2014年2月6日 星期四

CISSP領域重要名詞釋疑 - 風險選擇 與 同意風險


風險選擇
每一次我們風險評估,我們總是決定要如何去做。選項包含接受風險減輕或者消除風險轉換風險避免風險

同意風險
某些風險可能被同意:在同樣的案例中,該資產的價值低於被保護的風險,低於保護它所做出的效益(以及所花費的金錢)。這並不是一個無知的決策,所有風險造成的影響與同意風險前的考慮。

案例學習:同意風險
一間公司進行風險分析,確定大型主機是風險來源。該大型主機不再用於新的交易,他僅進行歷史資料的運作。隨著時間推移,硬碟故障回復能力降低,硬體的保固年限,支援合約的服務到期並且沒有續約,大型主機的服務人員陸續離開。公司沒有信心當資料遺失後還能夠成功救回及時的數據,如果它發生的話。

這些歷史資料必須維持在線上長達六個月或更久,才會轉換到新架構的系統。所以有需要進行即時的備份嗎?有必要購買新的大型主機與購買支援服務和聘用外部大型主機專家嗎?

風險管理團隊要求團隊支持下載升級檔,”如果明天這些數據消失了,會發生甚麼情況,前六個月的新檔案去留?” 答案是:該公司可能在期中的使用紙張記錄數據,這將會是一個小的操作上的不便。沒有法律或法規禁止的這一類計畫。

該公司決定接受失敗的數據存檔灰復,評估主機故障後的風險。請注意,這個決定是經過深思熟慮的。利益相關方面進行了協商,對運行的影響層面進行了評估,並針對法律和法規進行了審議的結果。

沒有留言: