ISO 27001 资讯安全管理系统 【解析】(二十)

2. 冲击准则：
   为了充分了解所识别风险，组织应清楚地了解每个风险事件中明显的後果，这对於衡量这些风险事件、为风险评估其後果和可能性提供资讯至关重要，此过程还将有助於决定已识别风险的优先次序，并指导资源分配以减轻其影响。组织应针对每个已识别的风险考虑以下因素：
   • 风险最终可能产生的结果是什麽？
   • 风险发生的时间和频率如何？
   • 可能影响的风险在哪里？
   • 谁可能会受到风险事件发生的影响？
   • 谁是风险事件的利害相关者？对他们有什麽影响？
   • 什麽催化剂可能导致风险事件？
   • 如何减轻风险的可能性？
   • 如何减轻风险事件的後果？
   • 该风险评估所依据的资讯有多可靠？
   组织为冲击程度定义相关准则所应参考的相关面向如後：资讯资产的分类程度、破坏与违害资讯安全、营运上的受损、企业财务价值的损失、对计画和最後期限的破坏、声誉的危害、对法律法规或合约要求的违背。
   

3. 风险接受准则：
   组织参考第四章的全景分析後产出分析结果，分析结果通常带有风险期望目标级别的多项等级，提交给高层管理者接受的风险应该与其等级相对应，对不同类型的风险可以采用不同的风险接受准则，例如估算收益（或业务收益）与估算风险的比值。风险接受准则可以包括未来补偿措施要求并考量营运、业务准则、法律法规、技术、财务、社会等人为因素後，来决定整体风险可以接受的程度。
   

(二) 确认范畴界线
规划风险管理之前依样要先行确认风险管理的界线，避免因范围太大造成无效的分析，也要避免局限的范围影响整体资讯安全，这个范围是以风险的角度出发，所有在ISMS范围内的风险都要被分析及管理，要考虑的事项如下：
• 企业的目标与组织策略、布局与政策
• 业务过程
• 组织的职能和结构
• 适用於组织的法律法规和合约义务的要求
• 组织的资讯安全方针
• 组织风险管理的整体方法
• 资讯资产
• 组织的位置及其地理特性
• 影响组织运作的因素
• 利害关系者的期望
• 社会文化环境
• 资讯交换环境的介面
组织应该判断及检讨范围内的任何排除项目，并对排除理由提出说明，比较好的范例是：IT的应用、IT的基础设施、业务流程或者某个部门。