Upravljanje rizikom informacijske sigurnosti uključuje procjenu mogućeg rizika i poduzimanje koraka za njegovo ublažavanje, kao i praćenje rezultata. Svaka procjena uključuje definiranje prirode rizika i određivanje kako ugrožava sigurnost informacijskog sustava. To izravno dovodi do smanjenja rizika, kao što su sustavi za nadogradnju kako bi se smanjila vjerojatnost procijenjenog rizika. Naposljetku, upravljanje rizicima uključuje kontinuirano praćenje sustava kako bi se vidjelo jesu li intervencije za smanjenje rizika proizvele željene rezultate.
Osnove samoobrane IT-a
Organizacija mora osigurati da ima sposobnosti da ostvari svoju misiju. Mora identificirati rizike koji ugrožavaju te sposobnosti i procijeniti zaštitne mjere, imajući na umu ekonomske i druge troškove tih mjera. Jedan rizik koji suočava većina modernih organizacija je ugrožena informacijska sigurnost. Organizacija mora utvrditi gdje bi kompromitirana informacijska sigurnost utjecala na njezine sposobnosti da ostvari svoju misiju i poduzme odgovarajuće korektivne mjere u okviru utvrđenog proračunskog okvira.
Procjena rizika
Kada organizacija utvrdi da slabosti u informacijskoj sigurnosti predstavljaju rizik za njezine sposobnosti, ona mora temeljito ispitati svoje IT sustave, operacije, procedure i vanjske interakcije kako bi saznala gdje su rizici. To znači identificiranje mogućih prijetnji, ranjivosti na te prijetnje, mogućih protumjera, utjecaja i vjerojatnosti. Rizici se mogu klasificirati kao ozbiljnost ovisno o utjecaju i vjerojatnosti. Važnost procjene je da omogućuje identifikaciju visokih rizika koje treba ublažiti.
Ublažavanje rizika
Ublažavanje znači smanjenje ili uklanjanje rizika identificiranih procjenom. Strategije za rješavanje rizika uključuju prihvaćanje rizika, usvajanje mjera koje će smanjiti rizik, izbjegavanje rizika uklanjanjem uzroka, ograničavanje rizika postavljanjem kontrola ili prenošenje rizika na dobavljača, kupca ili osiguravajuće društvo. Koja je strategija prikladna određena je u kojoj mjeri rizik ugrožava sposobnost organizacije da ispuni svoju misiju i troškove provedbe strategije. Strukturirano ublažavanje važno je kao okvir za upravljanje rizikom.
Evaluacija i praćenje
Nakon završetka procjene i ublažavanja, organizacijska jedinica mora ocijeniti trenutačne rezultate i kontinuirano pratiti sustav. Ovaj proces započinje procjenom učinaka procjene i ublažavanja, uključujući postavljanje mjerila za napredak. Nastavlja se s procjenom učinka promjena i dopuna informacijskih sustava. Naposljetku, provodi kontinuirano praćenje performansi informacijske sigurnosti s ciljem identificiranja područja koja se mogu procijeniti za dodatni rizik. Evaluacija i praćenje su važni za određivanje uspješnosti organizacijske jedinice kojom je upravljao svojim informacijskim sigurnosnim rizikom.