Riskhantering av informationssäkerhet innebär att man bedömer möjlig risk och vidtar åtgärder för att mildra det samt att övervaka resultatet. Varje bedömning innefattar att definiera riskens art och bestämma hur det hotar informationssystemets säkerhet. Detta leder direkt till riskreducering, såsom uppgraderingssystem för att minimera sannolikheten för den bedömda risken. Slutligen ingår riskhanteringen att kontinuerligt övervaka systemet för att se om riskreducerande interventioner gav de önskade resultaten.
IT Självförsvar Basics
En organisation måste se till att den har förmågan att uppnå sitt uppdrag. Det måste identifiera risker som hotar dessa möjligheter och utvärdera skyddsåtgärder, med tanke på de ekonomiska och andra kostnaderna för dessa åtgärder. En risk för att de flesta moderna organisationer står inför är äventyrad informationssäkerhet. En organisation måste identifiera var den kompromisserade informationssäkerheten skulle påverka dess förmåga att utföra sitt uppdrag och vidta lämpliga korrigerande åtgärder inom ramen för sin fastställda budgetram.
Riskbedömning
När en organisation avgör att svagheter i informationssäkerhet utgör en risk för sina möjligheter, måste den noggrant undersöka sina IT-system, operationer, procedurer och externa interaktioner för att ta reda på var riskerna ligger. Det innebär att identifiera möjliga hot, sårbarheter mot dessa hot, möjliga motåtgärder, påverkan och sannolikhet. Risker kan klassificeras som allvarlighetsgrad beroende på påverkan och sannolikheten. Betydelsen av bedömningen är att det möjliggör identifiering av höga risker som måste mildras.
Riskreducering
Mitigation innebär att minska eller eliminera de risker som identifierats genom bedömningen. Strategier för att hantera risken innefattar att acceptera risken, vidta åtgärder som minskar risken, undviker risken genom att eliminera orsaken, begränsa risken genom att införa kontroller eller överföra risken till en leverantör, kund eller försäkringsbolag. Vilken strategi som är lämplig bestäms av i vilken utsträckning risken påverkar organisationens förmåga att uppfylla sitt uppdrag och kostnaden för att genomföra strategin. Strukturerad begränsning är viktigt som ram för riskhantering.
Utvärdering och övervakning
När bedömning och begränsning har genomförts måste organisationsenheten utvärdera det omedelbara resultatet och kontinuerligt övervaka systemet. Denna process börjar med en utvärdering av effekterna av bedömningen och begränsningen, inklusive fastställandet av riktmärken för framsteg. Det fortsätter med utvärderingen av effekten av förändringar och tillägg till informationssystem. Slutligen utför den kontinuerlig övervakning av informationssäkerhetsprestanda, i syfte att identifiera områden som kan behöva bedömas för ytterligare risk. Utvärdering och övervakning är viktiga för att bestämma hur framgångsrikt organisationsenheten har lyckats med sin informationssäkerhetsrisk.
