文档更改通用管理实践 - 25 风险

由 superadmin 于 2024/12/25, 15:36 最后修改

从版本< 43.1 >

由superadmin编辑
在2024/09/04, 16:55上

到版本

由superadmin编辑
在2022/01/19, 17:37上

< >

修改评论上传新附件1642585074201-892.png

Raw
已渲染

Summary

Page properties (2 modified, 0 added, 0 removed)
Attachments (0 modified, 0 added, 1 removed)
- 1642585123347-542.png

Details

Page properties

标题

@@ -1,1
          +1,1 @@
--通用管理实践 - 25 风险
++25 风险管理实践

Content

@@ -1,12
          +10,3 @@
--{{info}}
--**学习长河老师 ¥799元  [[ITIL4基础级认证核心考点讲解和习题辅导网课>>https://www.itil4hub.cn/bin/view/ITIL4%E8%AE%A4%E8%AF%81%E5%9F%B9%E8%AE%AD%E8%80%83%E8%AF%95%E8%B5%84%E6%96%99/ITIL4%E5%9F%BA%E7%A1%80%E8%AE%A4%E8%AF%81%E5%BF%85%E8%80%83%E7%9F%A5%E8%AF%86%E9%80%9F%E5%AD%A6%E7%BD%91%E8%AF%BE/]]，领取500元考试券**
--{{/info}}
--
--
--**申明：**
--
--本系列ITIL 4中文版本由长河领导的ITIL先锋论坛专家委员会组织翻译，国内众多从事ITIL理论推广及落地实践的专家们参与。需要下载最新翻译版本请关注**微信公众号：ITILXF**，并回复“**风险管理**”即可。
--
  {{box cssClass="floatinginfobox" title="**Contents**"}}
  {{toc/}}
  {{/box}}
@@ -14,6
          +14,16 @@
  (((
++
++需要下载 **ITIL 4风险管理实践【中文】**pdf版全文，请关注微信公众号itilxf ，并回复“风险管理”即可。
++
++[[image:微信截图_20210206234644.png]]
++
++
++**申明：**
++
++本系列ITIL 4实践中文版本由ITIL先锋论坛专家委员会组织翻译，国内众多从事ITIL理论推广及落地实践的专家们参与，需要下载最新翻译版本请关注微信公众号：ITILXF，也可访问ITIL4中文知识库网站：itil4hub.cn。
++
  请注意，ITIL先锋论坛专家团队仅仅只是进行了这些著作的语种转换工作，我们并不拥有包括原著以及中文发行文件的任何版权，所有版权均为Axoles持有，读者在使用这些文件（含本中文翻译版本）时需完全遵守Axoles 和 TSO所申明的所有版权要求。
@@ -26,6
          +26,7 @@
  = **1 关于本文档** =
++[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/1%20%E5%85%B3%E4%BA%8E%E6%9C%AC%E6%96%87%E4%BB%B6/WebHome?section=1]]
  本文档为风险管理实践提供了实用指南。它分为五个主要部分，内容包括：
@@ -37,6
          +37,7 @@
  == 1.1 ITIL®4 认证计划 ==
++[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/1%20%E5%85%B3%E4%BA%8E%E6%9C%AC%E6%96%87%E4%BB%B6/WebHome?section=2]]
  本文档中的部分内容可作为以下教学大纲的一部分以供检查：
@@ -52,6
          +52,7 @@
  = **2 一般信息** =
++[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/2%20%E4%B8%80%E8%88%AC%E4%BF%A1%E6%81%AF/WebHome?section=1]]
  == 2.1 目的和描述 ==
@@ -73,8
          +73,9 @@
  风险管理实践提供了在服务管理四个维度上有效且高效地识别和管理风险所需资源的机制。
--== 2.2 术语和概念                                                     ==
++== 2.2 术语和概念                                                            ==
++[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/2%20%E4%B8%80%E8%88%AC%E4%BF%A1%E6%81%AF/WebHome?section=3]]
@@ -159,21
          +159,20 @@
  表2.2 控制示例
--(% style="width:533px" %)
