知识分享：风险管理、分析和KPI

今日三题：

1.为确保关键缋效指标(KPI)成为有效和有用的尺度，最重要的是：

A. 要按一致的时间间隔对KPI进行测量。

B. 要定义具体的目标。

C. 要考虑关键成功因素(CSF)。

D. KPI纯属定量衡量指标。

2. 为确保有效，风险管理应当适用于：

A. 通过风险评估识别的要素。

B. 超过可接受风险氺平的任何领域。

C. 所有组织活动。

D. 仅限具有潜在影响的领域。

3. 风险分析的目标是：

A. 让IT风险管理和企业风险管理(ERM)能够协调一致。

B. 能够确定风险应对措施的轻重缓急。

C. 满足遵守法律法规的要求。

D. 识别信息资产面临的已知威胁和漏洞。

今日三题(2022-1-15)正确答案是：

1. 答案：B

解析：

A. 按一致的时间间隔进行测量可能不是很重要，原因在于，可以确定实现目标的趋势和程度。

B. 最重要的尺度是在何种程度上实现关键目标指标(KGI)。

C. CSF是确定芷在实现某个目标的重要考虑因素，而不是•一个尺度。

D. 定量衡量指标通常是最好的，但并非总是有可能实现且并非必需的。

2. 答案：C

A. 不可接受的风险需要加以处理，但所有活动均需接受风险管理监督。评估风险并确定哪些风险可以 接受、哪些风险具有潜在影响是风险管理的职能。

B. 风险管理必须全面，不应当局限于超过可接受风险水平的领域。在可接受风险水平范围内的领域可 通过减少控制措施或承担更多风险来加以优化。

C. 尽管并非所有组织活动都将构成不可接受的风险，风险管押.的做法仍然适用于确定哪些风险需要加 以处理。

D. 评估风险时，确定哪些风险可以接受、哪些风险超过可接受的水平以及哪些风险具有潜在影响是风 险管理的职能。

3. 答案：B

A. IT风险管理与ERM协调一致对确保总体风险管理流程的成本琴益具有重要意义。然而，风险分析并 不能保证这种管理上的协调一致。

B. 风险分析是一个用来估计IT风险情景的可能性及影响程度的流程。进行风险分析的目的在于，确保 在解决具有较低可能性和影响的风险之前，管理具有最高风险可能性和影响的信息资产。确定IT风险 的优先级有助最大限度提高风险应对措施的投资回报。

C. 风险分析根据可能性和影响评估风险，并且包括财务、环境、监管及其他风险。它将监管风险视为 组织面临的一种风险，而不是专为满足遵守法律法规的要求而设计的。

D. 风险分析在风险识别和风险评估之后进行。风险识别确定己知的威胁和漏洞。风险评估对风险进行 评估，并创建有效的风险情景。风险分析沿可能性和影响向量对风险进行量化，以便确定风险应对措 施的优先级。