위험 평가는 기능 관리자와 정보 기술 관리자를 모두 포함하는 팀에서 수행해야 합니다. 비즈니스 운영, 워크플로 또는 기술이 변경되면 이러한 변경 사항을 분석하기 위해 정기적인 검토를 수행해야 합니다. 이러한 변경으로 인해 생성된 새로운 위협 및 취약성의 결과가 결정되어야 합니다. 기존 통제의 효과에 대한 포괄적인 테스트도 필요합니다.
위험 평가의 목적은 경영진이 정보 자산 관리를 위한 적절한 전략과 통제를 생성하도록 하는 것입니다. 위험 평가의 기본 목표는 항상 불확실한 의사 결정 요소를 처리하는 것이어야 합니다.
행동이나 결정의 결과가 나타날 내용, 시기, 범위 및 성격과 관련하여 완전히 확실하다면 위험을 평가할 필요가 없고 위험을 처리하고 결과를 모니터링하면 됩니다. 의사 결정자는 불확실성이 어디에 있고 어떻게 가장 잘 처리되고 처리되는지 이해해야 합니다.
위험 평가는 다학문적이어야 하므로 모든 관련 당사자와 이해 당사자가 프로세스에 포함 및 어려움을 통해 투명하고 이해해야 합니다. 이는 위해성 평가 과정에 누가 포함되어야 하는지에 대해 위해성 평가를 시작할 때 반영할 필요가 있음을 나타냅니다. 위험 평가는 일반적으로 원맨쇼가 아닙니다. 여러 당사자가 관련되어 있습니다.
예를 들어, 경영진(일반적으로 위험 평가를 수행하는 팀), 결정을 내리는 관리자 또는 조직은 위험 평가 및 이러한 결정의 영향을 받는 당사자에 따라 다릅니다. 이러한 당사자 간의 원활한 의사 소통은 위험 평가 프로세스에 필수적입니다.
더욱이, 위험 평가는 여러 유형의 전문 지식이 필수적인 여러 과제에 존재합니다. 따라서 위험 평가에는 다학제간 참여가 필요하고 프로세스를 고려해야 합니다.
동료 검토 및 대중 참여를 위한 적절한 프로세스를 위험 평가 준비 절차에 사용해야 합니다. 이러한 프로세스는 과학적 객관성, 투명성 및 결론의 승인에 기여할 것입니다.
동료 검토에는 위험 평가 문서 초안을 발행하고, 접수된 필수 의견과 해당 의견에 대한 위험 평가자의 응답을 요약한 "응답에 대한 의견" 파일을 발행하는 것과 같이 이 초안에 대해 받은 의견을 고려하는 것이 포함될 수 있습니다. 위험 평가자가 논평자가 권장하는 입장을 벗어나지 않은 이유에 대한 근거를 뒷받침합니다.
참여는 또한 그들의 견해가 적절하게 정의되고 고려된다는 것을 제공합니다. 사용된 일부 위험 요소는 관련 이해 관계자의 인식과 견해를 적절히 반영하는 것이 특히 중요합니다. 위험 평가는 위험 수준이 그들에게 적절하고 추가 치료가 필요한 곳과 시기를 결정해야 하기 때문입니다.
위험 식별 중에 예상대로 높고 다양한 경험 기반을 가진 대표 그룹의 참여는 항상 가장 포괄적인 분석을 제공합니다. 마지막으로, 통제 조치의 모니터링에 대한 책임이 있는 사람들은 이러한 통제로 이어지는 위험 평가에 참여함으로써 큰 이익을 얻습니다.