度中得出总体风险的级别,如图2.1 所示。
338 338  
339 -[[image:1642583640886-103.png]]
337 +|(% rowspan="5" %)影响|高|中|高|高
338 +|中|低|中|中
339 +|低|低|低|低
340 +| |低|中|高
341 +|(% colspan="4" %)可能性
340 340  
341 341  图2.1 用于定性风险分析的矩阵示例
342 342  
... ... @@ -345,10 +345,11 @@
345 345  
346 346  一些组织使用的是五点量表,而不是图2.1中所示的简单的三点量表(高,中或低),但是方法仍然相同。
347 347  
350 +==== ====
348 348  
352 +(% class="wikigeneratedid" id="H2.4.3.25B9A91CF98CE966952066790" %)
353 +2.4.3.2 定量风险分析
349 349  
350 -==== 2.4.3.2 定量风险分析 ====
351 -
352 352  定量风险分析在财务基础以及其他量化基础上考虑风险影响。可能性以概率来衡量。这种风险分析用于支持商业案例中的预算,以证明管理风险可能需要的投资是合理的。
353 353  
354 354  |(((
... ... @@ -359,9 +359,10 @@
359 359  单一预期损失(SLE)
360 360  
361 361  每次发生风险时,由风险造成的预期财务损失。
365 +
366 +
362 362  )))
363 363  
364 -
365 365  |(((
366 366  年度预期损失(ALE)
367 367  
... ... @@ -374,10 +374,11 @@
374 374  
375 375  ALE通过将SLE乘以ARO来计算。然后可以将此结果与控制的成本进行比较,以便决定在管理特定风险方面需要投入多少资金。
376 376  
381 +==== ====
377 377  
383 +(% class="wikigeneratedid" id="H2.4.3.398CE96695B9A6027548C5B9A91CF7ED3540852066790" %)
384 +2.4.3.3 风险定性和定量结合分析
378 378  
379 -==== 2.4.3.3 风险定性和定量结合分析 ====
380 -
381 381  定量风险分析比定性风险分析要花费更多的时间,因此通常将两者结合在一起来优化分析数据的时间开销。这包括对每个已识别的风险进行定性风险分析,然后针对风险级别和降低风险的成本中超出特定阈值的那些风险执行定量风险分析。例如,组织的风险管理策略可能声明,如果控制的成本低于5,000英镑,则将使用控制来管理低级别风险。如果控制的成本高于5,000英镑,将执行定量风险分析。
382 382  
383 383  
... ... @@ -401,20 +401,19 @@
401 401  
402 402  表2.4 实践成功因素的关键指标示例
403 403  
404 -(% style="width:553px" %)
405 -|(% style="width:146px" %)**实践成功因素**|(% style="width:405px" %)**关键指标**
406 -|(% style="width:146px" %)建立风险管理的治理|(% style="width:405px" %)(((
409 +|**实践成功因素**|**关键指标**
410 +|建立风险管理的治理|(((
407 407  * 自上次评审和更新风险偏好以来的时间
408 408  * 明确记录了可能性、影响、所有者、处置计划和下一个行动日期的战略风险的百分比
409 409  )))
410 -|(% style="width:146px" %)培育风险管理文化并识别风险|(% style="width:405px" %)(((
414 +|培育风险管理文化并识别风险|(((
411 411  * 表示愿意在匿名调查中识别风险和错误的员工比例
412 412  * 非指定风险管理角色的人员所识别的风险数量
413 413  )))
414 -|(% style="width:146px" %)分析风险|(% style="width:405px" %)(((
418 +|分析风险|(((
415 415  * 在风险登记册上明确记录了可能性、影响和所有者的风险的百分比
416 416  )))
417 -|(% style="width:146px" %)处置,监控和评审风险|(% style="width:405px" %)(((
421 +|处置,监控和评审风险|(((
418 418  * 在风险登记册上明确记录了处置计划和下一个行动日期的风险百分比
419 419  * 风险登记册中最近六个月中已评审的风险百分比
420 420  * 在最近六个月内通过控制评审和审计的控制的百分比
... ... @@ -430,11 +430,11 @@
430 430  
431 431  [[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/3%20%E4%BB%B7%E5%80%BC%E6%B5%81%E5%92%8C%E6%B5%81%E7%A8%8B/WebHome?section=1]]
432 432  
437 +== ==
433 433  
434 -
435 435  [[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/3%20%E4%BB%B7%E5%80%BC%E6%B5%81%E5%92%8C%E6%B5%81%E7%A8%8B/WebHome?section=2]]
436 436  
437 -== 3.1 价值流贡献                                                                ==
441 +== 3.1 价值流贡献                                                                    ==
438 438  
439 439  [[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/3%20%E4%BB%B7%E5%80%BC%E6%B5%81%E5%92%8C%E6%B5%81%E7%A8%8B/WebHome?section=3]]
440 440  
... ... @@ -443,7 +443,7 @@
443 443  图3.1 中显示了风险管理实践对服务价值链的贡献。
444 444  
445 445  
446 -== 3.2 流程                                                                           ==
450 +== 3.2 流程                                                                               ==
447 447  
448 448  [[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/3%20%E4%BB%B7%E5%80%BC%E6%B5%81%E5%92%8C%E6%B5%81%E7%A8%8B/WebHome?section=4]]
449 449  
... ... @@ -455,9 +455,8 @@
455 455  一组相互关联或相互作用的活动,可将输入转换为输出。流程接受一个或多个已定义的输入,并将其转换为已定义的输出。流程定义了活动的顺序及其依赖性。
456 456  )))
457 457  
458 -
459 459  (% style="text-align:center" %)
460 -[[image:1642584198311-223.png]]
463 +[[image:http://itil4hub.cn/bin/download/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/3%20%E4%BB%B7%E5%80%BC%E6%B5%81%E5%92%8C%E6%B5%81%E7%A8%8B/WebHome/1600758036102-102.png?rev=1.1||alt="1600758036102-102.png"]]
461 461  
462 462   **图3.1 风险管理实践对价值链活动的贡献热力图**
463 463  
... ... @@ -468,7 +468,6 @@
468 468  * 风险的识别,分析和处置
469 469  * 风险监控和评审
470 470  
471 -
472 472  === **3.2.1 风险管理的治理** ===
473 473  
474 474  该流程包括表3.1中列出的活动,并将以下输入转换为输出。
... ... @@ -476,13 +476,31 @@
476 476  
477 477  **表3.1 风险管理的治理流程的输入、活动和输出**
478 478  
479 -[[image:1642584384875-903.png]]
481 +|**关键输入**|**活动**|**关键输出**
482 +|(((
483 +1. 环境因素(PESTLE)
484 +1. 竞争环境
485 +1. 威胁环境
486 +1. 法规要求
487 +1. 组织战略
488 +)))|(((
489 +1. 分析环境
490 +1. 记录风险容量和风险偏好
491 +1. 记录风险管理策略
492 +1. 为管理提供指导
493 +1. 监控组织
494 +)))|(((
495 +1. 风险容量
496 +1. 风险偏好
497 +1. 风险管理策略
498 +1. 风险管理预算
499 +1. 提供给管理的指导
500 +)))
480 480  
481 -
482 482  图3.2 显示了流程的工作流图
483 483  
484 484  (% style="text-align:center" %)
485 -[[image:1642584395108-576.png]]
505 +[[image:http://itil4hub.cn/bin/download/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/3%20%E4%BB%B7%E5%80%BC%E6%B5%81%E5%92%8C%E6%B5%81%E7%A8%8B/WebHome/1600758179177-501.png?rev=1.1||alt="1600758179177-501.png"]]
486 486  
487 487  **图3.2 风险管理的治理流程的工作流**
488 488  
... ... @@ -492,12 +492,38 @@
492 492  
493 493  **表3.2 风险管理的治理流程的活动**
494 494  
495 -[[image:1642584450731-804.png]]
515 +|**活动**|**示例**
516 +|分析环境|(((
517 +该活动并非特定用于风险管理。治理主体分析了:
496 496  
497 -[[image:1642584466717-342.png]]
519 +* 限制和影响组织的PESTLE因素(政治,经济,社会,技术,法律和环境)
520 +* 法规要求
521 +* 竞争环境
522 +* 威胁环境
498 498  
524 +并基于这些因素和其他因素制定整体的组织战略,其中包括风险管理的策略。
499 499  
526 +该活动通常按计划进行,典型的是每年一次,但也可以由任何可能影响组织战略的事件触发。
527 +)))
528 +|记录风险容量和风险偏好|基于对环境、组织文化和组织战略的分析,治理主体建立并记录了组织的风险容量和风险偏好。
529 +|记录风险管理策略|(((
530 +风险管理策略指定了用于识别、分析和管理风险的方法。这可能包括采用特定的标准和准则,例如ISO31000。创建此策略需要风险管理的专业知识,但决定和授权仍由治理主体负责。
