知识分享：风险管理、分析和KPI

网络空间安全学习群-有奖竞答通过三道题的方式，由浅入深，逐步讲解，帮助大家了解一个知识点，最终掌握知识点。我们会在麟学堂公众号对知识点进行归纳整理。

今日三题：  

1.为确保关键缋效指标(KPI)成为有效和有用的尺度，最重要的是：

A. 要按一致的时间间隔对KPI进行测量。

B. 要定义具体的目标。

C. 要考虑关键成功因素(CSF)。

D. KPI纯属定量衡量指标。

2. 为确保有效，风险管理应当适用于：

A. 通过风险评估识别的要素。

B. 超过可接受风险氺平的任何领域。

C. 所有组织活动。

D. 仅限具有潜在影响的领域。

3. 风险分析的目标是：

A. 让IT风险管理和企业风险管理(ERM)能够协调一致。

B. 能够确定风险应对措施的轻重缓急。

C. 满足遵守法律法规的要求。

D. 识别信息资产面临的已知威胁和漏洞。

今日三题(2022-1-15)正确答案是： 

1. 答案：B

解析：

A. 按一致的时间间隔进行测量可能不是很重要，原因在于，可以确定实现目标的趋势和程度。

B. 最重要的尺度是在何种程度上实现关键目标指标(KGI)。

C. CSF是确定芷在实现某个目标的重要考虑因素，而不是•一个尺度。

D. 定量衡量指标通常是最好的，但并非总是有可能实现且并非必需的。

2. 答案：C

A. 不可接受的风险需要加以处理，但所有活动均需接受风险管理监督。评估风险并确定哪些风险可以 接受、哪些风险具有潜在影响是风险管理的职能。

B. 风险管理必须全面，不应当局限于超过可接受风险水平的领域。在可接受风险水平范围内的领域可 通过减少控制措施或承担更多风险来加以优化。

C. 尽管并非所有组织活动都将构成不可接受的风险，风险管押.的做法仍然适用于确定哪些风险需要加 以处理。

D. 评估风险时，确定哪些风险可以接受、哪些风险超过可接受的水平以及哪些风险具有潜在影响是风 险管理的职能。

3. 答案：B

A. IT风险管理与ERM协调一致对确保总体风险管理流程的成本琴益具有重要意义。然而，风险分析并 不能保证这种管理上的协调一致。 '

B. 风险分析是一个用来估计IT风险情景的可能性及影响程度的流程。进行风险分析的目的在于，确保 在解决具有较低可能性和影响的风险之前，管理具有最高风险可能性和影响的信息资产。确定IT风险 的优先级有助最大限度提高风险应对措施的投资回报。

C. 风险分析根据可能性和影响评估风险，并且包括财务、环境、监管及其他风险。它将监管风险视为 组织面临的一种风险，而不是专为满足遵守法律法规的要求而设计的。

D. 风险分析在风险识别和风险评估之后进行。风险识别确定己知的威胁和漏洞。风险评估对风险进行 评估，并创建有效的风险情景。风险分析沿可能性和影响向量对风险进行量化，以便确定风险应对措 施的优先级。