在許多研究中,都有提及風險評鑑(Risk Assessment),例如 ISMS(ISO 27001)、BCM(BS 25999)及 ITSM(ISO 20000)等,基本上理論精神相似,只有某些細節上的做法差異,就筆者的觀察,歸納出風險評鑑的主要流程如下:
1. 建立風險認定的準則(criteria)
2. 鑑別風險(risk);並鑑別出組織的威脅(threat)及弱點(vulnerability)
3. 分析風險:
(1) 可能性(likelihood)
(2) 衝擊(impact):可與 BIA 的分析產出整合
(3) 區分等級,鑑別風險(risk):並鑑別出組織的威脅(threat)及弱點(level)
常見的手法,是利用 matrix 矩陣圖,以機率(percentage)和影響程度(impact)分別為 X , Y 軸,mapping 出各風險的優先順序:
1. 建立風險認定的準則(criteria)
2. 鑑別風險(risk);並鑑別出組織的威脅(threat)及弱點(vulnerability)
3. 分析風險:
(1) 可能性(likelihood)
(2) 衝擊(impact):可與 BIA 的分析產出整合
(3) 區分等級,鑑別風險(risk):並鑑別出組織的威脅(threat)及弱點(level)
常見的手法,是利用 matrix 矩陣圖,以機率(percentage)和影響程度(impact)分別為 X , Y 軸,mapping 出各風險的優先順序:
Percentage Impact | High (3) | Medium (2) | Low (1) |
Critical (3) | 9 | 6 | 3 |
Normal (2) | 6 | 4 | 2 |
Small (1) | 3 | 2 | 1 |
4. 建立可接受的風險等級:以成本考量,並非每個風險皆需處理,須建立一判斷基準
5. 決定風險處置方法(treatment/response)
之前 BIA 的分析,定義出營運流程中關鍵的活動有哪些? 且其活動中斷服務時,對組織的相對損失? 可忍受的最長破損時間及目標回復時間等。而風險評鑑就是針對上述關鍵活動,去鑑別所有可能的風險、威脅及弱點,並進行適切的分析,決定處理方法。
舉例說明,以一杯星巴克咖啡的服務而言,流程大概如下:
1. 接受顧客點餐、結帳,傳送杯子 =>
2. 吧台人員覆喊飲料名,確認飲料 =>
3. 備齊所需物料(咖啡豆、冰、牛奶) =>
4. 操作煮咖啡機器 =>
5. 送出咖啡
經過簡易的 BIA 分析,認定活動 4 為關鍵活動;沒有此活動,可能當天就無法提供咖啡服務了,頂多只能提供果汁、糕點,而預計此活動中斷,可能造成日營業額下降 70%。隨著時間越長,除了,流失的企業形象等無形損失更大,建議最長可忍受時間為 2 天,目標回復時間為 2 小時。
接下來進行該活動的風險評鑑,有哪些可能性的風險呢?
1. 電力喪失 (機率:2,衝擊:3,得分= 6)
2. 零件故障 (機率:1,衝擊:2,得分= 2)
3. 不當操作 (機率:2,衝擊:3,得分= 6)
4. 四級地震 (機率:1,衝擊:1,得分= 1)
5. 七級地震 (機率:1,衝擊:3,得分= 3)
若假設組織先前定義出的可接受風險等級為「得分 >= 5」,則需進行處置的風險,只有風險 1 和 3。而針對風險 1 和 3,決定的處理方法可能為:備妥緊急發電機及加強員工教育訓練。
以上僅是簡易的範例,僅供參考,實務上對於機率的判定,會有更客觀的判定準則,例如一個月一次,為 level 1,一季一次為 level 2…等,而影響衝擊(impact),若可量化的話,也會用數據來衡量,例如損失一百萬以下為 level 1,損失二百萬以下 level 2…等。有興趣者可以利用上述模式逐步展開。
完成 BIA 和 RA 之後,管理階層應參照分析報告,決定出企業持續性策略;建立一個符合目標的已定義流程或程序,高效率地執行風險處理方法,並配置足夠的資源輔以執行,以期關鍵活動可以於回復目標時間內正常運作,有效地控制風險對組織所產生的影響和損失。
全站熱搜
留言列表
ITIL研究心得 (11)