500 500  
532 +治理主体为风险管理分配预算,该预算必须足以满足策略的需求。
533 +)))
534 +|为管理提供指导|(((
535 +该活动并非特定用于风险管理(但提供的特定指导是关于风险管理的)。
536 +
537 +治理主体适当地分担风险容量、风险偏好和风险管理策略,并确保整个组织中的管理层都意识到各自的风险管理责任。
538 +)))
539 +|监控组织|(((
540 +尽管可能存在特定的有关风险管理的内容,但该活动并非特定用于风险管理。
541 +
542 +治理主体评审审计报告并监控组织,以确保风险管理正按照其意图进行。如果存在重大缺陷,则可能会触发重新分析环境和评审风险容量、偏好和策略的需求。
543 +)))
544 +
545 +=== ===
546 +
501 501  === **3.2.2 风险的识别,分析和处置** ===
502 502  
503 503  该流程包括表3.3 中列出的活动,并将输入转换为输出。
... ... @@ -505,12 +505,30 @@
505 505  
506 506  **表3.3 标识,分析和处置流程的输入,活动和输出**
507 507  
508 -[[image:1642584492168-982.png]]
554 +|**关键输入**|**活动**|**关键输出**
555 +|(((
556 +* 风险管理策略
557 +* 风险偏好
558 +* 风险管理预算
559 +* 现有风险登记册
560 +* 服务组合
561 +* 服务模型
562 +* 确定为其他活动一部分的风险
563 +* 标准和框架
564 +* 第三方提供的威胁评估和脆弱性评估服务
565 +)))|(((
566 +* 风险识别
567 +* 风险分析和评价
568 +* 风险处置
569 +)))|(((
570 +* 更新的风险登记册
571 +* 新增和更新的控制
572 +)))
509 509  
510 510  图3.3 显示了流程的工作流图。
511 511  
512 512  (% style="text-align:center" %)
513 -[[image:1642584503066-361.png]]
577 +[[image:http://itil4hub.cn/bin/download/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/3%20%E4%BB%B7%E5%80%BC%E6%B5%81%E5%92%8C%E6%B5%81%E7%A8%8B/WebHome/1600758257795-496.png?rev=1.1||alt="1600758257795-496.png"]]
514 514  
515 515  图3.3 风险识别,分析和处置流程的工作流
516 516  
... ... @@ -520,14 +520,54 @@
520 520  
521 521  **表3.4 风险识别、分析和处置流程的活动**
522 522  
523 -[[image:1642584543542-498.png]]
587 +|**活动**|**描述**
588 +|风险识别|(((
589 +风险识别活动专注于特定的控制范围。项目的风险识别将考虑项目风险,服务的风险识别将考虑服务风险,依此类推。
524 524  
525 -[[image:1642584594216-230.png]]
591 +风险识别可以定期执行,也可以由事件触发,例如安全违规事件,新的服务建立或与新合作伙伴开始合作。
526 526  
527 -[[image:1642584607526-755.png]]
593 +有许多不同的技术可用于识别风险,包括:
528 528  
595 +* 评审以前的风险登记册
596 +* 分析服务组合和服务模型
597 +)))
598 +| |(((
599 +* 头脑风暴
600 +* 考虑特定场景的桌面练习
601 +* 与利益相关者的访谈,包括客户,用户,技术人员等
602 +* 威胁评估和脆弱性评估,如果内部没有可用的资源和技能,则可以由第三方进行
603 +* 基于标准和最佳实践的检查表
604 +* 组织中其他部分已经识别的风险
605 +* 发布到建议箱或匿名电子邮件帐户的风险
606 +* 供应商,合作伙伴或其他组织已确定的有关风险的信息
607 +* 技术工具的输出,例如防火墙日志或入侵检测系统的报告
608 +* 服务级别报告,显示趋势和潜在的由于无法满足约定的服务质量带来的失效
529 529  
610 +为每个识别出的风险分配一个所有者,负责确保了解风险并采取适当的行动。
530 530  
612 +风险和风险所有者记录在风险登记册中。
613 +)))
614 +|(((
615 +风险分析和评价
616 +
617 +
618 +)))|(((
619 +使用风险管理策略指定的定性或定量方法分析每个风险的可能性和潜在影响。基于此分析以及组织的风险偏好,对每个风险进行评估以决定用怎样的时间和预算级别来管理风险。风险所有者可以自己进行分析,也可以评价自己进行分析,或者委托它并审查发现。
620 +
621 +风险登记册依据风险分析的输出和评价进行更新
622 +)))
623 +|风险处置|(((
624 +为每个风险选择一个风险处置选项
625 +
626 +* 如果风险被接受,则必须将此决定记录在案并传达给适当的利益相关者
627 +* 用于管理每个风险控制的选择可以基于风险管理、策略,或者标准和最佳实践,也可以针对特定情况而设计
628 +* 风险处置可能需要设计,投资,开发,测试,部署和其他活动。所有这些都应进行管理,以确保风险的处理已完全按照与风险所有者达成的意见实施
629 +
630 +风险登记册已更新,以显示风险处置方式,包括相关的实施日期。
631 +)))
632 +
633 +=== ===
634 +
531 531  === **3.2.3 风险监控和评审** ===
532 532  
533 533  该流程包括表3.5 中列出的活动,并将以下输入转换为输出。
... ... @@ -535,13 +535,24 @@
535 535  
