COSO企业风险管理综合框架主要关注8大层面的企业风险

COSO企业风险管理综合框架主要关注8大层面的企业风险。

内部环境：治理结构、组织结构、授权与责任、风险偏好、人力资源政策、风险管理文化等。
目标设定：战略目标、经营目标、报告目标、合规目标。事项识别：事件识别方法、事件分类、风险与机会。风险评估（与信息安全高度相关）：固有风险与剩余风险评估。现在，COSO里面的风险评估方法为“风险=发生可能性*影响”。ISO27005也采用了相同的风险评估方法。这进一步体现了标准与标准之间的映射和借鉴关系。风险应对：风险回避、风险降低、风险分担、风险承担。控制活动（与信息安全高度相关）：企业层面控制、业务流程层面控制、IT一般控制与应用控制。其中，IT一般控制与应用控制具体实现在COBIT里面进行了详尽描述。这也体现了标准之间的映射和借鉴关系。信息与沟通：收集与传递内部信息、外部信息。监控：独立监控、持续监控、自我评价、缺陷改进。