发帖
雷达卡
在审计期间,审计师注意到一个中型组织的IT部门并没有独立的风险管理功能,该组织的业务风险文档只包含了一些大致IT风险描述。在这种情况下什么是最适当的建议?
A.创建IT风险管理部门,建立IT风险与外部风险管理专家的援助框架
B.使用通用的行业标准分为几个单独的风险,会更容易处理存在风险
C.没有建议的必要,因为目前的做法是一个中等规模的组织所适合的
D.建立经常性的IT风险管理会议,以确定和评估风险,并创建一个该组织的风险管理减轻计划
答案与解析:D
建立定期会议是最好的方法来识别和评估在一个中型组织的风险,解决各自的管理责任,并随时保持风险清单和减灾计划是最新的。一个中等大小的组织,一般不会有单独的IT风险管理部门。此外,风险管理通常足够,外部的帮助没有必要。虽然共同的风险可能被通用的行业标准所覆盖,但他们不能处理一个组织的具体情况。如果没有一个组织内部的详细评估,个别风险会不会被发现。分置成几个风险状况是不够的。
京公网安备 11010802022788号
