此话题中所述数据中心是指为集中放置的电子信息设备提供运行环境的建筑场所及其内为电子信息系统提供运行保障和运行环境的场地和设备系统。 数据中心的风险管理是一项有目的的管理活动,风险管理的目标就是通过考量不确定性及其对目标的影响,采取相应的措施,提高风险应对的效果,以最小的成本获取最大的安全保障。其关键活动包括:一、 确定风险管理范围应基于内外部环境的分析,以及自身风险管理和监管要求,识别风险管理范围、对象以及与数据中心其他管理领域的关联。风险管理涉及财务、安全、生产、设备、物流、技术、人员、制度等多个方面。从数据中心的其他管理领域看,风险管理的范围通常可包括可能导致数据中心服务中断的风险、职业健康与环境安全风险(识别危险源与环境影响因素等)、信息安全风险、合规风险等等。二、 风险评估数据中心应对风险进行识别、分析与评价,落实风险评估要求。应确定风险评估方法,明确风险接受准则。通常可结合评估对象的重要性、其自身的脆弱性、其所面临的威胁、现有控制错施以及风险发生可能带来的损失等方面对风险进行评估。数据中心应定期进行风险评估,同时当内、外部重大环境变化时,应重新实施风险评估。数据中心的风险评估应保持独立性,包括自行或者委托独立的第三方就全部范围进行独立的风险评估,不应使用数据中心相关方出于某种目的而进行的评估活动来代替数据中心自身应进行的风险评估。三、 风险处置应对评估出的风险,制定风险处置措施并落实。风险的处置措施可包括:
数据中心应执行风险处置措施,并对采取风险处置措施后的残余风险进行评估,对风险处置措施的有效性进行测量。四、 风险管理回顾应按计划时间间隔,每年至少一次回顾风险处置措施有效性和风险管理效果,分析、比较已实施的风险管理方法的结果与预期目标的契合程度,以此来评判管理方案的科学性、适应性和收益性。转载请注明出处。 作者简介 |
|