风险管理知识与场景应用能力系列培训-20200320.pptxVIP

风险管理知识与场景应用能力风险管理概念场景能力转化尚德守信 惟勤博见 敬学乐群2020.3能力转化培训体系说明12 风险管理知识体系3 风险管理应用场景4 能力转化目录CONTENTS知识到场景应用能力转化培训体系能力转化场景识别知识体系有效性验证（检查、审核、审计）疫情下的风险管理风险管理能力系列构成日常管理应急管理制度流程资源教育培训监管绩效概念WhyWhoWhat辅助工具标准沟通/报告判断/导向执行/操作人财物知识体系方法论专业知识能力有效性验证（检查、审核、审计）管理概念对 象管 理有毒组织就算混入也不知道！若增加或减少了能够马上知道！！！即使取出来也不知道！场 景风险管理原则、框架和流程持续改进人文因素整合范围、背景、准则价值创造和保护最佳可用信息结构化和全面性风险评估风险识别沟通与咨询动态定制化整合设计风险分析风险评价兼顾原则风险处置改进实施记录与报告评估流程原则、框架和流程框架视频风险管理大概念与大场景发展战略战略管理结合各利行业环境益相关方期望定性定量指导前瞻性制约底线思维协同目标一致性主要竞争对手分析同业状况小心使得万年船风险偏好陈述书风险承受能力（Risk Capacity）、风险容忍度（Risk Tolerance）和风险目标（Risk Target）“银行业金融机构制订风险偏好应包括战略目标和经营计划的制订依据，风险偏好与战略目标、经营计划的关联性；为实现战略目标和经营计划愿意承担的风险总量；愿意承担各类风险的最大水平”。风险管理概念风险管理ISO 31000:2018coordinated activities to direct and control anorganization with regard to risk。风险管理流程涉及系统地将政策、程序和实践应用于沟通和咨询活动，建立环境评估、应对、监督、审查、记录和报告风险。资产分类风险识别风险计算风险分析保持组织损前和损后的动态活动过程风险交流风险监视风险评价风险评估否否风险评估是否满意？风险分析(risk analysis)是风险处置风险评估(risk assessment)风险评价(risk evaluation)风险管理(riskmanagement)处理是否满意？是风险处置(risk treatment)残余风险评估处理 分析评价 估算风险管理场景持续开展风险管理活动，事前避免或减少风险事故形成，事后努力降低损失和恢复业务。风险评估实施细则风险管理办法◆ 目的◆ 范围◆ 组织◆ 目的◆ 范围◆ 组织◆ 风险评估? 风险识别? 风险计算? 风险评价HOW◆ 绩效◆ 附录◆ 风险处置◆ 绩效◆ 附录风险识别概念Wsus补丁MSXXX漏洞Webserver黑客渗透CIA偷不走改不了不中断风险识别-资产识别场景-银行本身重要度CIA关联重要度Support财务购买成本声誉非财务风险识别-资产识别场景-制造风险识别-威胁识别场景-制造以往安全事件报告中出现过的威胁及其频率的统计实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计威胁赋值风险识别-脆弱性识别场景-银行渗透性测试文档查阅管理问卷调查技术人工检测工具检测风险识别-控制措施识别场景-银行监管1.根据系统的所需的安全级别进行安全需求分析有效性 控制措施识别参考同业2.对输入的特殊字符进行过滤3.对输入的容量做限制4.制定信息系统入网安全测试标准5.代码均经过严格的业务测试，及代码编写规范判定客户化最佳实践两地三中心是不是风险缓释措施？Next-方法论场景风险管理的方法论--定性--定量联系我们加群领取课件资料尚德守信 惟勤博见 敬学乐群—打造信息安全教育领导品牌—THANK YOU!