Day12_ISO31000:2009 风险管理原则与指导纲要~嘛嘛浩了~好多个ISO~XD"

恩~今天刚考完IPAS的中阶资安工程师XD"~头好昏~
有考到风险评险的部份，发现，我根本没消化完XDDD"。。。
回来翻讲义，觉得我好眼残，在讲这章的时候，我应该是走神了~好吧~慢慢啃~

▉刘姥姥进大观园
ISO31000:2009 风险管理原则与指导纲要(ISO27001~上课老师有提到的)
ISO 31010:2009 风险管理 - 风险评监技法(今天考题好像是它，忘了，只能等星期一试题公布，才能确认是不是它了)

▉ISO31000:2009 风险管理原则与指导纲要
(可以参考CNS 31000)
└风险处理>风险接受/风险沟通>风险监视与审查。
└→风险修改、风险保留、风险避免、风险分配。
└→→在决定风险可接受等级，可考量因素：
竞争态势、技术、人力、成本、时间、利害关系者的期待、高阶管理者的承诺。
• 依据风险高低与优先度，决定风险处理程序。
• 拟定风险处理计划，应包含目的、方案、负责人、预计完成日期、有效性衡量指标、追踪及结案机制。
└老师分享的是说，以"竞争态势(私人企业)"或"依循法规"(公家机关)作切入点，会更能让高阶管理者接受，若以人力或成本，就有可能被缩减处理的意愿。
--这是不是跟争取专案预算是一样的意思XDD"

▉CNS 31000(想当然就是…我还没看XD")
目录
前言
简介

1. 适用范围
2. 用语及定义
3. 原则
4. 架构
   4.1 一般
   4.2 宣示与承诺
   4.3 管理风险之架构设计
   4.4 实施风险管理
   4.5 架构之监测与审查
   4.6 架构之持续改进
5. 过程
   5.1 一般
   5.2 沟通与谘商
   5.3 建立前後环节
   5.4 风险评监
   5.5 风险处理
   5.6 监测与审查
   5.7 记录风险管理过程
   附录A (参考) 强化的风险管理之属性
   参考书目