Управління ризиком інформаційної безпеки передбачає оцінку можливого ризику та вжиття заходів для його пом'якшення, а також моніторинг результату. Кожна оцінка включає визначення характеру ризику та визначення того, як він загрожує безпеці інформаційної системи. Це призводить безпосередньо до зменшення ризиків, таких як системи модернізації, щоб мінімізувати ймовірність оцінки ризику. Нарешті, управління ризиками включає постійний моніторинг системи, щоб побачити, чи втручання з зниження ризику дало бажані результати.
Основи самозахисту ІТ
Організація повинна гарантувати, що вона має можливості для виконання своєї місії. Вона повинна виявляти ризики, які загрожують цим можливостям, і оцінювати заходи захисту, маючи на увазі економічні та інші витрати цих заходів. Один ризик, з яким стикаються більшість сучасних організацій, - це порушення інформаційної безпеки. Організація повинна визначити, де компрометація інформаційної безпеки вплине на її здатність виконати свою місію та вжити відповідних коригувальних заходів у межах встановлених бюджетних рамок.
Оцінка ризику
Коли організація визначає, що слабкі місця в інформаційній безпеці становлять ризик для її можливостей, вона повинна ретельно вивчити свої ІТ-системи, операції, процедури та зовнішні взаємодії, щоб з'ясувати, де лежать ризики. Це означає виявлення можливих загроз, уразливості цих загроз, можливі контрзаходи, вплив і ймовірність. Ризики можуть бути класифіковані за ступенем тяжкості залежно від впливу і ймовірності. Важливість оцінки полягає в тому, що вона дозволяє визначити високі ризики, які необхідно пом'якшити.
Зменшення ризиків
Пом'якшення означає зменшення або усунення ризиків, визначених оцінкою. Стратегії боротьби з ризиком включають прийняття ризику, прийняття заходів, які знизять ризик, уникнення ризику шляхом усунення причини, обмеження ризику шляхом встановлення контролю або переведення ризику на постачальника, клієнта або страхову компанію. Яка стратегія є доцільною, визначається ступенем, до якої ризик погіршує здатність організації виконувати свою місію, а також вартість реалізації стратегії. Структуроване пом'якшення є важливим як основа для управління ризиками.
Оцінка та моніторинг
Після завершення оцінки та пом'якшення, організаційна одиниця повинна оцінювати негайний результат і постійно контролювати систему. Цей процес починається з оцінки наслідків оцінки та пом'якшення, включаючи визначення показників прогресу. Вона продовжує оцінювати вплив змін та доповнень на інформаційні системи. Нарешті, він здійснює безперервний моніторинг ефективності інформаційної безпеки з метою визначення сфер, які можуть бути оцінені для додаткового ризику. Оцінка та моніторинг є важливими для визначення того, наскільки успішно організаційна одиниця управляла своїм ризиком інформаційної безпеки.
