本帖最后由 longerwood 于 2012-5-2 17:17 编辑
下面哪项不是风险管理所关注的内容:A:确保组织在发生重大中断或灾难事件后仍然能够继续运作 B:确保工作场所对于员工和客户来说是一个安全的环境 C:确保公司的资产如信息、设施和建筑都处于被保护状态 D:确保只有降低风险的变更请求才能被批准实施 答案:D
1、题干分析 该题的考点是风险管理过程中的相关概念。ITILv3中,风险管理分为两个不同的阶段:风险分析和风险管理;风险管理涉及众多课题,包括业务连续性管理、安全、项目组合/项目风险管理和运营服务管理等。 2、相关概念 IT服务连续性管理:(ITIL服务设计)负责管理可能严重影响 IT 服务的风险的流程。通过将风险降低到可接受的水平,同时规划 IT服务的恢复,ITSCM确保 IT 服务提供方能够始终提供最低约定的服务级别。ITSCM支持业务连续性管理。 风险:可能导致伤害或损失、或影响实现目标能力的事态。风险通过威胁的可能性、资产面对此威胁的脆弱性以及如果发生会产生的影响等来衡量。风险也可以定义为不确定的结果,也可以被用来作为测量积极结果和消极结果的可能性的内容。 风险评估:风险管理的最初步骤。分析资产对业务的价值,识别对这些资产的威胁,评估每项资产面对这些威胁的脆弱程度。风险评估可以是定量(基于数据),也可以是定性的。 风险管理:包括确定和控制面对风险(可能影响组织实现业务目标)所需的所有活动。 3、知识扩展 风险评估的方法包括: Ø 基线评估法:仅评估资产和控制措施 Ø 详细评估法:评估五要素:(资产价值的高低、威胁潜力的大小、脆弱性被利用的难易、影响的严重程度、控制措施效果的好坏) Ø 两者结合的方法 风险处理的方式: 风险规避、风险转移、风险降低和风险接受 4、自由点评 风险管理涉及到IT服务管理的每一个环节,在服务战略、服务设计、服务转换、服务运营和服务改进的各个过程中均有一些关键成功因素和一些标准流程,这些流程及标准过程的有效实施能够保证IT服务的顺利进行,可以通过风险管理的方法对其进行引导。 另外,风险管理作为ISO27001的一项重要内容,是一个组织进行信息安全管理体系实施的重要前提,也是PDCA方法论得以实现的一个重要组成部分。
试题解析为天津卓朗咨询团队支持IT运维管理社区的原创工作,转载或在其他场合引用本文观点请注明引自“IT运维管理社区”,谢谢合作! |