应用ISO 31000风险管理框架指南。原则、框架、评估流程和风险处理。
ISO 31000提供系统管理风险的原则和指南。与其他ISO标准不同,它不可认证,但其应用改善决策制定,是所有管理体系的方法论基础。
定义影响风险管理的外部背景(法规、市场、利益相关方)和内部背景(文化、结构、资源)。背景决定风险标准。
使用研讨会、访谈、情景分析和历史事件回顾等技术。每个风险必须描述其来源、事件和潜在后果。
估计每个风险的可能性和影响。与定义的风险标准比较,确定哪些需要处理以及优先顺序。
对每个超过可接受水平的风险,选择处理方式:避免、缓解、转移或接受。记录处理后的残余风险。
建立关键风险指标(KRI)并定期审查风险登记册。向管理层和相关利益相关方沟通风险状态。
不能。ISO 31000是原则和指南性指导,不是要求标准。不存在ISO 31000认证,但其框架适用于ISO 27001或ISO 22301等可认证标准。
固有风险是应用控制措施前的风险水平。残余风险是处理后剩余的风险。两者都必须记录在风险登记册中。
至少每季度一次,在背景发生重大变化时也需审查(新法规、事件、组织变更)。管理评审是强制性的正式审查。