Apakah Rangka Kerja Pengurusan Risiko dan Mengapa Anda Memerlukannya?

Pengambilan kunci

Rangka Kerja Pengurusan Risiko membantu organisasi anda bersedia untuk menghadapi masalah yang mungkin berlaku

Rangka Kerja Pengurusan Risiko NIST ialah sistem kerajaan AS untuk mewujudkan polisi institusi untuk mengurangkan risiko

Rangka Kerja Pengurusan Risiko adalah fleksibel dan padu, serta alat yang berguna untuk organisasi dari semua jenis dan saiz

Apabila dunia menjadi lebih kompleks, begitu juga potensi risiko yang mungkin dihadapi oleh organisasi. Perniagaan moden sangat bergantung kepada dunia global dan digital, dan menghadapi risiko yang berkaitan dengan infrastruktur IT, rantaian bekalan global dan cabaran umum persekitaran ekonomi yang sentiasa berubah. Lagipun, lebih rumit sistem, lebih mudah untuk semuanya dibatalkan. Walaupun kita tidak boleh menghapuskan semua risiko, ancaman dan sabotaj, kita masih harus mengawal keadaan sebanyak mungkin. Meletakkan sistem untuk mengurangkan pelbagai jenis risiko adalah penting untuk perniagaan dalam apa jua saiz, di mana rangka kerja pengurusan risiko berguna.

Dalam artikel ini, kami akan membahagikan 5 Komponen Pengurusan Risiko, yang merupakan standard umum untuk mencipta rangka kerja pengurusan risiko yang boleh digunakan untuk pelbagai risiko merentas organisasi yang berbeza. Selepas menerangkan rangka kerja am, kami akan membincangkan Rangka Kerja Pengurusan Risiko NIST secara mendalam dan menggunakannya pada aplikasi dan contoh tertentu.

Apakah 5 Komponen Pengurusan Risiko?

1. Pengenalan
2. Pengukuran dan penilaian
3. Tebatan
4. Pelaporan dan Pemantauan
5. Tadbir

Pengenalpastian risiko

Pertama, anda perlu memperincikan risiko semasa dan potensi yang dihadapi oleh organisasi anda. Untuk komponen ini, brain storm:

• Apakah ancaman yang boleh membahayakan organisasi anda?
• Apakah kelemahan yang boleh dieksploitasi dalam keselamatan, prosedur atau sistem IT organisasi anda?
• Apakah kemungkinan setiap ancaman berlaku?
• Apakah kesan ancaman ini?

Petua: Analisis SWOT boleh membantu mengenal pasti kelemahan dalaman dan ancaman luaran.

Pengukuran dan penilaian risiko

Dalam komponen kedua rangka kerja pengurusan risiko, anda akan membuat profil untuk setiap risiko yang anda kenal pasti. Anda boleh mengukur risiko ini dalam beberapa cara, bergantung pada organisasi dan industri anda. Sebagai contoh, kepintaran kompetitif boleh membantu anda menilai risiko yang berkaitan dengan pengendali yang bersaing. Sebagai alternatif, rangka kerja pengurusan risiko pihak ketiga boleh mengukur jumlah wang yang boleh hilang, manakala rangka kerja risiko keselamatan siber boleh mengukur kos peluang untuk menggantikan sistem keselamatan semasa berbanding dengan menambah baiknya.

Sebaik sahaja anda telah melengkapkan profil risiko, letakkan mereka daripada ancaman yang paling kecil kepada yang paling besar. Perlu diingat bahawa risiko berubah apabila organisasi dan persekitaran operasinya berkembang, jadi anda mungkin perlu mengulangi langkah ini secara berkala.

Pengurangan risiko

Dengan senarai profil risiko yang disenaraikan, organisasi anda boleh mempertimbangkan cara untuk mengurangkan risiko yang lebih besar, dan belajar untuk bertolak ansur dengan risiko yang lebih rendah. Sebagai contoh, organisasi yang mencipta rangka kerja pengurusan risiko rantaian bekalan akan menumpukan pada mengurangkan sebarang potensi risiko dengan pembekal terbesarnya, walaupun ia memerlukan lebih sedikit masa kepada pembekalnya yang lain.

Pelaporan dan pemantauan risiko

Komponen keempat RMF memerlukan pelaporan tetap mengenai langkah-langkah risiko. Komponen ini membolehkan organisasi anda mengekalkan tahap risiko yang optimum dan memastikan bahawa strategi mitigasi yang dipertimbangkan dalam komponen ketiga masih bernilai dan berkesan.

Tadbir urus risiko

Komponen terakhir dalam rangka kerja pengurusan risiko ialah proses tadbir urus. Dalam erti kata lain, organisasi perlu mewujudkan sistem formal yang sentiasa digunakan oleh pekerja untuk memastikan risiko diuruskan dengan sewajarnya.