--|(% style="width:163px" %)**维度**|(% style="width:368px" %)**控制示例**
--|(% style="width:163px" %)组织和人员|(% style="width:368px" %)(((
++|**维度**|**控制示例**
++|组织和人员|(((
  * 整洁办公桌策略
  * 安全意识培训
  )))
--|(% style="width:163px" %)信息和技术|(% style="width:368px" %)(((
++|信息和技术|(((
  * 网络防火墙
  * 审计记录
  )))
--|(% style="width:163px" %)供应商和合作伙伴|(% style="width:368px" %)(((
++|供应商和合作伙伴|(((
  * 将供应商认证作为质量管理体系标准的合同要求
  * 供应商活动的日常审计
  )))
--|(% style="width:163px" %)价值流和流程|(% style="width:368px" %)(((
++|价值流和流程|(((
  * 部署之前的变更评估
  * 员工招聘期间的背景调查
  )))
@@ -183,8
          +183,9 @@
  风险处置通常不能完全消除风险。因此，在应用控制之后有必要执行新的风险评估。这是为了了解新的可能性和影响，然后计算剩余风险。组织然后可以选择应用更多控制来进一步减小风险。或者，组织可以接受剩余风险，并将其记录在风险登记册中，像其他保留的风险一样以相同的方式传递给利益相关者。
--== **2.3 范围**                                                                ==
++== 2.3 范围                                                                       ==
++[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/2%20%E4%B8%80%E8%88%AC%E4%BF%A1%E6%81%AF/WebHome?section=4]]
  风险管理的范围非常广泛。大多数活动和组织中的所有人员在风险管理中都可以起到一定做用。服务提供者必须理解和管理与每个服务和每个客户相关的诸多风险。ITIL 4中描述的许多管理实践要求将风险管理作为其活动的一部分。这些包括：
@@ -227,6
          +227,8 @@
  |(% style="width:169px" %)成本控制，风险的财务评价和风险减轻选项|(% style="width:174px" %)服务财务管理
  |(% style="width:169px" %)愿景的定义和风险管理的战略目标|(% style="width:174px" %)战略管理
++
++
  === **2.3.1 项目管理** ===
  项目管理中的一个重要部分是管理项目风险。应根据与战略目标、成本、风险、收益和进度的一致性来分析每个项目。这样做的结果将会创建一个项目风险登记册，该登记簿将在整个项目生命周期中进行维护，并用于确保项目风险得到妥善管理。
@@ -279,8
          +279,9 @@
  好的服务级别报告包括识别将来可能影响服务的风险，以及如何管理这些风险的说明。通常，风险管理需要记录来自客户和用户的输入或他们采取的行动。
--== **2.4 实践成功因素        ** ==
++== 2.4 实践成功因素                                                         ==
++[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/2%20%E4%B8%80%E8%88%AC%E4%BF%A1%E6%81%AF/WebHome?section=5]]
  |(((
  实践成功因素（PSF）
@@ -321,11
          +321,16 @@
--==== 2.4.3.1 定性风险分析 ====
++(% class="wikigeneratedid" id="H2.4.3.15B9A602798CE966952066790" %)
++2.4.3.1 定性风险分析
  定性风险分析使用简单的度量（例如高，中或低）来区分可能性和影响的不同级别。定性风险分析通常会使用一个表格，该表格用于从影响级别和可能性级别两个维度中得出总体风险的级别，如图2.1 所示。
--[[image:1642583640886-103.png]]
++|(% rowspan="5" %)影响|高|中|高|高
++|中|低|中|中
++|低|低|低|低
++| |低|中|高
++|(% colspan="4" %)可能性
  图2.1 用于定性风险分析的矩阵示例
@@ -336,7
          +336,8 @@
--==== 2.4.3.2 定量风险分析 ====
++(% class="wikigeneratedid" id="H2.4.3.25B9A91CF98CE966952066790" %)
++2.4.3.2 定量风险分析
  定量风险分析在财务基础以及其他量化基础上考虑风险影响。可能性以概率来衡量。这种风险分析用于支持商业案例中的预算，以证明管理风险可能需要的投资是合理的。
@@ -348,6
