洛阳新闻,党建新农村建设,蔷靖潞影,杨雨婷 张书记
 
位置: 亚洲金融智库网 > 风险管控 > 正文

风险管理的三要素及其内容

时间:2021-06-01 01:36
本文关于风险管理的三要素及其内容,据亚洲金融智库2021-06-01日讯:

一、坚定三要素

  在风险管理中要坚定地立足于A.S.T.三要素。在风险评估中,如果这三个要素有所确实,会大大影响风险评估的说服力。

  比如,如果在风险评估中,不对资产和业务作出有特点、有针对性地评估、分析,仅仅按照27001的内容对应地进行评估,那么就仅仅是做了“安全措施评估”,这仅仅是安全三要素的一个脚。

  如果仅仅按照多年来业界的评估模式,评估资产价值、脆弱性和威胁,组成风险,而将安全措施仅仅作为风险值分析出来后的控制来考虑,会对于控制措施的前后连贯性缺乏描述。其实,没有无防护的系统,防护措施在风险中也有其地位,就像风险10要素模型中阐述的,脆弱性和防护措施有一定的对应关系。

  总之,在风险管理中,特别是在风险评估中,一定要全面考虑风险的这三个要素。



二、A.S.T.三要素,有主有附着

  A是资产和业务,T是威胁,S是防护措施。


A是可以自己独立存在的。资产和业务有其自身的目标、方法、模式、体系架构等等。如果从业务的角度看,可以不理会S和T,紧紧考虑A。所以,A是风险要素中,最“元”的要素。就像AS4360中对于风险的定义:“对目标有所影响的某件事情发生的可能。”这句话里有一个关键点就是目标,而这个目标就是资产,就是业务,就是对于业务的保障。
T→A
T一定是针对资产和业务的。没有孤零零存在的威胁。没有伤害的目标,威胁就没有意义。所以,在威胁的评估中,一定要明确是针对什么资产和业务的威胁。即使是比较通用的威胁,也一定要清楚这个威胁是针对那个资产类的威胁。
S(T→A)
防护措施,一定是要防护某一个威胁。而威胁一定是针对资产和业务的。也就是说,看一个防护措施,一定要搞清楚解决那些威胁、保护那些资产。有的时候,仅仅说一个防护措施是防护什么资产的,但是,如果忽视了所对应的威胁,就会迷失。
  所以,这风险三要素不仅仅是AST,而是S(T→A)


专题推荐:风险管理(662)及其(14)要素(34)
打印此文】 【关闭窗口】【返回顶部
风险管理(662)及其(14)要素(34)相关文章
推荐文章
最新图文


亚洲金融智库网版权所有
  亚洲金融智库网主要提供风险管控,网络安全,舆论公关,金融法务,金融培训等相关资讯。