Az információbiztonsági kockázatkezelés magában foglalja a lehetséges kockázat felmérését és az annak enyhítésére irányuló lépéseket, valamint az eredmény nyomon követését. Minden értékelés magában foglalja a kockázat jellegének meghatározását és annak meghatározását, hogyan fenyegeti az információs rendszer biztonságát. Ez közvetlenül a kockázatcsökkentéshez vezet, mint például a korszerűsítő rendszerek, hogy minimálisra csökkentsék az értékelt kockázat valószínűségét. Végül, a kockázatkezelés magában foglalja a rendszer folyamatos nyomon követését annak ellenőrzésére, hogy a kockázatcsökkentő beavatkozások a kívánt eredményeket eredményezték.
IT önvédelmi alapok
A szervezetnek gondoskodnia kell arról, hogy képes legyen küldetésének teljesítésére. Meg kell határoznia az e képességeket fenyegető kockázatokat, és értékelnie kell a védelmi intézkedéseket, figyelembe véve az említett intézkedések gazdasági és egyéb költségeit. Az egyik kockázat, hogy a legtöbb modern szervezet szembesül, veszélyezteti az információbiztonságot. A szervezetnek meg kell határoznia, hogy a veszélyeztetett információbiztonság milyen hatással van a képességére, hogy teljesítse feladatát, és a megalapozott költségvetési keretén belül megfelelő korrekciós intézkedéseket tegyen.
Kockázatértékelés
Amikor egy szervezet megállapítja, hogy az információbiztonság gyengeségei veszélyeztetik képességeit, alaposan meg kell vizsgálnia informatikai rendszereit, működését, eljárásait és külső kölcsönhatásait, hogy megtudja, hol vannak a kockázatok. Ez azt jelenti, hogy azonosítani kell az esetleges fenyegetéseket, a fenyegetések sebezhetőségét, az esetleges ellenintézkedéseket, a hatásokat és a valószínűséget. A kockázatok súlyossága a hatás és a valószínűség függvényében osztályozható. Az értékelés fontossága az, hogy lehetővé teszi a nagy kockázatok azonosítását, amelyeket enyhíteni kell.
Kockázatcsökkentő
A mérséklés azt jelenti, hogy csökkenti vagy megszünteti az értékelés által azonosított kockázatokat. A kockázat kezelésére vonatkozó stratégiák magukban foglalják a kockázat elfogadását, a kockázatot csökkentő intézkedések elfogadását, a kockázat kiküszöbölését az ok kiküszöbölésével, a kockázat korlátozásával az ellenőrzések bevezetésével, vagy a kockázat szállítását a szállító, a vevő vagy a biztosító társaság felé. Milyen stratégiát határoz meg, hogy milyen mértékben veszélyezteti a kockázat a szervezet azon képességét, hogy teljesítse küldetését, valamint a stratégia végrehajtásának költségeit. A strukturált enyhítés fontos a kockázatkezelés keretei között.
Értékelés és ellenőrzés
Az értékelés és az enyhítés befejezése után a szervezeti egységnek ki kell értékelnie azonnali eredményt és folyamatosan figyelemmel kell kísérnie a rendszert. Ez a folyamat az értékelés és az enyhítés hatásainak értékelésével kezdődik, beleértve az előrehaladásra vonatkozó referenciaértékek meghatározását. Folytatódik a változások és a kiegészítések információs rendszerekre gyakorolt hatásának értékelésével. Végül folyamatosan ellenőrzi az információbiztonsági teljesítményt, azzal a céllal, hogy azonosítsa azokat a területeket, amelyekre esetleg szükség van további kockázat felmérésére. Az értékelés és az ellenőrzés fontos annak meghatározásához, hogy a szervezeti egység mennyire sikerült kezelnie az információbiztonsági kockázatot.