          +348,8 @@
  单一预期损失（SLE）
  每次发生风险时，由风险造成的预期财务损失。
++
++
  )))
  |(((
@@ -364,7
          +364,8 @@
--==== 2.4.3.3 风险定性和定量结合分析 ====
++(% class="wikigeneratedid" id="H2.4.3.398CE96695B9A6027548C5B9A91CF7ED3540852066790" %)
++2.4.3.3 风险定性和定量结合分析
  定量风险分析比定性风险分析要花费更多的时间，因此通常将两者结合在一起来优化分析数据的时间开销。这包括对每个已识别的风险进行定性风险分析，然后针对风险级别和降低风险的成本中超出特定阈值的那些风险执行定量风险分析。例如，组织的风险管理策略可能声明，如果控制的成本低于5,000英镑，则将使用控制来管理低级别风险。如果控制的成本高于5,000英镑，将执行定量风险分析。
@@ -380,6
          +380,7 @@
  == **2.5 关键指标 ** ==
++[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/2%20%E4%B8%80%E8%88%AC%E4%BF%A1%E6%81%AF/WebHome?section=6]]
  应在每个实践所贡献的价值流的情形中 评估ITIL实践的效果和绩效。与任何工具的绩效一样，只能在应用实践的上下文中评估实践的绩效。但是，在工具设计和质量方面可能会有很大差异，当根据工具的用途在使用时，这些差异决定了工具的潜力或有效性。有关测量标准和关键绩效指标（KPI）的进一步指南以及可以帮助您解决此问题的其他技术，请参见测量和报告实践指南。
@@ -389,19
          +389,19 @@
  表2.4 实践成功因素的关键指标示例
  (% style="width:553px" %)
--|(% style="width:146px" %)**实践成功因素**|(% style="width:405px" %)**关键指标**
--|(% style="width:146px" %)建立风险管理的治理|(% style="width:405px" %)(((
++|(% style="width:164px" %)**实践成功因素**|(% style="width:387px" %)**关键指标**
++|(% style="width:164px" %)建立风险管理的治理|(% style="width:387px" %)(((
  * 自上次评审和更新风险偏好以来的时间
  * 明确记录了可能性、影响、所有者、处置计划和下一个行动日期的战略风险的百分比
  )))
--|(% style="width:146px" %)培育风险管理文化并识别风险|(% style="width:405px" %)(((
++|(% style="width:164px" %)培育风险管理文化并识别风险|(% style="width:387px" %)(((
  * 表示愿意在匿名调查中识别风险和错误的员工比例
  * 非指定风险管理角色的人员所识别的风险数量
  )))
--|(% style="width:146px" %)分析风险|(% style="width:405px" %)(((
++|(% style="width:164px" %)分析风险|(% style="width:387px" %)(((
  * 在风险登记册上明确记录了可能性、影响和所有者的风险的百分比
  )))
--|(% style="width:146px" %)处置，监控和评审风险|(% style="width:405px" %)(((
++|(% style="width:164px" %)处置，监控和评审风险|(% style="width:387px" %)(((
  * 在风险登记册上明确记录了处置计划和下一个行动日期的风险百分比
  * 风险登记册中最近六个月中已评审的风险百分比
  * 在最近六个月内通过控制评审和审计的控制的百分比
@@ -415,12
          +415,15 @@
  = **3 价值流和流程** =
++[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/3%20%E4%BB%B7%E5%80%BC%E6%B5%81%E5%92%8C%E6%B5%81%E7%A8%8B/WebHome?section=1]]
++[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/3%20%E4%BB%B7%E5%80%BC%E6%B5%81%E5%92%8C%E6%B5%81%E7%A8%8B/WebHome?section=2]]
--== 3.1 价值流贡献                                                           ==
++== 3.1 价值流贡献                                                                  ==
++[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/3%20%E4%BB%B7%E5%80%BC%E6%B5%81%E5%92%8C%E6%B5%81%E7%A8%8B/WebHome?section=3]]
