1IT治理和管理 IT治理和管理 ......................................................................................................................1 1.风险 管理 ....................................................................................................................12 1.1.风险 管理 .............................................................................................................12 1.1.1. 组织 用于识别信息资源的脆弱性及威胁，制定相应的对策（安全措施 或控制），以实现组织业务目标的过程。任何风险，都应当基于信息资源对组 织的价值，将其降至可接受水平（如剩余风险） ...............................................13 1.1.2.风险 管理=风险治理+风险响应+风险评估（都对，不同表达方法） ...13 1.1.3. 风险 管理=风险评估（风险识别+风险分析）+风险处置（都对，不同表 达方法） ...................................................................................................................13 1.2.风险 管理过程 .....................................................................................................13 1.2.1. 对 需要保护的信息资源或资产进行识别和分级，因为他们对威胁具有 价值 13 1.2.2.评 估与信息资源相关的威胁和脆弱性及其发生的可能性 .....................13 1.2.3.综 合考虑风险因素形成对风险的整体评价，进行风险计算 .................13 1.2.4. 在 风险确定后，就可以评价现有控制或设计新的控制来降低脆弱性至 可接受风险水平 .......................................................................................................13 1.2.5. 实 施控制后所保持的风险水平成为剩余风险，用于管理层找出需要更 多控制的领域以进一步降低风险 ...........................................................................13 1.3.风险 分析方法 .....................................................................................................13 1.3.1.定量 风险分析：ALE=V*EF*ARO ................................................................14 1.3.1.1. 资产 价值AV×暴露因子EF单一损失期望SLE ......................................14 1.3.1.2. 单 一损失期望SLE×年发生比率ARO 年度损失期望ALE .....................14 1.3.2.定性 风险分析：高、中、低 .....................................................................14 1.3.2.1. 操作方法可以多种多 样，包括小组讨论例如Delphi方法、检查列表 Checklist、问 卷Questionnaire 、人员访谈Interview 、调查Survey等 ...............14 1.3.3.定量与定性 风险分析的缺点 .....................................................................14 1.3.3.1. 定量分析 ..............................................................................................15 1.3.3.1.1. 计 算更加复杂。管理层能够理解是怎么计算出来的吗？ ........15 1.3.3.1.2. 没有可供利用的自 动化工具，这个过程完全需要手动完成 ....15 1.3.3.1.3. 需要作大量基 础性的工作，以收集与环境相关的详细信息 ....1521.3.3.1.4. 没有相 应的标准。每个供应商解释其评估过程和结果的方式各 不相同 15 1.3.3.2. 定性分析 ..............................................................................................15 1.3.3.2.1. 评 估方法及结果相对主观 ............................................................15 1.3.3.2.2. 无法 为成本/收益分析建立货币价值 ...........................................15 1.3.3.2.3. 使用主 观衡量很难跟踪风险管理目标 ........................................15 1.3.3.2.4. 没有相 应的标准。每个供应商解释其评估过程和结果的方式各 不相同 16 1.3.4.半定量 风险分析 .........................................................................................16 2. IS管理实务 ................................................................................................................16 2.1.人力 资源管理 ...................................................................................................16 2.1.1.聘用 .............................................................................................................16 2.1.2.员 工手册 .....................................................................................................17 2.1.3.晋升政策 .....................................................................................................17 2.1.4.培 训.............................................................................................................17 2.1.4.1. 交叉培 训：培训一个以上的人员从事一项特定作业或程序。 ......17 2.1.4.1.1. 优 点：降低了对某一个员工的依赖程度，并可作为继任计划的 一部分，保证持续运营。 ...............................................................................17 2.1.4.1.2. 缺点： 员工知晓系统全部内容，可能会带来风险和问题。 ....17 2.1.5.日程安排和工 时报告 .................................................................................17 2.1.6.员 工绩效评价 .............................................................................................17 2.1.7.强 制休假、轮岗 .........................................................................................17 2.1.7.1. 强