分類
CISSP

風險成熟度模型 (RMM)

RMM 解釋

風險管理基準和進展

風險成熟度模型 (RMM) 概述了構成可持續、可重複和成熟的企業風險管理 (ERM) 計劃的關鍵指標和活動。通過風險成熟度自我評估,組織可以衡量其當前風險管理實踐與 RMM 指標的一致性。完成後,每個組織都會獲得其計劃的成熟度評分,從最早階段和最低風險成熟度級別 Ad-Hoc(1 級)開始,並進展到最高級的風險成熟度級別領導(5 級) . 下面將概述 RMM 風險成熟度評估的每個組成部分、每個組成部分的評分方式以及評估的結果。

七大屬性

風險成熟度模型 (RMM) 確定了有效企業風險管理的七個關鍵屬性。這些屬性涵蓋 ERM 計劃的規劃和治理,以及評估的執行以及風險信息的匯總和分析。

最佳實踐 ERM 計劃的七個屬性或組成部分如下:

  • 採用基於 ERM 的流程該屬性衡量組織的風險文化,並考慮執行或董事會級別對企業風險管理的支持程度。
  • ERM 流程管理該屬性衡量組織在其文化和業務決策中採用 ERM 方法的程度,以及風險管理計劃遵循最佳實踐步驟以識別、評估、評估、減輕和監控風險的程度。
  • 風險偏好管理此屬性評估圍繞風險回報權衡、風險問責制、定義風險容忍度以及組織是否有效縮小潛在風險與實際風險之間的差距的意識水平。
  • 根本原因紀律此屬性評估組織根據來源或根本原因識別風險的程度,以及它們產生的症狀和結果。關注風險的根本原因並相應地對其進行分類將加強響應和緩解工作。
  • 發現風險此屬性衡量風險評估的質量和覆蓋範圍。它檢查收集風險信息的方法、風險評估過程,以及是否可以從風險信息中發現企業範圍的趨勢和相關性。
  • 績效管理該屬性決定了組織執行其願景和戰略的程度。它通過基於風險的流程評估規劃、溝通和衡量核心企業目標的強度,以及進展偏離預期的程度。
  • 業務彈性和可持續性該屬性評估業務連續性、運營規劃和其他可持續性活動採用基於風險的方法的程度。

能力驅動因素和指標

每個屬性都包括一組能力驅動因素,其中概述了實現每個驅動因素所涉及的關鍵準備指標(或活動)。這些驅動因素/指標對涵蓋整個風險管理流程,包括管理、外展、數據收集和匯總以及風險信息分析。以下是構成 RMM 風險成熟度評估的 25 個能力驅動因素和指標配對的樣本:

執行 ERM 支持

  • 風險優先級和進展是否向董事會或高級領導層報告?
  • 新計劃(即項目、運營變更、供應商入職等)是否需要進行風險評估?
  • 在員工績效評估中是否考慮了風險管理教育和理解?

信息分類

  • 是否有用於識別風險的標準化流程或分類模型?
  • 業務領域是否確定組織目標並跟踪實現進度?
  • 風險是通過根本原因還是源頭來識別的?

業務流程定義和風險所有權

  • 業務領域是否識別與流程相關的風險?
  • 流程所有者是否在定期規劃和戰略制定中管理他們的風險、威脅和機會?
  • 所有的風險、威脅和機遇是否都及時傳達並採取了行動?

評分方法

對於以下三個評估維度中的每一個,所有能力驅動因素都按照 1-10 的等級進行評分:

  • 效力衡量關鍵風險管理活動的頻率和有效性。(即評估是臨時的還是每年完成?是否至少每季度審查一次高風險?)
  • 主動性衡量風險管理的性質,無論是主動還是被動。(即組織是否等到不利事件發生以降低風險或是否計劃了未來的情景?)
  • 覆蓋範圍衡量組織內風險管理的廣度和深度。(即職責是否跨越組織的所有部門和所有垂直級別?)

完成後,將為每個驅動程序提供成熟度評分以及整個風險管理計劃的整體成熟度評分。評分基於 5 級量表,1 級表示最低風險成熟度,5 級表示最高成熟度。通過每個因素的成熟度評分,組織可以優先考慮時間和資源來改進其風險管理流程中最薄弱的領域,同時保留最強大的實踐。

基於經過驗證的最佳實踐活動,實施 RMM 指標的組織能夠創造並體驗有效風險管理的好處。LogicManager 幫助組織彌合差距並完善其風險管理計劃,提供了許多資源和幫助方法。

如何進行 RMM 風險成熟度評估

通常,組織在完成 RMM 的風險管理成熟度評估時會採取兩條路線:一個人代表 ERM 計劃(風險管理計劃和實踐的核心人員)完成評估,或者由幾個人進行評估並彙總分數來自參與 ERM 計劃不同領域的多個評估員。

RMM 有兩個版本:標準版本旨在供組織中希望全面了解其 ERM 成熟度的領導者採用。第二個版本,即前線的 RMM,旨在供員工直接執行為組織提供動力的日常運營和流程。標準 RMM 和前線 RMM 之間的區別在於能力驅動因素(前者將被問及關於更高級別企業關注的問題,而後者將檢查與它們更密切相關的領域)。雖然根據每個 ERM 計劃的結構,一種方法可能比另一種更適合,但兩者都會產生有意義的成熟度分數和報告,以便在改進 ERM 計劃時加以利用。

要進行免費的在線 RMM 評估,請訪問此鏈接完成後,評估會提供一份個性化的分數報告,包括您的報告與成功因素指南之間的比較。這有助於您識別差距並確定其優先級,並製定行動計劃以推進您的風險管理計劃。評估不需要任何經驗,大約需要 30 分鐘才能完成,並通過易於使用的在線評估嚮導完成。單擊此處進行 RMM 評估

如果您對 RMM 評估有任何疑問或想召開會議討論您的結果,請發送電子郵件至communications@logicmanager.com。

資料來源:https://www.riskmaturitymodel.org/risk-maturity-model-rmm-for-erm/

作者: stevencho

從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品的專業證照。