  像任何其他ITIL 管理实践一样，风险管理实践支撑多个价值流。重要的是要记住，价值流永远不会由单个实践形成。风险管理实践与其他实践相结合从而为消费者提供高质量服务。本实践为所有的价值链活动做出了重大贡献。
@@ -427,8
          +427,9 @@
  图3.1 中显示了风险管理实践对服务价值链的贡献。
--== 3.2 流程                                                                      ==
++== 3.2 流程                                                                             ==
++[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/3%20%E4%BB%B7%E5%80%BC%E6%B5%81%E5%92%8C%E6%B5%81%E7%A8%8B/WebHome?section=4]]
  每个实践可能包含一个或多个流程和活动，它们对于实现该实践的目的可能是必需的。
@@ -436,11
          +436,10 @@
  流程
  一组相互关联或相互作用的活动，可将输入转换为输出。流程接受一个或多个已定义的输入，并将其转换为已定义的输出。流程定义了活动的顺序及其依赖性。
++
++
  )))
--(% style="text-align:center" %)
--[[image:1642584198311-223.png]]
--
        **图3.1 风险管理实践对价值链活动的贡献热力图**
@@ -457,13
          +457,31 @@
  **表3.1 风险管理的治理流程的输入、活动和输出**
--[[image:1642584384875-903.png]]
++|**关键输入**|**活动**|**关键输出**
++|(((
++1. 环境因素（PESTLE）
++1. 竞争环境
++1. 威胁环境
++1. 法规要求
++1. 组织战略
++)))|(((
++1. 分析环境
++1. 记录风险容量和风险偏好
++1. 记录风险管理策略
++1. 为管理提供指导
++1. 监控组织
++)))|(((
++1. 风险容量
++1. 风险偏好
++1. 风险管理策略
++1. 风险管理预算
++1. 提供给管理的指导
++)))
--
  图3.2 显示了流程的工作流图
  (% style="text-align:center" %)
--[[image:1642584395108-576.png]]
++[[image:http://itil4hub.cn/bin/download/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/3%20%E4%BB%B7%E5%80%BC%E6%B5%81%E5%92%8C%E6%B5%81%E7%A8%8B/WebHome/1600758179177-501.png?rev=1.1||alt="1600758179177-501.png"]]
  **图3.2 风险管理的治理流程的工作流**
@@ -473,12
          +473,36 @@
  **表3.2 风险管理的治理流程的活动**
--[[image:1642584450731-804.png]]
++|**活动**|**示例**
++|分析环境|(((
++该活动并非特定用于风险管理。治理主体分析了：
--[[image:1642584466717-342.png]]
++* 限制和影响组织的PESTLE因素（政治，经济，社会，技术，法律和环境）
++* 法规要求
++* 竞争环境
++* 威胁环境
++并基于这些因素和其他因素制定整体的组织战略，其中包括风险管理的策略。
++该活动通常按计划进行，典型的是每年一次，但也可以由任何可能影响组织战略的事件触发。
++)))
++|记录风险容量和风险偏好|基于对环境、组织文化和组织战略的分析，治理主体建立并记录了组织的风险容量和风险偏好。
++|记录风险管理策略|(((
++风险管理策略指定了用于识别、分析和管理风险的方法。这可能包括采用特定的标准和准则，例如ISO31000。创建此策略需要风险管理的专业知识，但决定和授权仍由治理主体负责。
++治理主体为风险管理分配预算，该预算必须足以满足策略的需求。
++)))
++|为管理提供指导|(((
++该活动并非特定用于风险管理（但提供的特定指导是关于风险管理的）。
++
++治理主体适当地分担风险容量、风险偏好和风险管理策略，并确保整个组织中的管理层都意识到各自的风险管理责任。
++)))
++|监控组织|(((
++尽管可能存在特定的有关风险管理的内容，但该活动并非特定用于风险管理。
++
++治理主体评审审计报告并监控组织，以确保风险管理正按照其意图进行。如果存在重大缺陷，则可能会触发重新分析环境和评审风险容量、偏好和策略的需求。
++)))
++
  === **3.2.2 风险的识别，分析和处置** ===
  该流程包括表3.3 中列出的活动，并将输入转换为输出。
@@ -486,12
          +486,30 @@
  **表3.3 标识，分析和处置流程的输入，活动和输出**
--[[image:1642584492168-982.png]]
