Zarządzanie ryzykiem w zakresie bezpieczeństwa informacji obejmuje ocenę ewentualnego ryzyka i podejmowanie kroków w celu jego ograniczenia, a także monitorowanie wyniku. Każda ocena obejmuje określenie charakteru ryzyka i określenie, w jaki sposób zagraża bezpieczeństwu systemu informatycznego. Prowadzi to bezpośrednio do ograniczenia ryzyka, takiego jak modernizacja systemów w celu zminimalizowania prawdopodobieństwa oszacowanego ryzyka. Wreszcie, zarządzanie ryzykiem obejmuje monitorowanie systemu na bieżąco, aby sprawdzić, czy interwencje ograniczające ryzyko przyniosły pożądane rezultaty.
Podstawy samoobrony IT
Organizacja musi zapewnić, że ma możliwości realizacji swojej misji. Musi identyfikować zagrożenia, które zagrażają tym zdolnościom, i oceniać środki ochronne, mając na uwadze ekonomiczne i inne koszty tych środków. Jednym z zagrożeń, na jakie napotykają większość nowoczesnych organizacji, jest ograniczone bezpieczeństwo informacji. Organizacja musi określić, gdzie zagrożone bezpieczeństwo informacji wpłynęłoby na jej możliwości realizacji misji i podjąć odpowiednie działania naprawcze w ramach ustanowionych ram budżetowych.
Ocena ryzyka
Kiedy organizacja ustali, że słabości w bezpieczeństwie informacji stanowią zagrożenie dla jej możliwości, musi dokładnie przeanalizować swoje systemy informatyczne, operacje, procedury i zewnętrzne interakcje, aby dowiedzieć się, gdzie leżą zagrożenia. Oznacza to identyfikację potencjalnych zagrożeń, podatności na te zagrożenia, możliwych środków zaradczych, wpływu i prawdopodobieństwa. Ryzyko można sklasyfikować jako dotkliwe w zależności od wpływu i prawdopodobieństwa. Znaczenie oceny jest takie, że pozwala ona na identyfikację wysokiego ryzyka, które należy łagodzić.
Ograniczenie ryzyka
Łagodzenie oznacza zmniejszenie lub wyeliminowanie ryzyka zidentyfikowanego w wyniku oceny. Strategie postępowania z tym ryzykiem obejmują akceptację ryzyka, podejmowanie działań, które obniżą ryzyko, unikną ryzyka poprzez wyeliminowanie przyczyny, ograniczenie ryzyka poprzez wprowadzenie kontroli lub przeniesienie ryzyka na dostawcę, klienta lub firmę ubezpieczeniową. O tym, która strategia jest właściwa, decyduje stopień, w jakim ryzyko to utrudnia zdolność organizacji do wypełniania jej misji oraz koszt wdrożenia strategii. Strukturalne łagodzenie jest ważne jako ramy zarządzania ryzykiem.
Ewaluacja i monitorowanie
Po zakończeniu oceny i łagodzenia jednostka organizacyjna musi ocenić natychmiastowy wynik i monitorować system na bieżąco. Proces ten rozpoczyna się od oceny skutków oceny i łagodzenia jej skutków, w tym ustalenia punktów odniesienia dla postępu. Kontynuuje ocenę wpływu zmian i dodatków do systemów informatycznych. Wreszcie, stale monitoruje wyniki bezpieczeństwa informacji, w celu zidentyfikowania obszarów, które mogą wymagać oceny pod kątem dodatkowego ryzyka. Ocena i monitorowanie są ważne dla określenia, jak skutecznie jednostka organizacyjna zarządzała swoim ryzykiem bezpieczeństwa informacji.