什么是风险异常

 

企业想要聘请供应商。但是,此供应商不符合策略标准,并要求例外情况。您面临的问题是是否批准或拒绝该例外请求。有时对业务有益,有风险增加。事实上,许多事件是政策违规的直接结果。对于风险管理和业务需求,也许答案不是简单的yay或nay,而是一种更细致的方法。一个允许例外,以及帮助解决风险。

安全组织可以是复杂的结构。 构架,流程,程序和政策都是布局。但是,在日常运营时,组织仍然很有可能遇到违反现有政策和程序的情况。风险是不可避免的。关键是识别曝光,并准确地说,风险异常开始。风险异常认识到您不符合法律,政策或法规的领域。资源面临暴露于恶意活动和/或由于不合规而发出的处罚。

利用示例,最好解释风险异常

让我们假设一个组织有一个政策,以便在实际报告之日起五个月内修复所有曝光。该组织最近从一个第三方审计员进行了安全评估,该第三方审计员在组织内休息的数据提出了几个安全问题,其内部地区数据中心/服务器很容易渗透。组织声称他们对此问题有一个逻辑解决方案。然而,实际上,在五个月的时间范围内修复这种类型的曝光可能是不可行的。这正是风险异常发挥的地方。

实现风险异常作为安全框架的一部分:

该组织应进一步迈出一步,并将异常管理实施为其安全框架的一部分,在那里他们可以处理异常并具有定义的适当策略和程序。这将协助组织处理异常,并为高级管理层提供保证。这样,组织将看到 安全框架 作为业务支持而不是将其视为程序障碍。为了为合规性和风险管理团队实施这一点,我们需要考虑以下内容:

  1. 识别关键利益相关者: 您的组织需要识别将参与管理例外的人。通常,批准的官方拥有证据和安全团队的某个人将最终确定和批准异常。利益攸关方的数量与组织到组织,基于其风险管理程序,以及它的设计方式。
  2. 实施角色和职责:  一旦您的组织确定了利益相关者,他们需要创建一个特定地址和定义通信过程的角色和职责。这是一种正式的方式,可以沟通每个利益攸关方的问责制和责任。
  3. 将时间表与每个例外相关联: 根据定义,例外是从过程或政策的偏差。但是,它们主要提供,因此业务不会被阻止,因此,安全和业务团队都可以一起运作。将有一个逻辑截止日期集,因此可以清楚地跟踪这些异常。
  4. 延长需要的例外情况: 虽然与业务合作良好,但本组织必须确保有人承担对业务结束的此类扩展的责任。风险管理/合规团队应解释扩展此类异常的利弊。关键利益相关者应该理解,如果由于扩展到例外而发生的系统妥协,他们将负责。利益攸关方将是Soley负责,并将被要求解释和较高权威所发生的问题。
  5. 接受无法溶解的例外:  预算必须批准以摆脱现有解决方案。事实是,许多企业可能没有兴趣投资巨额进入他们不认为必要或有益的东西,开始。例如,在大型机服务器上托管托管的旧工资单件。薪酬薪酬和变化的薪资是一项繁琐的任务,并具有从旧技术迁移到更新的历史性的巨大成本。
  6. 开发支持政策和程序:  如果组织想要强制执行异常管理作为风险管理的一部分,那么组织需要开发支持的支持策略和程序,该策略和程序正式记录如何在每个方案中处理异常。一旦组织有适当的文档,那么他们可以将其集成到现有的安全框架中。

查看博客: 供应商风险管理。