企业视频展播,请点击播放视频作者:南京中乾晟数据分析有限公司
如果组织的商业运作不是很复杂,并且组织对信息处理和网络的依赖程度不是很高,或者组织信息系统多采用普遍且标准化的模式,基线风险评估(Baseline Risk Assessment)就可以直接而简单地实现基本的安全水平,并且满足组织及其商业环境的所有要求。
采用基线风险评估,组织根据自己的实际情况(所在行业、业务
项目资金实施细则
企业视频展播,请点击播放
视频作者:南京中乾晟数据分析有限公司
如果组织的商业运作不是很复杂,并且组织对信息处理和网络的依赖程度不是很高,或者组织信息系统多采用普遍且标准化的模式,基线风险评估(Baseline Risk Assessment)就可以直接而简单地实现基本的安全水平,并且满足组织及其商业环境的所有要求。
采用基线风险评估,组织根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行安全基线检查(拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线,是在诸多标准规范中规定的一组安全控制措施或者惯例,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,能使系统达到yi定的安全防护水平。组织可以根据以下资源来选择安全基线:
详细风险评估要求对资产进行详细识别和评价,对可能引起风险的威胁和弱点水平进行评估,根据风险评估的结果来识别和选择安全措施。这种评估途径集中体现了风险管理的思想,即识别资产的风险并将风险降低到可接受的水平,以此证明管理者所采用的安全控制措施是恰当的。
风险识别
"风险识别"(risk identification)是发现、承认和描述风险的过程。风险识别包括对风险源、风险事件、风险原因及其潜在后果的识别。风险识别包括历史数据、理论分析、有见识的意见、的意见,以及利益相关方的需求。
经营靠管理,管理靠制度,制度靠流程,流程靠表单。运营管理体系能不能落地,与业务过程所用的表单密切相关,这些表单是否吻合企业的实际需要就显得尤为重要,因此我们需要对表单做出诊断,常见的诊断涉及如下几个内容:
1、考察项目计划模板的适用性
项目计划模板是运营管理过程中需要使用的重要表单,每一个项目开发计划的制定都源于此模板,对于这个模板中的"关键节点计划模板",我们主要考察是否吻合公司管控要点,比如关注进度推进,关注现金流影响等。而对于模板中的"主项计划模板"我们主要考察是否满足主项计划制定的原则,比如关键路径事项,历史瓶颈事项,多部门协同事项等。
2、考察周报和月报的合理性
企业为了有效获得运营管理过程的信息,经常使用各种各样的周报/月报进行采集,因此我们需要考察周报/月报的合理性。在周报/月报使用上,各部门往往将其作为工作情况的汇报表,尽所能的描述每天开展的工作及进展,这样的报告看似很详尽,却背离了管理的初衷——企业希望通过这些表单了解的应该是工作进展、遇到的瓶颈、需要投入哪些资源解决、需要哪些部门协同等等。因此,诊断周报月报的合理性往往考虑表单设计的合理性,以及业务部门使用的合理性。
(作者: 来源:)
