iso20000认证标准6.1条款应对风险和机遇的措施的应用

iso20000认证标准6.1条款应对风险和机遇的措施的应用

iso20000认证标准6.1条款应对风险和机遇的措施的原文：
6.1.1当策划服务管理体系时，组织应考虑到41中提及的因素和4.2中提及的要求，并确定需要应对的风险和机遇，以：
a）确保服务管理体系可达到预期结果：
b）预防或减少不利影响
c）实现服务管理体系和服务的持续改进。
6.1.2组织应确认和成文化
a）有关的风险：
1）组织
2）不满足服务要求
3）服务生命周期中的相关方
b）风险对客户的影响和服务管理体系及服务的机遇
c）风险接受标准；
d）风险管理的方法。
61.3组织应策划：
a）应对风险和机遇的措施及优先级
b）如何：
1）将这些措施整合到服务管理体系过程中，并予以实现；
2）评价这些措施的有效性。
注1：应对风险和机遇的措施包括：避免风险，面对或增加风险以追求机遇，通过协定的措施移除风险源源，改变风险的后果和可能性，降低风险，和其它方共担风险或通过充分的信息决策接受风险

iso20000认证标准6.1条款应对风险和机遇的措施的应用：
6.1 应对风险和机遇的措施
相关部门负责组织制定《信息安全风险管理程序》，建立识别适用于信息技术服务管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法，建立接受风险的准则并识别风险的可接受等级。信息安全风险评估依据《信息安全风险识别与价管理程序》进行，以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。
1）识别风险
在已确定的信息技术服务管理体系范围内，本公司按《信息安全风险管理程序》识别与信息保密性、完整性和可用性损失有关的风险，并确定每个风险的负责人。
2）分析和评价风险
本公司按《信息安全风险管理程序》规定，分析风险发生的可能性和可能导致的潜在后果，并计算风险等级。根据风险接受准则，判断风险为可接受或需要处
6.1.2 组织应确认并形成成文信息：
a)有关的风险：
1）组织；
2）不满足服务要求；
3）服务生命周期中的相关方；
a)风险对客户和服务管理体系及服务的影响和机遇；
b)风险接受准则；
C)风险管理方法。
6.1.3 组织应策划：
a)应对风险和机遇的措施及优先级
b)如何：
1） 将这些措施整合到服务管理体系过程中，并予以实现；
2）评价这些措施的有效性。
应对风险和机遇的措施包括：避免风险，面对或增加风险以追求机遇，通过协定的措施移除风险源源，改变风险的后果和可能性，降低风险，和其它方共担风险或通过充分的信息决策接受风险。






本文地址：http://www.isorenzheng.org/thread-18263-1-1.html