Informacijos saugumo rizikos valdymas apima galimo pavojaus vertinimą ir veiksmus, kurių reikia imtis, siekiant sušvelninti, taip pat stebėti rezultatą. Kiekvienas vertinimas apima rizikos pobūdžio nustatymą ir nustatymą, kaip jis kelia grėsmę informacinės sistemos saugumui. Tai tiesiogiai lemia rizikos mažinimą, pvz., Modernizavimo sistemas, kad būtų sumažinta įvertintos rizikos tikimybė. Galiausiai, rizikos valdymas apima sistemos nuolatinę stebėseną, siekiant nustatyti, ar rizikos mažinimo intervencijos davė norimų rezultatų.
IT savigynos pagrindai
Organizacija turi užtikrinti, kad ji galėtų atlikti savo misiją. Ji turi nustatyti riziką, keliančią grėsmę šiems pajėgumams, ir įvertinti apsaugos priemones, atsižvelgiant į šių priemonių ekonomines ir kitas išlaidas. Viena rizika, kad daugelis šiuolaikinių organizacijų susiduria su grėsme informacijos saugumui. Organizacija turi nustatyti, kur pažeistas informacijos saugumas turėtų įtakos jos galimybėms atlikti savo misiją ir imtis atitinkamų taisomųjų priemonių pagal nustatytą biudžeto sistemą.
Rizikos vertinimas
Kai organizacija nustato, kad informacijos saugumo trūkumai kelia pavojų jos galimybėms, ji turi kruopščiai išnagrinėti savo IT sistemas, operacijas, procedūras ir išorinę sąveiką, kad sužinotų, kur yra rizika. Tai reiškia, kad reikia nustatyti galimas grėsmes, šių grėsmių pažeidžiamumą, galimas atsakomąsias priemones, poveikį ir tikimybę. Rizika gali būti klasifikuojama kaip sunki priklausomai nuo poveikio ir tikimybės. Vertinimo svarba yra ta, kad ji leidžia nustatyti didelę riziką, kurią reikia sumažinti.
Rizikos mažinimas
Sumažinimas reiškia, kad sumažinama arba pašalinama atliekant vertinimą nustatyta rizika. Rizikos valdymo strategijos apima rizikos priėmimą, rizikos mažinimo priemonių priėmimą, rizikos išvengimą pašalinant priežastį, riziką ribojant kontrolę įdiegiant arba perduodant riziką tiekėjui, klientui ar draudimo bendrovei. Kokia strategija yra tinkama, priklauso nuo to, kokiu mastu rizika sumažina organizacijos gebėjimą vykdyti savo misiją, ir strategijos įgyvendinimo išlaidas. Struktūrinis švelninimas yra svarbus rizikos valdymo pagrindas.
Vertinimas ir stebėsena
Baigus vertinimą ir sumažinimą, organizacinis padalinys turi įvertinti tiesioginį rezultatą ir nuolat stebėti sistemą. Šis procesas prasideda įvertinimo ir švelninimo poveikio vertinimu, įskaitant pažangos nustatymą. Ji tęsia pokyčių ir papildymų poveikio informacinėms sistemoms vertinimą. Galiausiai, ji atlieka nuolatinę informacijos saugumo užtikrinimo stebėseną, siekdama nustatyti sritis, kurioms gali tekti įvertinti papildomą riziką. Vertinimas ir stebėsena yra svarbūs nustatant, kaip sėkmingai organizacinis vienetas valdė savo informacijos saugumo riziką.