536 536  **表3.5 风险监控和评审流程的输入、活动和输出**
537 537  
538 -[[image:1642584631769-602.png]]
642 +|**关键输入**|**活动**|**关键输出**
643 +|(((
644 +* 风险管理策略
645 +* 风险登记册
646 +* 威胁和脆弱性评估服务
647 +)))|(((
648 +* 控制评估和评价
649 +* 风险评审和审计
650 +)))|(((
651 +* 更新的风险登记册
652 +* 审计报告
653 +* 新增和已更新控制的需求
654 +)))
539 539  
540 -
541 541  图3.4 显示了风险监控和评审流程的工作流图
542 542  
543 543  (% style="text-align:center" %)
544 -[[image:1642584640794-437.png]]
659 +[[image:http://itil4hub.cn/bin/download/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/3%20%E4%BB%B7%E5%80%BC%E6%B5%81%E5%92%8C%E6%B5%81%E7%A8%8B/WebHome/1600758490716-262.png?rev=1.1||alt="1600758490716-262.png"]]
545 545  
546 546  **图3.4 风险监控和评审流程的工作流**
547 547  
... ... @@ -548,10 +548,28 @@
548 548  
549 549  **表3.6 风险监控和评审流程的活动**
550 550  
551 -[[image:1642584673251-422.png]]
666 +|**活动**|**示例**
667 +|控制评估和评价|(((
668 +控制评估和评价确保控制已得到完全正确地实现,且仍与目标相符,并能够提供所需的风险管理级别。
552 552  
670 +活动应该定期执行,在高风险环境中可能需每周甚至每天执行。活动也可能由事件触发,例如安全事件,新增的或更改的服务,或与新合作伙伴建立关系。
553 553  
672 +控制评估是分析已实施的一个或多个控制的实现程度。例如,通过审计计算机以确保它们安装了正确的防病毒软件版本,或通过检查办公室以确保遵守整洁办公桌策略。
554 554  
674 +控制评价是分析控制的连续相关性,以确定它是否仍与目标相符。例如,通过确定控制试图修改的风险仍然存在。
675 +
676 +控制评估和评价通常是针对控制的特定子集来执行的。某些控制可能需要每天进行评审,而其他控制的评审频率可能要低得多。
677 +
678 +评估和评价可能会导致风险登记册的更新,对新增控制或更新控制的需求或对风险审计的需求。
679 +)))
680 +|风险审计|(((
681 +审计确保风险管理随环境的变化而保持符合性和相关性。
682 +
683 +审计通常是按计划执行的,但是可以由事件触发,例如安全事件,或与新合作伙伴建立关系。
684 +
685 +审计可以在内部进行,也可以由第三方进行。审计的输出可能会确定需要实施新增的或更新的控制,并将为“ 风险管理的治理”流程的“监控组织”活动提供输入。
686 +)))
687 +
555 555  ----
556 556  
557 557  = 4 组织和人员 =
... ... @@ -559,7 +559,7 @@
559 559  
560 560  [[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/4%20%E7%BB%84%E7%BB%87%E5%92%8C%E4%BA%BA%E5%91%98/WebHome?section=1]]
561 561  
562 -== 4.1 角色,能力和责任                                                     ==
695 +== 4.1 角色,能力和责任                                                         ==
563 563  
564 564  [[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/4%20%E7%BB%84%E7%BB%87%E5%92%8C%E4%BA%BA%E5%91%98/WebHome?section=2]]
565 565  
... ... @@ -572,13 +572,12 @@
572 572  
573 573  **表4.1 能力代码和概况**
574 574  
575 -(% style="width:575px" %)
576 -|(% style="width:91px" %)**能力编码**|(% style="width:482px" %)**能力类型(活动和技能)**
577 -|(% style="width:91px" %)**L**|(% style="width:482px" %)领导 Leader,决策、授权、监督其他活动,提供激励和动力,并评估结果
578 -|(% style="width:91px" %)**A**|(% style="width:482px" %)管理员 Administrator,分配任务并确定优先级,保存记录,持续报告,并启动基本改进
579 -|(% style="width:91px" %)**C**|(% style="width:482px" %)协调者/沟通者 Coordnator/Communicator,协调多方,维持利益相关者之间的沟通,并开展宣传活动
580 -|(% style="width:91px" %)**M**|(% style="width:482px" %)方法和技巧专家 Methods and techniques expert,设计和实施工作技巧,记录步骤,流程咨询、工作分析和持续改进
581 -|(% style="width:91px" %)**T**|(% style="width:482px" %)技术专家 Technical expert,提供技术(IT)专业知识并执行基于专家经验的作业