Apakah Rangka Kerja Pengurusan Risiko NIST?

. Rangka Kerja Pengurusan Risiko (RMF) pada asalnya dicipta oleh tentera Amerika Syarikat untuk memastikan sistem maklumat sensitif dalam kerajaan persekutuan selamat dan diselenggara dengan selamat. Pada masa ini, Institut Piawaian dan Teknologi Kebangsaan (NIST) bertanggungjawab ke atas Rangka Kerja Pengurusan Risiko. NIST mengemas kini rangka kerja untuk mengikuti kemajuan teknologi dan kerumitan dunia moden yang semakin meningkat.

Walaupun RMF pada mulanya diwujudkan untuk kerajaan persekutuan menangani sistem teknologi maklumat, ia merupakan alat berguna yang boleh digunakan untuk pelbagai jenis risiko untuk organisasi di sektor swasta. Jadi, bagaimanakah RMF berfungsi?

Rangka kerja pengurusan risiko NIST terdiri daripada tujuh langkah. Langkah-langkah ini mewujudkan sistem institusi yang berfungsi yang boleh mengurangkan risiko bagi sesebuah organisasi dengan cekap. Mari kita lalui setiap daripada mereka.

Apakah 7 langkah Rangka Kerja Pengurusan Risiko?

1. Sediakan
2. Categorize
3. pilih
4. Melaksanakan
5. Menilai
6. Diberikan
7. Pantau

Sediakan

Persediaan adalah teras kepada rangkaian yang saling berkaitan yang membentuk rangka kerja pengurusan risiko. Langkah ini menyediakan organisasi anda untuk menggunakan strategi formal dengan mengenal pasti risiko, mewujudkan toleransi risiko dan memberikan peranan kepada kakitangan.

Walaupun penyediaan adalah langkah pertama, anda boleh mengulanginya pada setiap peringkat proses. Jika sesuatu berubah, atau anda menyedari andaian anda tidak betul, anda mungkin mendapati ia berguna untuk kembali ke sumbangsaran.

Anda boleh menggunakan komponen Pengenalpastian untuk membentangkan kemungkinan risiko, ancaman dan kelemahan dan mula memformalkan idea ini ke dalam strategi pengurusan risiko.

Categorize

Pengkategorian adalah serupa dengan kedua-dua pengukuran dan pemantauan serta komponen mitigasi, tetapi lebih formal daripada sekadar menyenaraikan risiko yang berbeza. Dalam langkah ini, anda secara rasmi akan menilai risiko daripada yang lebih kecil kepada yang lebih besar dan daripada yang paling kecil kepada yang paling penting. Struktur ini kemudiannya digunakan untuk membuat dasar untuk meminimumkan risiko bagi organisasi.

pilih

Dalam langkah proses ini, anda pilih penyelesaian atau dasar yang diperlukan untuk mencegah atau meminimumkan risiko yang dikenal pasti sebelum ini. Penyelesaian ini akan kelihatan berbeza dari satu organisasi ke organisasi yang lain. Rangka kerja pengurusan risiko perusahaan mungkin menyediakan penyelesaian untuk mencegah kecurian harta intelek, manakala rangka kerja pengurusan risiko keselamatan siber akan menyediakan langkah untuk mengukuhkan tembok api rangkaian.

Melaksanakan

Langkah seterusnya ialah melaksanakan penyelesaian yang telah anda pilih. Ini adalah sebahagian daripada rangka kerja pengurusan risiko di mana anda mengubah fikiran anda menjadi tindakan. Pastikan anda mendokumenkan proses dan prosedur supaya penyelesaian yang dipilih menjadi polisi organisasi formal.

Menilai

Pada peringkat rangka kerja pengurusan risiko ini, anda menilai pelaksanaan penyelesaian pengurusan risiko anda. Matlamat langkah ini adalah untuk mengesahkan sama ada penyelesaian telah dilaksanakan dengan betul, dan, yang lebih penting, jika penyelesaian tersebut mencipta hasil yang diingini. Jika tidak, anda perlu menangani sebarang kelemahan dalam kawalan risiko.

Diberikan

Dalam kebenaran langkah, anda akan memberikan eksekutif atau ahli kanan organisasi gambaran keseluruhan rancangan dan penilaian untuk menerima kelulusan rasmi mereka bahawa sistem itu berfungsi seperti yang diharapkan. Selain itu, ahli kanan harus mengesahkan bahawa rangka kerja pengurusan risiko adalah selaras dengan undang-undang dan dasar organisasi.

Pantau

Langkah terakhir rangka kerja pengurusan risiko boleh, seperti langkah Sediakan, berlaku pada bila-bila masa. Organisasi anda hendaklah berterusan memantau sistem yang ditetapkan untuk memastikan ia masih relevan, berkesan dan berfungsi seperti yang diharapkan. Jika timbul sebarang keraguan atau pertimbangan baharu, mereka yang bertanggungjawab mengekalkan rangka kerja pengurusan risiko harus kembali ke langkah penyediaan.