++|**关键输入**|**活动**|**关键输出**
++|(((
++* 风险管理策略
++* 风险偏好
++* 风险管理预算
++* 现有风险登记册
++* 服务组合
++* 服务模型
++* 确定为其他活动一部分的风险
++* 标准和框架
++* 第三方提供的威胁评估和脆弱性评估服务
++)))|(((
++* 风险识别
++* 风险分析和评价
++* 风险处置
++)))|(((
++* 更新的风险登记册
++* 新增和更新的控制
++)))
  图3.3 显示了流程的工作流图。
  (% style="text-align:center" %)
--[[image:1642584503066-361.png]]
++[[image:http://itil4hub.cn/bin/download/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/3%20%E4%BB%B7%E5%80%BC%E6%B5%81%E5%92%8C%E6%B5%81%E7%A8%8B/WebHome/1600758257795-496.png?rev=1.1||alt="1600758257795-496.png"]]
  图3.3 风险识别，分析和处置流程的工作流
@@ -501,14
          +501,52 @@
  **表3.4 风险识别、分析和处置流程的活动**
--[[image:1642584543542-498.png]]
++|**活动**|**描述**
++|风险识别|(((
++风险识别活动专注于特定的控制范围。项目的风险识别将考虑项目风险，服务的风险识别将考虑服务风险，依此类推。
--[[image:1642584594216-230.png]]
++风险识别可以定期执行，也可以由事件触发，例如安全违规事件，新的服务建立或与新合作伙伴开始合作。
--[[image:1642584607526-755.png]]
++有许多不同的技术可用于识别风险，包括：
++* 评审以前的风险登记册
++* 分析服务组合和服务模型
++)))
++| |(((
++* 头脑风暴
++* 考虑特定场景的桌面练习
++* 与利益相关者的访谈，包括客户，用户，技术人员等
++* 威胁评估和脆弱性评估，如果内部没有可用的资源和技能，则可以由第三方进行
++* 基于标准和最佳实践的检查表
++* 组织中其他部分已经识别的风险
++* 发布到建议箱或匿名电子邮件帐户的风险
++* 供应商，合作伙伴或其他组织已确定的有关风险的信息
++* 技术工具的输出，例如防火墙日志或入侵检测系统的报告
++* 服务级别报告，显示趋势和潜在的由于无法满足约定的服务质量带来的失效
++为每个识别出的风险分配一个所有者，负责确保了解风险并采取适当的行动。
++风险和风险所有者记录在风险登记册中。
++)))
++|(((
++风险分析和评价
++
++
++)))|(((
++使用风险管理策略指定的定性或定量方法分析每个风险的可能性和潜在影响。基于此分析以及组织的风险偏好，对每个风险进行评估以决定用怎样的时间和预算级别来管理风险。风险所有者可以自己进行分析，也可以评价自己进行分析，或者委托它并审查发现。
++
++风险登记册依据风险分析的输出和评价进行更新
++)))
++|风险处置|(((
++为每个风险选择一个风险处置选项
++
++* 如果风险被接受，则必须将此决定记录在案并传达给适当的利益相关者
++* 用于管理每个风险控制的选择可以基于风险管理、策略，或者标准和最佳实践，也可以针对特定情况而设计
++* 风险处置可能需要设计，投资，开发，测试，部署和其他活动。所有这些都应进行管理，以确保风险的处理已完全按照与风险所有者达成的意见实施
++
++风险登记册已更新，以显示风险处置方式，包括相关的实施日期。
++)))
++
  === **3.2.3 风险监控和评审** ===
  该流程包括表3.5 中列出的活动，并将以下输入转换为输出。
@@ -516,13
          +516,24 @@
  **表3.5 风险监控和评审流程的输入、活动和输出**
--[[image:1642584631769-602.png]]
++|**关键输入**|**活动**|**关键输出**
++|(((
++* 风险管理策略
++* 风险登记册
++* 威胁和脆弱性评估服务
++)))|(((
++* 控制评估和评价
++* 风险评审和审计
++)))|(((
++* 更新的风险登记册
++* 审计报告
++* 新增和已更新控制的需求
++)))
--
  图3.4 显示了风险监控和评审流程的工作流图
  (% style="text-align:center" %)
--[[image:1642584640794-437.png]]
++[[image:http://itil4hub.cn/bin/download/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/3%20%E4%BB%B7%E5%80%BC%E6%B5%81%E5%92%8C%E6%B5%81%E7%A8%8B/WebHome/1600758490716-262.png?rev=1.1||alt="1600758490716-262.png"]]
  **图3.4 风险监控和评审流程的工作流**
@@ -529,18
          +529,38 @@
  **表3.6 风险监控和评审流程的活动**
--[[image:1642584673251-422.png]]