708 +|**能力编码**|**能力类型(活动和技能)**
709 +|**L**|领导 Leader,决策、授权、监督其他活动,提供激励和动力,并评估结果
710 +|**A**|管理员 Administrator,分配任务并确定优先级,保存记录,持续报告,并启动基本改进
711 +|**C**|协调者/沟通者 Coordnator/Communicator,协调多方,维持利益相关者之间的沟通,并开展宣传活动
712 +|**M**|方法和技巧专家 Methods and techniques expert,设计和实施工作技巧,记录步骤,流程咨询、工作分析和持续改进
713 +|**T**|技术专家 Technical expert,提供技术(IT)专业知识并执行基于专家经验的作业
582 582  
583 583  下表4.2 中列出了风险管理涉及的角色示例。
584 584  
... ... @@ -585,14 +585,39 @@
585 585  
586 586  **表4.2 负责风险管理活动的角色示例**
587 587  
588 -[[image:1642584956469-967.png]]
720 +|**活动**|**负责角色**|**能力类型**|**特定技能**
721 +|(% colspan="4" %)流程:风险管理的治理
722 +|分析环境|风险管理委员会(代表董事会)|MC|影响组织的PESTLE因素的可视化
723 +|记录风险容量和风险偏好|风险管理委员会|MC|能够定义简洁完整而客观的风险指标系统
724 +|记录风险管理策略|风险管理委员会|MCL|意识到组织特定的文档要求。
725 +|为管理提供指导|(((
726 +风险管理委员会,
589 589  
590 -[[image:1642584973390-620.png]]
728 +预算委员会
729 +)))|LC|启用沟通渠道;确保管理人员不断参与,以确保风险管理策略的清晰和持续实现。
730 +|监控组织|风险管理委员会|CAM|可视化组织绩效指标
731 +|(% colspan="4" %)流程:风险的识别,分析和处置
732 +|风险识别|(((
733 +主题事务专家,
591 591  
735 +服务或产品所有者
736 +)))|MTC|影响风险评估范围中对象的专业能力和PESTLE因素可视化
737 +|风险分析和评价|主题事务专家(风险所有者)|TML|能够系统地应用定性和定量风险分析工具并得出结论的能力
738 +|风险处置|风险所有者,网络安全项目管理人员|CAM|项目管理实践
739 +|(% colspan="4" %)流程:风险监控和评审
740 +|控制评估和评价|风险所有者,风险管理委员会代表|MTCA|了解风险管理政策中规定的现有控制和控制维护要求
741 +|风险审计和评审|审计委员会或外部审计人员(根据授权并代表董事会)|CAMT|(((
742 +审计管理技术
592 592  
744 +通用审计实践命令
593 593  
594 -== 4.1 组织结构和团队                                                        ==
746 +保证审计人员的完整性,客观性和独立性
747 +)))
595 595  
749 +== ==
750 +
751 +== 4.1 组织结构和团队                                                            ==
752 +
596 596  [[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/4%20%E7%BB%84%E7%BB%87%E5%92%8C%E4%BA%BA%E5%91%98/WebHome?section=3]]
597 597  
598 598  风险管理实践是众多的实践之一,它为服务提供者实现价值共创所做的一切提供支撑。因此,此实践是每个人在其控制范围中应承担的责任。
... ... @@ -609,8 +609,8 @@
609 609  
610 610  [[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/5%20%E4%BF%A1%E6%81%AF%E5%92%8C%E6%8A%80%E6%9C%AF/WebHome?section=1]]
611 611  
769 +== ==
612 612  
613 -
614 614  [[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/5%20%E4%BF%A1%E6%81%AF%E5%92%8C%E6%8A%80%E6%9C%AF/WebHome?section=2]]
615 615  
616 616  == 5.1 信息交换,输入/输出 ==
... ... @@ -625,7 +625,7 @@
625 625  信息可以采用各种形式。本实践的关键输入和输出在第3节中列出。
626 626  
627 627  
628 -== 5.2 自动化和工具                                                                ==
785 +== 5.2 自动化和工具                                                                    ==
629 629  
630 630  [[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/5%20%E4%BF%A1%E6%81%AF%E5%92%8C%E6%8A%80%E6%9C%AF/WebHome?section=4]]
631 631  
... ... @@ -634,19 +634,36 @@
634 634  
635 635  **表5.1 风险管理活动的自动化解决方案**
636 636  
637 -[[image:1642585074201-892.png]]