Bagaimanakah kita boleh menggunakan NIST RMF untuk Pengurusan Risiko Perusahaan?

Rangka Kerja Pengurusan Risiko NIST ialah alat yang hebat untuk pengurusan risiko perusahaan (ERM), memandangkan ERM berurusan dengan mengurangkan risiko di peringkat organisasi. ERM juga boleh menjadi langkah penting perancangan strategik kerana sebarang keputusan yang dibuat harus mempertimbangkan keperluan seluruh firma dan bukan hanya segmen individu organisasi. NIST RMF memastikan keseluruhan organisasi dipertimbangkan, dan menyediakan model untuk mewujudkan dasar dan peraturan peringkat institusi.

Menggunakan komponen Pengenalan semasa langkah Sediakan membolehkan organisasi anda menumpukan pada kedua-dua risiko dalaman dan luaran. Risiko dalaman boleh menjadi sistem maklumat lapuk yang berlaku hanya menjejaskan satu jabatan. Risiko luaran ialah masalah umum yang mungkin menjejaskan organisasi secara keseluruhan, serta pelbagai struktur dalaman jabatan.

Selain itu, pada peringkat luaran, risiko boleh dikenakan kepada pelbagai segmen perniagaan dengan cara yang berbeza. Sebagai contoh, perubahan dalam demografi mewujudkan risiko yang berbeza untuk jabatan jualan dan pemasaran berbanding bahagian kewangan. Begitu juga, menambah Penyelidikan Industri kepada komponen pengenalpastian rangka kerja risiko NIST menjadikan Analisis Risiko lebih berkesan. Lebih banyak maklumat yang anda ada, lebih baik keputusan yang boleh anda buat. Jika faktor demografi atau ekonomi berubah, menggunakan penyelidikan industri yang mendalam akan membantu menghubungkan fakta segera dengan aliran industri keseluruhan.

Bagaimanakah RMF boleh digunakan untuk Pengurusan Risiko Pihak Ketiga?

Pengurusan Risiko Pihak Ketiga (TPRM) berusaha untuk mengurangkan risiko yang berkaitan dengan pihak luar seperti vendor, pembekal dan kontraktor. Skop penuh NIST RMF boleh membantu meminimumkan jenis risiko ini. Banyak faktor di luar kawalan organisasi anda apabila berurusan dengan pihak ketiga, jadi mengawal faktor yang anda boleh adalah penting. Di sinilah rangka kerja pengurusan risiko pihak ketiga yang komprehensif adalah penting.

Jika organisasi anda sangat bergantung kepada pembekal, anda menghadapi risiko besar jika mereka tidak dapat meneruskannya. Berwaspada dengan komponen pengurangan dan pelaporan dan pemantauan adalah penting, kerana organisasi anda perlu bersedia untuk sebarang perubahan yang tidak dijangka untuk mengurangkan risiko pihak ketiga.

Rangka kerja pengurusan risiko NIST berguna untuk mencipta dan mengekalkan dasar organisasi pengurusan risiko. Proses organisasi yang diformalkan dan dibuat rutin mengurangkan ketidakpastian, yang sangat membantu dalam TPRM.

Bagaimanakah RMF digunakan untuk Pengurusan Risiko Keselamatan Siber?

Memandangkan lebih banyak institusi menjalankan operasi dalam alam digital, organisasi mempunyai keperluan yang semakin meningkat untuk keselamatan siber. Organisasi dalam semua saiz, dari sudut kedai bodega kepada syarikat Fortune 500, memerlukan rangka kerja pengurusan risiko keselamatan siber yang mantap.

Banyak jenis risiko keselamatan siber wujud dan boleh berbeza dari satu organisasi ke organisasi yang lain. Kegagalan sistem adalah risiko utama, dan satu yang terpakai kepada semua jenis organisasi. Berwaspada dan menjalankan pemeriksaan yang konsisten mengurangkan kemungkinan kegagalan sistem. NIST RMF ialah alat yang hebat untuk mengurangkan risiko kegagalan seluruh sistem rangkaian maklumat.

Akhir fikiran

Anda tidak boleh menjadikan operasi anda bebas risiko, tetapi ada berita baik: organisasi anda boleh melakukan banyak perkara untuk meminimumkan risiko. Rangka kerja pengurusan risiko yang teguh, seperti NIST RMF, adalah fleksibel dan padu, serta merupakan alat yang berguna untuk organisasi dari semua jenis dan saiz.

Sumber daripada IBISWorld

Penafian: Maklumat yang dinyatakan di atas disediakan oleh IBISWorld secara bebas daripada Chovm.com. Chovm.com tidak membuat perwakilan dan jaminan tentang kualiti dan kebolehpercayaan penjual dan produk.