《ISOTR181282014信息与文献文件过程和文件系统中的风险评估》及其借鉴.pdfVIP

》 ISOfrR 18128：2014标 隹的核心 内容包括三部 评估 的步骤 (风险的识别、分析和评价)，最后规范 了风 分 ：组织机构进行风险评估 的准则、风险评估和对 已识 险评估结果的通示。 别和评估 的风险进行通示。 (二)提供 了一种分析方法 ，用来确定文件过程和文 第--Eli分组织机构风险评估的准则。要求组织机 件系统中风险事件的潜在影响 构建立通用风险标；隹，并确定风险评估活动的对象和 IS0／TR18128：2014从环境 (内外部 因素)、系统 、 范围，建立风险评估的制度。它应当包括对风险性质和 文件过程三个方面详细阐述了文件过程和文件系统中 类型的测定、风险概率的表达、风险等级的确定、风险是 风险存在的不确定性领域及 因素 ，阐述 了不确定性领域 应该处理还是可 以忍受的量度和多风险的组合评估等。 中风险事件 的潜在影响，值得一提 的是 ，这些潜在影响 第--Eli分风险评估 ，包含三个步骤 ：风险识别、分析 中虽然有对组织机构的不利影响，但也可能会带来有积 已识别的风险、风险评估。 极影响的机会。标；隹介绍了风险事件的可能性和概率 风险识别是为 了识别那些可能发生或存在 的会影 的估计方法 ，每个风险都必须结合正在发生的事件和它 响文件 能否满足组织机构要求的情况 。风 险识别 的过 真实发生后 出现的后果这二者的可能性来进行评估 ，还 程包括识别可能对组织机构 的 目标和性质有实质性影 包括风险等级确定，与风险标准进行 比较 ，确定风险处 响的风险、事件或环境的原因和来源。该标准要求对环 理的要求。 境 (内外部 因素)、文件系统以及组织创建和管理文件 的 (三)提供 了一个实用指南 ，用来指导评估文件过程 过程之中的不确定性领域进行识别。 和文件 系统中的风险 风险分析是确定 已经识别 出的风险的潜在后果并 lSO／TR18128：2014标准在识别和分析风 险时，引 意识到风险的可能性 。它包括可能性分析和概率估 导风险评估人员从不确定性角度 出发 ，识别风险事件可 计 。意识到 已识别的风险的可能性是通过分析不确定 能发生的不确定性领域，并确定不确定性是通过影响文 性领域的性质 ，还有在一段时间内足 以支持一个可靠 件过程 、文件系统还是通过 内外部环境 ，导致文件不可 估计 的数据 。而概率可以用不同的方式来表达 ，但通 用 、不可靠 、不真实、不完整 ，不能够 实现组织机构 的 目 常都与风险等级有关。 标。从风险源头分析 ，对可能性进行概率估计 ，以此对 风险评估是根据风险分析 的结果 ，来协助确定哪 风险划定不 同的等级 ，并赋予其优先级 ，以此来协助高 些风险需要处理和处理实施的优先级。风险评估首先 层管理人员决策，确定哪些风险需要及时处理 以及处理 要分析不良事件 的潜在影响，要综合考虑用户、文件、 的先后顺序 ，哪些风险在可承受范 围内，来进一步观 组织等多方面的因素 ，之后通过结合事件发生的概率 察。最后 ，对 已评估 的风险进行记录 ，登记建档 ，一是为 及其产生的影响的程度 ，来评定事件是否是风险管理 了在 以后遇到相同风险情况时，有可 以借鉴 的经验 ，二 所关注的不良事件。 是为了减少风险，在组织机构 内部和组织机构之间通示 第三部分对风险进行通示。风险管理是一个连续 风险。 的管理过程 ，对 已评估 的风险应该记录并建档 ，还应该 lSO／TR18128：2014标准 ，首次对于文件过程和文 加强各部 门之间关于风 险的沟通和交流。风险沟通是 件系统 中的风险评估进行了细致具体 的阐述 ，多维度构 有效风险管理 的一部分，目的是确保组织机构范围内 建了文件过程和文件系统的风险评估和管控规范，辅 以 对风险的识别，加强对风险的防范和管控。 样例参照，为组织机构风险评估提供了依据 ，有利于有