Řízení rizik v oblasti informační bezpečnosti zahrnuje posouzení možného rizika a přijetí opatření k jeho zmírnění a sledování výsledků. Každé hodnocení zahrnuje definování povahy rizika a určení, jakým způsobem ohrožuje bezpečnost informačních systémů. To vede přímo ke zmírnění rizika, jako jsou systémy modernizace, aby se minimalizovala pravděpodobnost posouzení rizika. Konečně, řízení rizik zahrnuje průběžný monitoring systému, aby zjistil, zda intervence ke zmírnění rizika vedly k dosažení požadovaných výsledků.
IT Základy sebeobrany
Organizace musí zajistit, aby měla schopnost plnit své poslání. Musí identifikovat rizika, která tyto schopnosti ohrožují, a vyhodnocovat ochranná opatření s ohledem na ekonomické a jiné náklady těchto opatření. Rizikem, kterým čelí většina moderních organizací, je narušení bezpečnosti informací. Organizace musí určit, kde by ohrožená bezpečnost informací ovlivnila její schopnosti při plnění jejího poslání a přijmout vhodná nápravná opatření v rámci svého stanoveného rozpočtového rámce.
Posouzení rizik
Pokud organizace zjistí, že nedostatky v zabezpečení informací představují riziko pro její schopnosti, musí důkladně prozkoumat své IT systémy, operace, postupy a vnější interakce, aby zjistili, kde leží rizika. To znamená identifikovat možné hrozby, zranitelnosti vůči těmto hrozbám, možné protiopatření, dopad a pravděpodobnost. Rizika mohou být klasifikována podle závažnosti v závislosti na dopadu a pravděpodobnosti. Význam posouzení spočívá v tom, že umožňuje identifikaci vysokých rizik, která musí být zmírněna.
Zmírnění rizika
Zmírnění znamená snížení nebo odstranění rizik zjištěných posouzením. Strategie pro řešení rizika zahrnují přijetí rizika, přijetí opatření, která snižují riziko, vyhýbá se riziku odstraněním příčiny, omezují riziko zavedením kontrol nebo převedou riziko na dodavatele, zákazníka nebo pojišťovnu. Která strategie je vhodná, závisí na tom, do jaké míry riziko narušuje schopnost organizace plnit své poslání a náklady na implementaci strategie. Strukturované zmírnění je důležité jako rámec pro řízení rizik.
Hodnocení a monitorování
Po dokončení hodnocení a zmírnění musí organizační jednotka vyhodnotit okamžitý výsledek a průběžně monitorovat systém. Tento proces začíná hodnocením dopadů hodnocení a zmírňování, včetně stanovení kritérií pro pokrok. Pokračuje hodnocením vlivu změn a doplnění informačních systémů. Nakonec provádí průběžné sledování výkonu informační bezpečnosti s cílem určit oblasti, které mohou být posouzeny pro další riziko. Hodnocení a monitorování jsou důležité pro určení toho, jak úspěšně organizační jednotka zvládla své riziko informační bezpečnosti.