Управлението на риска от информационна сигурност включва оценка на възможния риск и предприемане на мерки за неговото смекчаване, както и мониторинг на резултата. Всяка оценка включва определяне на естеството на риска и определяне на това как тя застрашава сигурността на информационната система. Това води директно до смекчаване на риска, като например модернизиране на системите, за да се сведе до минимум вероятността за оценения риск. И накрая, управлението на риска включва непрекъснато наблюдение на системата, за да се види дали интервенциите за намаляване на риска са дали желаните резултати.
Основи на самоотбраната на ИТ
Една организация трябва да гарантира, че разполага с възможности да изпълни своята мисия. Тя трябва да идентифицира рисковете, които застрашават тези способности, и да оценява защитните мерки, като има предвид икономическите и други разходи за тези мерки. Един риск, с който се сблъскват повечето съвременни организации, е компрометираната информационна сигурност. Една организация трябва да определи къде компрометираната информационна сигурност би засегнала нейните способности да изпълни мисията си и да предприеме подходящи коригиращи мерки в рамките на установената бюджетна рамка.
Оценка на риска
Когато една организация установи, че слабостите в информационната сигурност представляват риск за нейните възможности, тя трябва задълбочено да проучи своите ИТ системи, операции, процедури и външни взаимодействия, за да разбере къде са рисковете. Това означава идентифициране на възможни заплахи, уязвимости към тези заплахи, възможни мерки за противодействие, въздействие и вероятност. Рисковете могат да бъдат класифицирани като тежест в зависимост от въздействието и вероятността. Важността на оценката е, че позволява идентифицирането на високи рискове, които трябва да бъдат смекчени.
Смекчаване на риска
Смекчаването означава намаляване или премахване на рисковете, идентифицирани от оценката. Стратегиите за справяне с риска включват приемане на риска, приемане на мерки, които ще намалят риска, избягване на риска чрез премахване на причината, ограничаване на риска чрез въвеждане на контрол или прехвърляне на риска към доставчик, клиент или застрахователно дружество. Коя стратегия е подходяща, се определя от степента, до която рискът нарушава способността на организацията да изпълни мисията си, както и разходите за изпълнение на стратегията. Структурираното смекчаване е важно като рамка за управление на риска.
Оценка и мониторинг
След приключване на оценката и смекчаването на мерките организационната единица трябва да оцени непосредствените резултати и да наблюдава системата постоянно. Този процес започва с оценка на ефектите от оценката и смекчаването, включително определянето на критерии за напредък. Продължава оценката на ефекта от промените и допълненията към информационните системи. И накрая, той извършва непрекъснат мониторинг на ефективността на информационната сигурност с цел идентифициране на области, които може да се наложи да бъдат оценени за допълнителен риск. Оценката и мониторинга са важни за определяне на това колко успешно организационната единица е успяла да управлява риска за информационната сигурност.