谁有权批准风险水平？

Question

从对风险管理的基本理解出发，风险登记册记录一个组织的风险、其缓解控制等。谁有权在实施控制之后批准剩余风险等级评级？

Answer 1

数据所有者负责保护他们的数据。他们通常在公司有管理职位，并拥有使业务运作的资源和权力。

大多数情况下，数据所有者将委托数据保管人保护数据(以及相关的信息系统)。然后，数据保管人将负责确保所有适当的安全控制得到执行和正确运作。

安全专业人员将负责监测、评估和报告这些控制措施。他们还可能(与其他利益相关者)负责评估风险，并帮助就如何管理每一个风险作出决定。

您可能会看到，低于某个阈值的风险可能由安全专业人员直接管理。但是，当风险很重要时，通常会向数据所有者提出风险。

这是大局，每个组织都必须就如何评估和管理风险决定自己的政策。