Informācijas drošības riska pārvaldība ietver iespējamā riska novērtēšanu un pasākumus, lai to mazinātu, kā arī uzraudzītu rezultātu. Katrs novērtējums ietver riska rakstura noteikšanu un to, kā tas apdraud informācijas sistēmu drošību. Tas tieši noved pie riska mazināšanas, piemēram, modernizācijas sistēmas, lai samazinātu novērtētā riska iespējamību. Visbeidzot, riska pārvaldība ietver sistēmas pastāvīgu uzraudzību, lai noskaidrotu, vai riska mazināšanas iejaukšanās radīja vēlamos rezultātus.
IT pašaizsardzības pamati
Organizācijai ir jānodrošina, lai tai būtu iespējas izpildīt savu uzdevumu. Tajā jānorāda riski, kas apdraud šīs spējas, un jānovērtē aizsardzības pasākumi, paturot prātā šo pasākumu ekonomiskās un citas izmaksas. Viens no riskiem, ka lielākā daļa mūsdienu organizāciju saskaras, ir apdraudēta informācijas drošība. Organizācijai ir jāidentificē, kur apdraudēta informācijas drošība ietekmētu tās spējas izpildīt savu uzdevumu un veikt atbilstošus koriģējošus pasākumus tās noteiktajā budžeta sistēmā.
Riska novērtēšana
Ja organizācija konstatē, ka informācijas drošības trūkumi apdraud tās spējas, tai ir rūpīgi jāizpēta tās IT sistēmas, darbības, procedūras un ārējā mijiedarbība, lai noskaidrotu, kur pastāv risks. Tas nozīmē iespējamo draudu identificēšanu, šo apdraudējumu neaizsargātību, iespējamos pretpasākumus, ietekmi un iespējamību. Risku var klasificēt kā smagumu atkarībā no ietekmes un iespējamības. Novērtējuma nozīme ir tāda, ka tā ļauj identificēt lielus riskus, kas ir jāmazina.
Riska mazināšana
Samazināšana nozīmē novērtējumā identificēto risku samazināšanu vai novēršanu. Stratēģijas riska novēršanai ietver riska uzņemšanos, pasākumu pieņemšanu, kas samazinās risku, izvairoties no riska, novēršot cēloņus, ierobežojot risku, ieviešot kontroli, vai nododot risku piegādātājam, klientam vai apdrošināšanas sabiedrībai. Kāda stratēģija ir piemērota, ir atkarīga no tā, cik lielā mērā risks apdraud organizācijas spēju pildīt savu uzdevumu, un stratēģijas īstenošanas izmaksas. Strukturēta riska mazināšana ir svarīga kā riska pārvaldības sistēma.
Novērtēšana un uzraudzība
Kad novērtēšana un mazināšana ir pabeigta, organizatoriskajai vienībai ir jānovērtē tūlītējais rezultāts un pastāvīgi jāuzrauga sistēma. Šis process sākas ar novērtējuma un ietekmes mazināšanas ietekmes novērtējumu, tostarp progresa kritēriju noteikšanu. Tā turpina novērtēt izmaiņu un papildinājumu ietekmi uz informācijas sistēmām. Visbeidzot, tā veic pastāvīgu informācijas drošības pārraudzību, lai noteiktu jomas, kurās var būt nepieciešams novērtēt papildu risku. Novērtēšana un uzraudzība ir svarīga, lai noteiktu, cik veiksmīgi organizatoriskā vienība ir pārvaldījusi savu informācijas drošības risku.