794 +|流程活动|自动化方法|关键功能|对实践效果的影响
795 +|(% colspan="4" %)流程:风险管理的治理
796 +|分析环境|(((
797 +服务组合
638 638  
639 -[[image:1642585123347-542.png]]
799 +服务目录
640 640  
641 -
801 +服务模型
642 642  
643 -
803 +知识管理工具和文档库
804 +)))|提供有关交付和使用服务的环境的信息|高
805 +|记录风险容量和风险偏好|知识管理工具和文档库| |中
806 +|记录风险管理策略|知识管理工具和文件库|(% rowspan="3" %)风险管理框架,包括策略,指南,现有和预期的控制以及服务提供者工作人员可以轻松访问的风险登记册;外部利益相关者,例如客户代表和监管机构,在框架上也应该有足够的可视化|中
807 +|为管理提供指导|电子邮件和其他通讯渠道,知识管理工具和文档库|高
808 +|监控组织|电子邮件和其他通讯渠道|高
809 +|(% colspan="4" %)流程:风险的识别,分析和处置
810 +|风险识别|基础架构和应用程序的监控和报告工具,内置的用户行为监控工具,仪表板和报告工具,高级分析工具,调查和满意度监控工具,用户门户和移动应用程序,社交媒体|服务管理工具提供有关风险参数变化的运维和分析信号。风险所有者应在履行其风险管理职责过程中应用这些内容|高
644 644  
812 +|流程活动|自动化方法|关键功能|对实践效果的影响
813 +|风险分析和评价|知识管理工具和文档库,服务模型,CMDB,分析工具|根据所识别或更新的风险的性质,分析可通过多种管理系统数据来得到支撑。风险所有者应确保得到关于分析和评价决定的通知|高
814 +|风险处置|变更初始化和控制工具|现有的变更管理和项目管理工具应确保以受控方式实施风险对策,无论是一次性的还是持续进行的、技术的、组织的或其他形式的对策|中
815 +|(% colspan="4" %)流程:风险监控和评审
816 +|控制评估和评价|知识管理工具和文档库|尽管必须通过非自动化的交互来观察组织内的风险管理文化,但评估者应有权访问包括风险登记册在内的风险管理框架|中
817 +|风险审计和评审|知识管理工具和文档库|尽管必须通过非自动化的交互来观察组织内的风险管理文化,但审计人员应有权访问包括风险登记册在内的风险管理框架|中
818 +
645 645  ----
646 646  
647 -=
648 -6 合作伙伴和供应商 =
649 649  
822 += 6 合作伙伴和供应商 =
823 +
650 650  [[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/6%20%E5%90%88%E4%BD%9C%E4%BC%99%E4%BC%B4%E5%92%8C%E4%BE%9B%E5%BA%94%E5%95%86/WebHome?section=1]]
651 651  
652 652  组织内仅有很少的服务使用自己的资源来交付。大多数服务(如果不是全部)依赖于其他服务,这些服务通常由组织之外的第三方提供(服务关系模型请参阅//ITIL Foundation: ITIL 第4 版//的2.4章节)。由支持服务引入的关系和依赖性在供应商管理和服务级别管理的ITIL实践中描述。
... ... @@ -690,21 +690,21 @@
690 690  
691 691  AXELOS 公司非常感谢为本指南的开发做出贡献的每一个人。这些实践指南融合了ITIL社区前所未有的热情和反馈。AXELOS特别要感谢以下人员 :
692 692  
867 +== ==
693 693  
694 -
695 695  [[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/8%20%E8%87%B4%E8%B0%A2/WebHome?section=2]]
696 696  
697 -== 8.1 作者                                                                            ==
871 +== 8.1 作者                                                                                ==
698 698  
699 699  [[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/8%20%E8%87%B4%E8%B0%A2/WebHome?section=3]]
700 700  
701 701  斯图尔特·兰斯(Stuart Rance),康斯坦丁·纳里兹尼(Konstantin Naryzhny)
702 702  
877 +== ==
703 703  
704 -
705 705  [[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/8%20%E8%87%B4%E8%B0%A2/WebHome?section=4]]
706 706  
707 -== 8.1 审稿人                                                                        ==
881 +== 8.1 审稿人                                                                            ==
708 708  
709 709  [[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/8%20%E8%87%B4%E8%B0%A2/WebHome?section=5]]
710 710  
Icon 1642583640886-103.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.superadmin
Size
... ... @@ -1,1 +1,0 @@
