使用COBIT 5 管理風險組合(Risk Portfolio )

風險情景分析是企業風險管理（ERM）的重要組成部分。這種技術是一種強大的工具，因為它有助於更容易讓企業領導者了解風險的描述， ISACA近日發出Risk Scenarios Using COBIT 5 for Risk「風險情境下使用COBIT 5 應付風險」提供指引給負責幫助企業管理風險組合的專業人士。

Robert E Stroud, CGEIT, CRISC, international president of ISACA說，「風險情景分析是一種有價值的技術，使得IT更容易理解和有效回應與實行經營策略，其中包括在IT相關的風險」。

Risk Scenarios Using COBIT 5 for Risk (風險情境下使用COBIT 5 應付風險)是一個在如何使用COBIT 5應付風險去準備IT相關的風險情境，可以用來進行風險分析和評估的實務指引。它在自己的組織為讀者提供了潛在可能的情景，以考慮並允許這些進行調整，場景可以添加，刪除和修改，以提供一套有針對性的相關方案，適合其組織的特定風險，風險偏好和業務需求。

風險分析是用來評估資訊科技相關的風險情況下的頻率和幅度的過程。風險評估是用於識別和評估風險的特定事件的概率，它的潛在影響和評價的方法。風險評估是更寬廣的，包括風險分析的初步和輔助活動（如詳細的風險情況的識別和反應，如緩解計劃的定義和現有的控制的描述）。結合風險分析和評估構成了一個核心的做法，使現實主義，洞察力，組織的參與，改善了分析和結構對IT風險的複雜的事情。風險情景是風險的有形和可評估的呈現，他們是識別、分析和應對風險的關鍵訊息項目之一。

風險並不是永遠可以避免的，做生意本來就會有風險承受，是與企業風險胃納一致。許多商業活動需要承擔IT風險以實現所需的產出結果，並實現企業目標和目的；在這種情況下，風險需要管理，不一定可以避免。風險情境應該被用來描述一個可能與IT相關的事件，發生的時候，都會對實現經營目標的不確定性正面或負面的影響。

風險方案的主要組件包括：

• 行為者—他產生利用漏洞的威脅？他可以是內部的或外部的人士，並且它們可以是人或非人。不是每一個類型的威脅會需要一個行為者（如故障或自然原因）。
• 威脅類型（依事件的性質而定） -它是惡意嗎？如果不是，這是偶然發生的嗎？還是一個良好定義的方法的失敗？它是一個自然事件？
• 事件—是否洩露機密訊息、一個專案系統的中斷、盜竊或破壞？行動還包括對系統或過程無效的設計、使用不當、改變規則和規範，將對系統產生重大影響，或者執行不力的過程（例如，變更管理程序、取得程序、專案優先作業）。
• 資產/資源—資產是就是對企業任何有價值的項目，會受到事件影響而導致影響業務。資源是任何有助於實現IT目標。資產和資源可以是相同的（例如，IT硬體是一個資源，因為它的應用程式使用它，並在同一時間，資產，因為它對企業有一定的價值）。資產/資源包括：
  • 人與技能
  • 組織結構
  • IT流程（例如，模擬成COBIT 5流程）或業務流程
  • 實體基礎設施或設備
  • IT基礎設施，包括計算機硬體、網絡基礎設施和中介轉體
  • 其它企業架構（EA）的組件，包括資訊和應用

資產和資源進一步劃分為關鍵或非關鍵。關鍵資產和資源可能是更多的攻擊目標，或者表示失敗中更大衝擊；因此，經常性的風險評估應該定期安排，以確定是否風險應對措施仍然妥適。

• 時間—維度，如果有相關的情景，在下面有描述：
  • 該事件的持續時間，例如服務或數據中心的擴展停運
  • 時序（請問該事件發生在一個關鍵時刻嗎？）
  • 檢測（檢測是立即或延遲？）
  • 事件和後果之間的時間差（是否有一個直接後果，例如，網絡故障，立即停機，或延遲的後果，例如，擁有超過數年的時間跨年度累積成本高，不正確的IT架構？）
  • 有沒有一個直接後果，例如，網絡故障，立即停機，或延遲的後果，例如，擁有超過數年的時間跨度累積成本高了不正確的IT架構？）

風險情境必須實事求是，公正和可靠提供確保，管理階層是使基於有品質的資訊來做決定。使用風險情境作為企業風險管理的一部分的好處是顯著的，風險管理專業人士應成為精通於準備這一重要訊息項目，以幫助管理階層識別、分析和回應風險。

閱讀ISACA的風險情形下使用COBIT 5的風險，以了解更多關於這一主題。

By Steven Babb, CGEIT, CRISC, ITIL
COBIT Focus
6 October 2014
http://www.isaca.org/COBIT/focus/Pages/Managing-the-Risk-Portfolio-Using-COBIT-5.aspx?cid=sm_1104920&appeal=sm