Podstawą systemu zarządzania bezpieczeństwem informacji ISO/IEC 27001 (ISMS) jest przeprowadzanie oceny ryzyka.
Czym jest ocena ryzyka w bezpieczeństwie informacji?
Ocena ryzyka w bezpieczeństwie informacji to proces identyfikowania, rozwiązywania i zapobiegania problemom bezpieczeństwa.
Osoba oceniająca Twoją organizację zidentyfikuje zagrożenia, na jakie narażona jest Twoja organizacja i przeprowadzi ocenę ryzyka.
Ocena ryzyka często opiera się na aktywach, a ryzyko ocenia się w odniesieniu do posiadanych zasobów informacyjnych. Ocena będzie prowadzona w całej organizacji.
ISO 27001 wyraźnie wymaga, aby proces zarządzania ryzykiem był stosowany do przeglądu i potwierdzania kontroli bezpieczeństwa w świetle obowiązków prawnych i umownych.
Poniżej opiszemy 7 kroków do efektywnego zarządzania ryzykiem w ISO/IEC 27001
Przeprowadzenie oceny ryzyka może wydawać się bardzo skomplikowane, ale uprościliśmy ten proces do siedmiu kroków:
1. Określ swoją metodologię oceny ryzyka
ISO/IEC 27001 nie określa konkretnej metodologii oceny ryzyka. Wybór właściwej metodologii dla organizacji jest niezbędny w celu określenia zasad, według których przeprowadzisz ocenę ryzyka. Metodologia musi uwzględniać cztery kwestie: podstawowe kryteria bezpieczeństwa, skalę ryzyka, apetyt na ryzyko oraz ocenę ryzyka opartą na scenariuszu lub opartą na aktywach.
2. Stwórz listę swoich zasobów informacyjnych
Decydując się na ocenę ryzyka opartą na aktywach, powinieneś pracować z istniejącą listą zasobów informacyjnych, która obejmuje wydrukowane informacje, pliki elektroniczne, nośniki wymienne, urządzenia mobilne i wartości niematerialne, takie jak własność intelektualna.
3. Zidentyfikuj zagrożenia i luki w zabezpieczeniach
Określ zagrożenia i luki w zabezpieczeniach, które dotyczą każdego zasobu. Na przykład zagrożeniem może być "kradzież urządzenia mobilnego".
4. Kwalifikuj zakres ryzyka
Przypisz wartości wpływu i prawdopodobieństwa wystąpienia ryzyka.
5. Zmniejsz ryzyko, aby ograniczyć je do uzgodnionego i akceptowalnego poziomu
ISO/IEC 27001 proponuje cztery sposoby traktowania ryzyka: "Zakończ" ryzyko, eliminując je całkowicie, "obserwuj" ryzyko, stosując środki kontroli bezpieczeństwa, "przenieś" ryzyko na stronę trzecią lub "toleruj" ryzyko.
6. Stwórz raport z analizy ryzyka
ISO/IEC 27001 wymaga, aby Twoja organizacja przygotowała zestaw raportów do celów audytu i certyfikacji, z których najważniejszym jest Deklaracja Stosowania (SoA) i plan postępowania z ryzykiem.
7. Przegląd, monitorowanie i audyt
ISO/IEC 27001 wymaga, aby Twoja organizacja stale przeglądała, aktualizowała i ulepszała ISMS, aby upewnić się, że działa optymalnie i dostosowuje się do ciągle zmieniającego się środowiska zagrożeń.
Pamiętaj, aby podczas procesu oceny ryzyka skupić się na poniższych punktach. Znajdziesz tutaj odpowiedź na pytanie: jakich błędów nie popełniać:
- Ogranicz zakres.
Zacznij od ogółu i przejdź do szczegółu. Każdy wydział powinien być odpowiedzialny za swoje własne ryzyka i rozbijać je na łatwe do opanowania części. Jeden element może być używany przez kilka osób do różnych celów, a pięć stron oceny nie będzie miało znaczenia dla wszystkich operatorów. Wykonaj oddzielną ocenę dla każdej operacji i zaangażuj ludzi do współtworzenia oceny, aby utrzymać i pokazać jej znaczenie.
- Zajmij się znacznym ryzykiem.
Ignoruj banalne codzienne przeszkody, ale rozważ wszystkie okoliczności. Dany element może być niepożądany, ale nie stanowi zagrożenia.
- Działaj zgodnie z ustaleniami.
Pracuj, jako zespół i kategoryzuj zagrożenia na wysokie, średnie i niższe ryzyko. Skoncentruj się na wyższym ryzyku i zaangażuj siłę roboczą w opracowywanie rozwiązań. Zdecyduj, co byłoby idealne i co jest praktycznie możliwe w obecnej sytuacji. Opracuj budżet na dłuższą metę, a w międzyczasie wprowadź odpowiednie środki w celu zminimalizowania ryzyka w miarę możliwości w krótkim i średnim terminie.
Nie musisz wszystkiego robić. Ważne jest, aby pokazać, że masz plan i pracujesz nad ulepszeniami.
Jeśli potrzebujesz dodatkowej wiedzy na ten temat skontaktuj się z nami. ISOQAR prowadzi szkolenia z zarządzania ryzykiem i z analizy ryzyka.