风险管理是识别、评估和处理可能影响组织目标的风险的系统过程。
根据ISO 31000,风险管理是指导和控制组织应对风险的协调活动。包括建立背景、识别风险、分析风险、评估风险以及定义与其影响和可能性成比例的处理措施。
ISO 31000不可认证,但提供适用于任何组织中任何类型风险的原则和指南。
每个组织根据其风险偏好和监管环境定义自己的风险可接受标准。
所有ISO管理体系标准(27001、42001、9001、22301)都要求风险管理作为横贯流程。
ISO 31000是适用于任何类型风险的通用框架。ISO 27005是信息安全风险管理的专用指南,与ISO 27001互补。
不。ISO 31000是可扩展的。任何规模的组织都可以根据其资源和环境调整流程复杂度来应用其原则。
常见的包括概率-影响矩阵、FMEA分析、故障树和蝴蝶结分析。选择取决于风险类型和组织成熟度。