确定风险优先级的最佳方法 - 第 3 部分

开始就要考虑如何结束

您可能熟悉斯蒂芬·柯维高效人士的第二个习惯，“以终为始”。我将借用它并根据我们的目的对其进行改进。具体来说，我们必须明确任何风险管理计划的目标应该是什么：以经济有效的方式使组织经历 可接受的损失事件频率和程度。如果我们能就这一点达成一致（而且我还没有听到反对它的逻辑论证），那么我们就可以开始有效地确定优先级。

那么，组织试图管理的损失事件场景的频率和程度是多少？它们是否像我们在第 1 部分的“风险列表”中看到的那样？不，显然不是。网络犯罪不是损失事件场景，云计算、Web 应用程序漏洞或社会工程也不是。我们在该列表中最接近损失事件场景的是“数据泄漏”，但即使如此，也不太可能具体到对前十名列表有用。我的观点是，我们试图管理的是损失事件场景的具体化，而不是漏洞、威胁或技术的存在。 

从这一认识来看，应该清楚的是，任何“最高风险”列表（也可以称为“最高损失场景”）都需要由那些代表对组织造成最大损害的可能性的损失事件场景组成。在本系列的第 4 部分中，我将分享一些关于如何为损失事件环境创建分类法的想法，以便您可以更轻松地识别和衡量这些场景。

但是，但是……

用户意识、第三方风险管理和 Web 应用程序漏洞等关键控制元素又如何呢？如果这些或其他风险管理计划要素存在严重缺陷，它们难道不应该也在清单中吗？不。它们应该组成一个完全不同的“十大”列表（例如“顶级风险管理缺陷”），因为它们根本不同，不能根据顶级损失事件场景进行优先排序。  

请记住我在本系列的第 2 部分中指出的内容：为了比较和优先考虑两个或多个事物，这些事物应该在很大程度上相互独立。重大风险管理缺陷经常（如果不是总是）在某种程度上影响最高损失事件场景。

因此，最重要的是，我强烈建议组织制定两个清单，而不是一个清单： 

• 一种用于最高损失事件场景

• 其最严重的风险管理缺陷之一 

除了阐明组织风险格局的基本性质之外，区分这两个维度还可以使组织认识到任何风险管理缺陷是否或在多大程度上影响其最重大的损失暴露场景。 

原文始发于微信公众号（河南等级保护测评）：确定风险优先级的最佳方法 - 第 3 部分