1 -8.9 KB
Content Icon
Icon 1642584198311-223.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.superadmin
Size
... ... @@ -1,1 +1,0 @@
1 -121.2 KB
Content Icon
Icon 1642584384875-903.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.superadmin
Size
... ... @@ -1,1 +1,0 @@
1 -25.5 KB
Content Icon
Icon 1642584395108-576.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.superadmin
Size
... ... @@ -1,1 +1,0 @@
1 -118.8 KB
Content Icon
Icon 1642584450731-804.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.superadmin
Size
... ... @@ -1,1 +1,0 @@
1 -48.7 KB
Content Icon
Icon 1642584466717-342.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.superadmin
Size
... ... @@ -1,1 +1,0 @@
1 -61.8 KB
Content Icon
Icon 1642584492168-982.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.superadmin
Size
... ... @@ -1,1 +1,0 @@
1 -37.7 KB
Content Icon
Icon 1642584503066-361.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.superadmin
Size
... ... @@ -1,1 +1,0 @@
1 -60.4 KB
Content Icon
Icon 1642584543542-498.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.superadmin
Size
... ... @@ -1,1 +1,0 @@
1 -32.7 KB
Content Icon
Icon 1642584570362-740.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.superadmin
Size
... ... @@ -1,1 +1,0 @@
1 -59.0 KB
Content Icon
Icon 1642584594216-230.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.superadmin
Size
... ... @@ -1,1 +1,0 @@
1 -59.3 KB
Content Icon
Icon 1642584607526-755.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.superadmin
Size
... ... @@ -1,1 +1,0 @@
1 -59.1 KB
Content Icon
Icon 1642584631769-602.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.superadmin
Size
... ... @@ -1,1 +1,0 @@
1 -18.6 KB
Content Icon
Icon 1642584640794-437.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.superadmin
Size
... ... @@ -1,1 +1,0 @@
1 -67.6 KB
Content Icon
Icon 1642584673251-422.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.superadmin
Size
... ... @@ -1,1 +1,0 @@
1 -94.5 KB
Content Icon
Icon 1642584956469-967.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.superadmin
Size
... ... @@ -1,1 +1,0 @@
1 -84.5 KB
Content Icon
Icon 1642584973390-620.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.superadmin
Size
... ... @@ -1,1 +1,0 @@
1 -28.9 KB
Content Icon
Icon 1642585031895-976.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.superadmin
Size
... ... @@ -1,1 +1,0 @@
1 -64.0 KB
Content Icon
Icon 1642585074201-892.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.superadmin
Size
... ... @@ -1,1 +1,0 @@
1 -80.8 KB
Content Icon
Icon 1642585123347-542.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.superadmin
Size
... ... @@ -1,1 +1,0 @@
1 -71.4 KB
Content Icon
深圳市艾拓先锋企业管理咨询有限公司