Riadenie rizika v oblasti bezpečnosti informácií zahŕňa posúdenie možného rizika a prijatie opatrení na jeho zmiernenie, ako aj sledovanie výsledku. Každé hodnotenie zahŕňa definovanie povahy rizika a určenie, ako ohrozuje bezpečnosť informačného systému. To vedie priamo k zmierňovaniu rizika, ako sú systémy modernizácie, aby sa minimalizovala pravdepodobnosť posúdenia rizika. Riadenie rizík zahŕňa priebežné monitorovanie systému, aby sa zistilo, či intervencie na zmiernenie rizika priniesli požadované výsledky.
IT Základy sebaobrany
Organizácia musí zabezpečiť, aby mala schopnosť plniť svoje poslanie. Musí identifikovať riziká, ktoré ohrozujú tieto schopnosti, a hodnotiť ochranné opatrenia, pričom treba mať na pamäti ekonomické a iné náklady týchto opatrení. Rizikom, ktorým čelí väčšina moderných organizácií, je ohrozená bezpečnosť informácií. Organizácia musí určiť, kde by ohrozená informačná bezpečnosť ovplyvnila jej schopnosť plniť svoje poslanie a prijať vhodné nápravné opatrenia v rámci svojho vytvoreného rozpočtového rámca.
Posúdenie rizík
Keď organizácia zistí, že nedostatky v oblasti informačnej bezpečnosti predstavujú riziko pre jej schopnosti, musí dôkladne preskúmať svoje IT systémy, operácie, postupy a vonkajšie interakcie, aby zistila, kde sú riziká. To znamená identifikovanie možných hrozieb, zraniteľnosti voči týmto hrozbám, možných protiopatrení, dosahu a pravdepodobnosti. Riziká možno klasifikovať podľa závažnosti v závislosti od dopadu a pravdepodobnosti. Význam hodnotenia spočíva v tom, že umožňuje identifikáciu vysokých rizík, ktoré je potrebné zmierniť.
Zmierňovanie rizík
Zmierňovanie znamená zníženie alebo odstránenie rizík zistených pri hodnotení. Stratégie riešenia rizika zahŕňajú prijatie rizika, prijatie opatrení, ktoré znižujú riziko, vyhýbajú sa riziku odstránením príčin, obmedzujú riziko zavedením kontrol alebo prenesením rizika na dodávateľa, zákazníka alebo poisťovňu. Ktorá vhodná stratégia závisí od toho, do akej miery riziko ovplyvňuje schopnosť organizácie plniť svoje poslanie a náklady na implementáciu stratégie. Štruktúrované zmierňovanie je dôležité ako rámec pre riadenie rizík.
Hodnotenie a monitorovanie
Po ukončení hodnotenia a zmierňovania musí organizačná jednotka vyhodnotiť okamžitý výsledok a priebežne monitorovať systém. Tento proces sa začína hodnotením účinkov hodnotenia a zmierňovania, vrátane stanovenia referenčných hodnôt pre pokrok. Pokračuje v hodnotení vplyvu zmien a doplnení informačných systémov. Nakoniec vykonáva nepretržité monitorovanie výkonu informačnej bezpečnosti s cieľom identifikovať oblasti, ktoré sa môžu posudzovať z hľadiska ďalšieho rizika. Hodnotenie a monitorovanie sú dôležité pre určenie toho, ako úspešne organizačná jednotka zvládla svoje riziko informačnej bezpečnosti.
