为了方便开展业务,公司应当制作合同范本,并要求业务拓展部门熟知合同范本的内容。合同范本的制作应当由律师会同公司的风险控制部共同制作,力求匹配公司的经营需求、经营能力、主营业务方向、风险控制目标等。因为风险无处不在,所以风险管理制度的设置不能孤立存在于风险控制部,风险控制部仅能作为传达、分析、统计、度量、论证部门,从事程序化管理、制度化建设、化培训。
项目投资价值及债务履约能力评级
为了方便开展业务,公司应当制作合同范本,并要求业务拓展部门熟知合同范本的内容。合同范本的制作应当由律师会同公司的风险控制部共同制作,力求匹配公司的经营需求、经营能力、主营业务方向、风险控制目标等。因为风险无处不在,所以风险管理制度的设置不能孤立存在于风险控制部,风险控制部仅能作为传达、分析、统计、度量、论证部门,从事程序化管理、制度化建设、化培训。
采用基线风险评估
组织根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行安全基线检查(拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线,是在诸多标准规范中规定的一组安全控制措施或者惯例,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,能使系统达到一定的安全防护水平。组织可以根据以下资源来选择安全基线
详细风险评估
要求对资产进行详细识别和评价,对可能引起风险的威胁和弱点水平进行评估,根据风险评估的结果来识别和选择安全措施。这种评估途径集中体现了风险管理的思想,即识别资产的风险并将风险降低到可接受的水平,以此证明管理者所采用的安全控制措施是恰当的。详细评估的优点在于:1、组织可以通过详细的风险评估而对信息安全风险有一个精1确的认识,并且准确定义出组织的安全水平和安全需求;2、详细评估的结果可用来管理安全变化。当然,详细的风险评估可能是非常耗费资源的过程,包括时间、精力和技术,因此,组织应该仔细设定待评估的信息系统范围,明确商务环境、操作和信息资产的边界。
(作者: 来源:)
