风险管理3531970272.pdfVIP

TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫 風險管理 教育訓練 TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫 課程大綱 1 風險管理 2 可接受風險值之選定 3 高風險資產之鑑別及管理 4 殘餘風險管理 5 適用性聲明書 TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫 課程大綱 1 風險管理 2 可接受風險值之選定 3 高風險資產之鑑別及管理 4 殘餘風險管理 5 適用性聲明書 TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫 何謂風險 • “The chance of something happening that will have an impact upon objectives.” • 對於目標會產生影響的事件發生的機會 。 風險是未來的不確定事件，該事件會影響組織目標 的達成，包括策略、作業、財務或其他目標。 TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫 風險管理前應釐清之問題 • 我們如何來衡量組織營運的成果？ • 甚麼是組織成功運作最大的風險？ • 組織是否存在有系統的方法來控制風險？ • 針對組織的營運，甚麼是我們必須持續評估的關鍵處？ • 我們如何認定，營運無法符合法令或組織的政策？ • 有甚麼樣的需求﹝法令與遵行、財務 等等﹞會影響組織 的運作？ TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫 風險管理的角色 • 了解組織的目標或業務營運的流程 • 了解何種風險會影響我們的營運（我們亦必須定期評 估） • 針對持續營運與提升組織的運作之效能與效率，所必須 採取的必要行動 製造 銷售與推廣 研發 風險管理須仰賴組 織內 每一個(功能) 行銷 風險管理 供應管理 單位來幫助運作。 資訊科技 品質管理 人力資源 TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫 風險管理幫助我們 • 達到績效衡量指標 •改進營運作業流程 • 避免資源浪費／損失 • 避免組織商譽或形象的損害 TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫 風險管理程序 確認 安全考量 資訊安全需求 保護 定義 控制措施 控制目標 對應 TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫 風險管理原則 ORCA原則 ORCA原則 目標 : 與創造組織價值相關之目標 風險 : 無法達成目標之因素 控制 : 管理風險之方法 一致性 : 確認目標、風險及因應控制之一致性 策略 風險 營運 作業 風險 風險 科技 風險 市場 風險 財務 風險