作为信息安全专业人士, 我们为公司进行风险评估, 项目, 新澳门赌场官方下载和初创澳门赌场官方下载, 等. 要完成这项任务, 我们遵循来自可靠来源的指导方针, 不局限于在线搜索, 咨询和安全标准. 风险评估格式可能因公司而异, 方法通常在单独的文档中说明,可以根据公司或项目进行定制. 让我们回顾一下在评估风险时可能出现的一些不可避免的挑战的清晰而实用的方法.
一个重要的文件是风险处理计划, 哪些应包含针对已识别风险的缓解行动. 作为惯例, 我们大多数人都有新的控制措施,或者可以更新当前的控制措施,以将风险降低到可接受的水平. 还有一些情况是,即使风险没有降低到可接受的水平,公司也会接受一些风险. 这可能只是出于特定的业务原因,需要适当的批准和解决方法来控制风险.
让我们来看一个需要采取缓解措施的正常场景. 根据我们的风险处理计划我们有很多控制措施, 这在现实世界中可能很有挑战性. 例如, 这种控制可能会影响到其他需要不同部门批准的部门, 控制的应用可能会导致一定的停机时间或中断一些应该相应地计划应用程序的服务, 或者控制可能会产生巨大的成本. 可能有比我在这里提供的更多的例子, 但是仔细研究它们, 我们明白,不太可能以特别的方式处理这些问题. 最好的方法是将每个风险的每个治疗计划(每个控制)作为一个项目来处理. 这并不意味着我们需要一个项目管理专家, 而是遵循基本的项目管理技术. 这将帮助我们以结构化的方式跟踪和实现控制, 哪些也可以作为总结提交给管理层.
我更愿意用一个例子来解释这一点, 关于在公司内部实施数据分类控制的风险处理计划. 我们如何通过项目管理方法来处理这个需求? 请注意, 下面的方法并没有严格遵循项目管理原则, 但关键技术是要用到的, 和自定义, 根据我们的要求.
首先,需要清楚地识别需求(最终结果)。. 举个例子, 假设公司需要对数据进行分类,并根据定义的分类对数据进行监控. 由于这是一个广泛的范围,我们需要将其分成阶段并确定里程碑. 此外,每个阶段都应该有多个任务来实现里程碑.我们称之为WBS(工作分解结构). 我们得到了主要任务和子任务的定义以及完成每个任务所需的估计时间. 也, 如果有成本,如果任务涉及到依赖关系, 他们也应该被标记.
|
当前风险-高 实施后的潜在风险-低 |
|||||
|
任务 |
持续时间 |
开始日期 |
结束日期 |
成本 |
依赖关系 |
|
识别公司数据 |
17天 |
11-06-2020 |
01-07-2020 |
XX |
任务2.4 |
|
1.识别人力资源部门数据 |
7天 |
11-06-2020 |
22-06-2020 |
XX |
任务2.4 |
|
1.识别财务部数据 |
10天 |
18-06-2020 |
01-07-2020 |
N/A |
N/A |
|
识别数据的分类批准 |
|||||
*注意:这些都是示例,而不是项目的实际任务.
它看起来像上面的表格, 一旦它完全填满了合适的数据, 您可以计算项目所需的工作量(成本和时间). 同样重要的是要知道,WBS总是根据项目的最新更新进行更新和更改. 例如, 如果有些任务没有按时完成, 应该重新安排时间, 哪些应该反映在WBS中.
然而, 在初始阶段, 潜在的任务和估计的时间和成本将为项目提供一个合理的概述, 允许管理层做出必要的决策, 例如批准计划的工作以减轻当前的风险.
遵循这个方法, 我们将为风险处理计划中提供的每个缓解控制提供一个表. 我们可以在很多方面利用这些计划使我们受益. 报告/图表可以通过时间和成本预测来完成所有控制实施的总体工作, 这对管理层来说是一个非常有用的工具吗, 因此,管理层可以为风险缓解需求计划预算和资源.
进一步, 我们可以对任何其他与信息安全相关的项目或初始化使用类似的技术. 我希望这能帮助你完成任务, 部门内的项目和目标有一个更清晰和实际的方法, 同时减少外部项目管理咨询的成本和工作量.
