7 kroków do przeprowadzenia skutecznej oceny ryzyka w ISO/IEC 27001

7 kroków do przeprowadzenia skutecznej oceny ryzyka w ISO/IEC 27001

Podstawą systemu zarządzania bezpieczeństwem informacji ISO/IEC 27001 (ISMS) jest przeprowadzanie oceny ryzyka.

 

Czym jest ocena ryzyka w bezpieczeństwie informacji?
Ocena ryzyka w bezpieczeństwie informacji to proces identyfikowania, rozwiązywania i zapobiegania problemom bezpieczeństwa.
Osoba oceniająca Twoją organizację zidentyfikuje zagrożenia, na jakie narażona jest Twoja organizacja i przeprowadzi ocenę ryzyka.
Ocena ryzyka często opiera się na aktywach, a ryzyko ocenia się w odniesieniu do posiadanych zasobów informacyjnych. Ocena będzie prowadzona w całej organizacji.
ISO 27001 wyraźnie wymaga, aby proces zarządzania ryzykiem był stosowany do przeglądu i potwierdzania kontroli bezpieczeństwa w świetle obowiązków prawnych i umownych.


Poniżej opiszemy 7 kroków do efektywnego zarządzania ryzykiem w ISO/IEC 27001
Przeprowadzenie oceny ryzyka może wydawać się bardzo skomplikowane, ale uprościliśmy ten proces do siedmiu kroków:
1. Określ swoją metodologię oceny ryzyka 
ISO/IEC 27001 nie określa konkretnej metodologii oceny ryzyka. Wybór właściwej metodologii dla organizacji jest niezbędny w celu określenia zasad, według których przeprowadzisz ocenę ryzyka. Metodologia musi uwzględniać cztery kwestie: podstawowe kryteria bezpieczeństwa, skalę ryzyka, apetyt na ryzyko oraz ocenę ryzyka opartą na scenariuszu lub opartą na aktywach.
2. Stwórz listę swoich zasobów informacyjnych
Decydując się na ocenę ryzyka opartą na aktywach, powinieneś pracować z istniejącą listą zasobów informacyjnych, która obejmuje wydrukowane informacje, pliki elektroniczne, nośniki wymienne, urządzenia mobilne i wartości niematerialne, takie jak własność intelektualna.
3. Zidentyfikuj zagrożenia i luki w zabezpieczeniach
Określ zagrożenia i luki w zabezpieczeniach, które dotyczą każdego zasobu. Na przykład zagrożeniem może być "kradzież urządzenia mobilnego".
4. Kwalifikuj zakres ryzyka
Przypisz wartości wpływu i prawdopodobieństwa wystąpienia ryzyka.
5. Zmniejsz ryzyko, aby ograniczyć je do uzgodnionego i akceptowalnego poziomu
ISO/IEC 27001 proponuje cztery sposoby traktowania ryzyka: "Zakończ" ryzyko, eliminując je całkowicie, "obserwój" ryzyko, stosując środki kontroli bezpieczeństwa, "przenieś" ryzyko na stronę trzecią lub "toleruj" ryzyko.
6. Stwórz raport z analizy ryzyka
ISO/IEC 27001 wymaga, aby Twoja organizacja przygotowała zestaw raportów do celów audytu i certyfikacji, z których najważniejszym jest Deklaracja Stosowania (SoA) i plan postępowania z ryzykiem.
7. Przegląd, monitorowanie i audyt
ISO/IEC 27001 wymaga, aby Twoja organizacja stale przeglądała, aktualizowała i ulepszała ISMS, aby upewnić się, że działa optymalnie i dostosowuje się do ciągle zmieniającego się środowiska zagrożeń.


Pamiętaj, aby podczas procesu oceny ryzyka skupić się na poniższych punktach. Znajdziesz tutaj odpowiedź na pytanie: jakich błędów nie popełniać:
- Ogranicz zakres. 
Zacznij od ogółu i przejdz do szczegółu. Każdy wydział powinien być odpowiedzialny za swoje własne ryzyka i rozbijać je na łatwe do opanowania części. Jeden element może być używany przez kilka osób do różnych celów, a pięć stron oceny nie będzie miało znaczenia dla wszystkich operatorów. Wykonaj oddzielną ocenę dla każdej operacji i zaangarzuj ludzi do współtworzenia oceny, aby utrzymać i pokazać jej znaczenie.
- Zajmij się znacznym ryzykiem.
Ignoruj banalne codzienne przeszkody, ale rozważ wszystkie okoliczności. Dany element może być nieporządany, ale nie stanowi zagrożenia.
- Działaj zgodnie z ustaleniami. 
Pracuj, jako zespół i kategoryzuj zagrożenia na wysokie, średnie i niższe ryzyko. Skoncentruj się na wyższym ryzyku i zaangażuj siłę roboczą w opracowywanie rozwiązań. Zdecyduj, co byłoby idealne i co jest praktycznie możliwe w obecnej sytuacji. Opracuj budżet na dłuższą metę, a w międzyczasie wprowadź odpowiednie środki w celu zminimalizowania ryzyka w miarę możliwości w krótkim i średnim terminie.


Nie musisz wszystkiego robić. Ważne jest, aby pokazać, że masz plan i pracujesz nad ulepszeniami.

 

Jeśli potrzebujesz dodatkowej wiedzy na ten temat skontaktuj się z nami. ISOQAR prowadzi szkolenia z zarządzania ryzykiem i z analizy ryzyka.
 

Skontaktuj się z nami

Zgodnie z art. 13 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (Dz. Urz. UE L 119 z 04.05.2016) informuję, iż:

1) administratorem Pani/Pana danych osobowych jest ISOQAR CEE  Sp. z o.o. ul. Wąwozowa 11, 02-796 Warszawa,

2) Pani/Pana dane osobowe przetwarzane będą w celach marketingowych na podstawie Art. 6 ust. 1 lit. a ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r.

3) Pani/Pana dane osobowe przechowywane będą do momentu odwołania zgody

4) odbiorcami Pani/Pana danych osobowych będą wyłącznie podmioty uprawnione do uzyskania danych osobowych na podstawie przepisów prawa oraz podmioty realizujące usługę mass mailingu

5) posiada Pani/Pan prawo do żądania od administratora dostępu do danych osobowych, prawo do ich sprostowania usunięcia lub ograniczenia przetwarzania, prawo do cofnięcia zgody oraz prawo do przenoszenia danych

6) ma Pani/Pan prawo wniesienia skargi do organu` nadzorczego

7) Pani/Pana dane będą przetwarzane w sposób zautomatyzowany w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie odbywało się na zasadach określonych w regulaminie (opcje: subskrypcji, itp.) a konsekwencją takiego przetwarzania będzie otrzymywanie wyselekcjonowanej informacji marketingowej

8) podanie danych osobowych jest dobrowolne, jednakże niepodanie danych może skutkować niemożliwością uczestnictwa w (opcje: subskrypcji newslettera, otrzymywania ofert marketingowych, udziału w ankietach)

Jednocześnie zgodnie z art.6 ust.1 lit. a ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. wyrażam zgodę na przetwarzanie moich danych osobowych w celu (opcje: subskrypcji newslettera, otrzymywania ofert marketingowych, udziału w ankietach)

Regulamin plików cookies