几年前,我有幸加入了创建ISACA风险IT框架原始版本的工作组. 当时, 我觉得风险信息技术是对这个行业的重要贡献, 因为它提供了一个明确的以风险为中心的上下文,信息安全, 审计, 技术专业人员可以思考和操作. 但是,就像初稿一样,还有改进的余地. 此外,特别是在当今的动态风险环境中,为了保持任何框架的价值,定期更新是必要的. 考虑到这一点, ISACA最近成立了一个工作组来更新和完善风险信息技术, 我又一次被邀请参加,这次是作为评审.
对于那些还不熟悉风险信息技术的读者, 它是一个结构化的框架,可以帮助组织更好地理解和管理信息和技术风险. 它通过为风险管理程序的关键要素提供描述和指导来实现这一点, 包括:
- 风险管理
- 风险管理
- 风险评估
- 风险意识,报告和沟通
- 风险应对
的 风险IT框架,2nd 版,着重于基本的IT风险管理原则和项目中的必要元素. 的 风险IT从业者指南,2nd 版, 深入了解有关风险IT原则执行的更多细节, 同时避免成为规范. 这是新版本中更重要的改进之一. 具体地说, 与风险IT的原始版本相关的挑战之一是关于它如何关联的一些模糊, 或者与…对齐, COBIT. 它是COBIT的替代品,还是某种形式的补充? 这种模糊性现在得到了解决,并且更加清晰地表达了一致性.
总结一下, 当涉及到风险管理(控制)时,风险IT避免了许多我们倾向于想到的血腥细节,因为这些都在COBIT中包含. 这就是对齐的所在. 控制是达到目的的一种手段,这个目的就是有效的风险管理. 因此,这两个框架一起提供了一个更完整的方法. 也就是说, 风险IT没有关于控制框架的规定性, 因此,组织可以将风险IT与他们采用的任何控制框架一起应用.
第二版《澳门赌场官方软件》的另一个重要改进是更新了风险评估部分——特别是风险度量部分. 与定量与定性测量相关的指导得到了显著改进, 这将有助于读者更清晰,更准确地理解差异. 同样,从业者中的风险分析范围划分部分 ’《澳门赌场官方软件》有了很大的改进, 反映出更好的一致性和与可靠地度量风险所需的一致性.
对我来说特别重要的是,风险IT与FAIR风险度量模型保持高度兼容. 如果有什么区别的话, 它甚至更加紧密地团结在一起, 哪一个可以进一步增强这两个框架的实用性.
尽管有一定比例的用户不喜欢使用热图来传达风险, 风险IT仍然提倡使用它们. 考虑到它们的使用仍然很普遍,许多高管已经习惯了它们, 忽视它们并不能反映这个行业的现状.
底线是这个新版本的风险IT代表了一个有意义的改进, ISACA在这项工作中组建了一支一流的团队,应该受到赞扬. I ’我很高兴看到《澳门赌场官方软件》重新焕发活力,我相信来自许多学科的专业人士和利益相关者会发现它是一个优秀的资源.