++|**活动**|**示例**
++|控制评估和评价|(((
++控制评估和评价确保控制已得到完全正确地实现，且仍与目标相符，并能够提供所需的风险管理级别。
++活动应该定期执行，在高风险环境中可能需每周甚至每天执行。活动也可能由事件触发，例如安全事件，新增的或更改的服务，或与新合作伙伴建立关系。
++控制评估是分析已实施的一个或多个控制的实现程度。例如，通过审计计算机以确保它们安装了正确的防病毒软件版本，或通过检查办公室以确保遵守整洁办公桌策略。
++控制评价是分析控制的连续相关性，以确定它是否仍与目标相符。例如，通过确定控制试图修改的风险仍然存在。
++
++控制评估和评价通常是针对控制的特定子集来执行的。某些控制可能需要每天进行评审，而其他控制的评审频率可能要低得多。
++
++评估和评价可能会导致风险登记册的更新，对新增控制或更新控制的需求或对风险审计的需求。
++)))
++|风险审计|(((
++审计确保风险管理随环境的变化而保持符合性和相关性。
++
++审计通常是按计划执行的，但是可以由事件触发，例如安全事件，或与新合作伙伴建立关系。
++
++审计可以在内部进行，也可以由第三方进行。审计的输出可能会确定需要实施新增的或更新的控制，并将为“ 风险管理的治理”流程的“监控组织”活动提供输入。
++)))
++
  ----
  = 4 组织和人员 =
++[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/4%20%E7%BB%84%E7%BB%87%E5%92%8C%E4%BA%BA%E5%91%98/WebHome?section=1]]
--== 4.1 角色，能力和责任                                                ==
++== 4.1 角色，能力和责任                                                       ==
++[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/4%20%E7%BB%84%E7%BB%87%E5%92%8C%E4%BA%BA%E5%91%98/WebHome?section=2]]
  实践指南没有描述实践管理的角色，例如实践所有者，实践领导者或实践教练。而是专注于每个实践特定的专业角色。每个角色的结构和命名在不同组织间各不相同，因此ITIL中定义的任何角色都不应被视为强制性的，甚至不能作为建议使用。
@@ -551,13
          +551,12 @@
  **表4.1 能力代码和概况**
--(% style="width:575px" %)
--|(% style="width:91px" %)**能力编码**|(% style="width:482px" %)**能力类型（活动和技能）**
--|(% style="width:91px" %)**L**|(% style="width:482px" %)领导 Leader，决策、授权、监督其他活动，提供激励和动力，并评估结果
--|(% style="width:91px" %)**A**|(% style="width:482px" %)管理员 Administrator，分配任务并确定优先级，保存记录，持续报告，并启动基本改进
--|(% style="width:91px" %)**C**|(% style="width:482px" %)协调者/沟通者 Coordnator/Communicator，协调多方，维持利益相关者之间的沟通，并开展宣传活动
--|(% style="width:91px" %)**M**|(% style="width:482px" %)方法和技巧专家 Methods and techniques expert，设计和实施工作技巧，记录步骤，流程咨询、工作分析和持续改进
--|(% style="width:91px" %)**T**|(% style="width:482px" %)技术专家 Technical expert，提供技术（IT）专业知识并执行基于专家经验的作业
++|**能力编码**|**能力类型（活动和技能）**
++|**L**|领导 Leader，决策、授权、监督其他活动，提供激励和动力，并评估结果
++|**A**|管理员 Administrator，分配任务并确定优先级，保存记录，持续报告，并启动基本改进
++|**C**|协调者/沟通者 Coordnator/Communicator，协调多方，维持利益相关者之间的沟通，并开展宣传活动
++|**M**|方法和技巧专家 Methods and techniques expert，设计和实施工作技巧，记录步骤，流程咨询、工作分析和持续改进
++|**T**|技术专家 Technical expert，提供技术（IT）专业知识并执行基于专家经验的作业
  下表4.2 中列出了风险管理涉及的角色示例。
@@ -564,15
          +564,39 @@
  **表4.2 负责风险管理活动的角色示例**
--[[image:1642584956469-967.png]]
++|**活动**|**负责角色**|**能力类型**|**特定技能**
++|(% colspan="4" %)流程：风险管理的治理
++|分析环境|风险管理委员会（代表董事会）|MC|影响组织的PESTLE因素的可视化
++|记录风险容量和风险偏好|风险管理委员会|MC|能够定义简洁完整而客观的风险指标系统
++|记录风险管理策略|风险管理委员会|MCL|意识到组织特定的文档要求。
++|为管理提供指导|(((
++风险管理委员会，
--[[image:1642584973390-620.png]]
++预算委员会
++)))|LC|启用沟通渠道；确保管理人员不断参与，以确保风险管理策略的清晰和持续实现。
++|监控组织|风险管理委员会|CAM|可视化组织绩效指标
++|(% colspan="4" %)流程：风险的识别，分析和处置
++|风险识别|(((
++主题事务专家，
++服务或产品所有者
++)))|MTC|影响风险评估范围中对象的专业能力和PESTLE因素可视化
++|风险分析和评价|主题事务专家（风险所有者）|TML|能够系统地应用定性和定量风险分析工具并得出结论的能力
++|风险处置|风险所有者，网络安全项目管理人员|CAM|项目管理实践
++|(% colspan="4" %)流程：风险监控和评审
++|控制评估和评价|风险所有者，风险管理委员会代表|MTCA|了解风险管理政策中规定的现有控制和控制维护要求
++|风险审计和评审|审计委员会或外部审计人员（根据授权并代表董事会）|CAMT|(((
++审计管理技术
++通用审计实践命令
--== 4.1 组织结构和团队                                                   ==
++保证审计人员的完整性，客观性和独立性
++)))
++== 4.1 组织结构和团队                                                          ==
++[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/4%20%E7%BB%84%E7%BB%87%E5%92%8C%E4%BA%BA%E5%91%98/WebHome?section=3]]
++
  风险管理实践是众多的实践之一，它为服务提供者实现价值共创所做的一切提供支撑。因此，此实践是每个人在其控制范围中应承担的责任。
  在商业企业中，董事会（或另一个顶层治理主体）最终要负责为组织的利益相关者实施一个充足且令人满意的风险管理框架。这个风险管理框架的持续开发工作通常委派给一个或多个风险管理委员会，并在董事会监督之下进行。
@@ -585,9
          +585,11 @@
  = 5 信息和技术 =
++[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/5%20%E4%BF%A1%E6%81%AF%E5%92%8C%E6%8A%80%E6%9C%AF/WebHome?section=1]]
++[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/5%20%E4%BF%A1%E6%81%AF%E5%92%8C%E6%8A%80%E6%9C%AF/WebHome?section=2]]
  == 5.1 信息交换，输入/输出 ==
@@ -601,8
          +601,9 @@
  信息可以采用各种形式。本实践的关键输入和输出在第3节中列出。
--== 5.2 自动化和工具                                                           ==
++== 5.2 自动化和工具                                                                  ==
++[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/5%20%E4%BF%A1%E6%81%AF%E5%92%8C%E6%8A%80%E6%9C%AF/WebHome?section=4]]
  在大多数情况下，风险管理实践可以从自动化中受益显著（有关何时适用的详细信息，请参阅本指南的价值流和流程部分）。可行且有效的解决方案可能包括表5.1中所列。
@@ -609,18
          +609,38 @@
  **表5.1 风险管理活动的自动化解决方案**
--[[image:1642585074201-892.png]]
++|流程活动|自动化方法|关键功能|对实践效果的影响
++|(% colspan="4" %)流程：风险管理的治理
++|分析环境|(((
++服务组合
--[[image:1642585123347-542.png]]
++服务目录
++服务模型
++知识管理工具和文档库
++)))|提供有关交付和使用服务的环境的信息|高
++|记录风险容量和风险偏好|知识管理工具和文档库| |中
++|记录风险管理策略|知识管理工具和文件库|(% rowspan="3" %)风险管理框架，包括策略，指南，现有和预期的控制以及服务提供者工作人员可以轻松访问的风险登记册；外部利益相关者，例如客户代表和监管机构，在框架上也应该有足够的可视化|中
++|为管理提供指导|电子邮件和其他通讯渠道，知识管理工具和文档库|高
++|监控组织|电子邮件和其他通讯渠道|高
++|(% colspan="4" %)流程：风险的识别，分析和处置
++|风险识别|基础架构和应用程序的监控和报告工具，内置的用户行为监控工具，仪表板和报告工具，高级分析工具，调查和满意度监控工具，用户门户和移动应用程序，社交媒体|服务管理工具提供有关风险参数变化的运维和分析信号。风险所有者应在履行其风险管理职责过程中应用这些内容|高
++|流程活动|自动化方法|关键功能|对实践效果的影响
++|风险分析和评价|知识管理工具和文档库，服务模型，CMDB，分析工具|根据所识别或更新的风险的性质，分析可通过多种管理系统数据来得到支撑。风险所有者应确保得到关于分析和评价决定的通知|高
++|风险处置|变更初始化和控制工具|现有的变更管理和项目管理工具应确保以受控方式实施风险对策，无论是一次性的还是持续进行的、技术的、组织的或其他形式的对策|中
++|(% colspan="4" %)流程：风险监控和评审
++|控制评估和评价|知识管理工具和文档库|尽管必须通过非自动化的交互来观察组织内的风险管理文化，但评估者应有权访问包括风险登记册在内的风险管理框架|中
++|风险审计和评审|知识管理工具和文档库|尽管必须通过非自动化的交互来观察组织内的风险管理文化，但审计人员应有权访问包括风险登记册在内的风险管理框架|中
++
  ----
--=
--6 合作伙伴和供应商 =
++= 6 合作伙伴和供应商 =
++[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/6%20%E5%90%88%E4%BD%9C%E4%BC%99%E4%BC%B4%E5%92%8C%E4%BE%9B%E5%BA%94%E5%95%86/WebHome?section=1]]
++
  组织内仅有很少的服务使用自己的资源来交付。大多数服务（如果不是全部）依赖于其他服务，这些服务通常由组织之外的第三方提供（服务关系模型请参阅//ITIL Foundation： ITIL 第4 版//的2.4章节）。由支持服务引入的关系和依赖性在供应商管理和服务级别管理的ITIL实践中描述。
  服务提供者的合作伙伴和供应商可能会为现有服务提供和变更配置生成和减轻新的风险。当引入新合作伙伴和供应商时，服务提供者需要关注后者。
@@ -637,6
          +637,7 @@
  = 7 重要提醒 =
++[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/7%20%E9%87%8D%E8%A6%81%E6%8F%90%E9%86%92/WebHome?section=1]]
  实践指南的大部分内容都应作为组织在建立和培养自己的实践时可能考虑的领域的建议。实践指南是组织可能考虑事情的目录，而不是答案列表。使用ITIL 实践指南的内容时，组织应始终遵循ITIL 指导原则：
@@ -657,21
          +657,26 @@
  = **8 致谢 ** =
++[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/8%20%E8%87%B4%E8%B0%A2/WebHome?section=1]]
  AXELOS 公司非常感谢为本指南的开发做出贡献的每一个人。这些实践指南融合了ITIL社区前所未有的热情和反馈。AXELOS特别要感谢以下人员 ：
++[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/8%20%E8%87%B4%E8%B0%A2/WebHome?section=2]]
--== 8.1 作者                                                                       ==
++== 8.1 作者                                                                              ==
++[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/8%20%E8%87%B4%E8%B0%A2/WebHome?section=3]]
  斯图尔特·兰斯（Stuart Rance），康斯坦丁·纳里兹尼（Konstantin Naryzhny）
++[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/8%20%E8%87%B4%E8%B0%A2/WebHome?section=4]]
--== 8.1 审稿人                                                                   ==
++== 8.1 审稿人                                                                          ==
++[[编辑>>url:http://itil4hub.cn/bin/edit/25%20%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86/8%20%E8%87%B4%E8%B0%A2/WebHome?section=5]]
  罗曼·朱拉夫列夫（Roman Jouravlev）

1642585123347-542.png

Author

...	...	@@ -1,1 +1,0 @@
1		-XWiki.superadmin

Size

...	...	@@ -1,1 +1,0 @@
1		-71.4 KB

Content

粤ICP备17056641号

深圳市艾拓先锋企业管理咨询有限公司