Zarządzanie ryzykiem bezpieczeństwa informacji
Zarządzanie ryzykiem bezpieczeństwa jest jednym z kluczowych elementów efektywnego Systemu Zarządzania Bezpieczeństwem Informacji w organizacji. Jednym z działań wykonywanych w ramach procesu zarządzania ryzykiem jest szacowanie ryzyka. Wyniki szacowania ryzyka stanowią podstawę podejmowania właściwych decyzji w zakresie doboru adekwatnych i proporcjonalnych do wymagań środków bezpieczeństwa oraz optymalizacji nakładów ponoszonych na bezpieczeństwo informacji w organizacji.

Proces zarządzania ryzykiem bezpieczeństwa informacji powinien być dostosowany i zbieżny z ogólno-organizacyjnym procesem zarządzania ryzykiem oraz powinien to być proces ciągły. W ramach procesu zarządzania ryzykiem bezpieczeństwa informacji, wszystkie ryzyka powinny zostać zidentyfikowane i ocenione w odniesieniu do prawdopodobieństwa ich wystąpienia oraz konsekwencji dla prowadzonej działalności biznesowej. Dla zidentyfikowanych i oszacowanych ryzyk powinny zostać ustalone priorytety oraz opracowany plan postępowania z nimi. Istotnym elementem zarządzania ryzykiem bezpieczeństwa informacji jest też komunikowanie ryzyka celem ustalenia w ramach organizacji wspólnego postrzegania ryzyka bezpieczeństwa informacji oraz współdzielenia i wymiany informacji o ryzyku. Ryzyko oraz sam proces zarządzania nim powinien podlegać stałemu monitoringowi i przeglądowi.

Zarządzanie ryzykiem bezpieczeństwa informacji niesie ze sobą wiele korzyści, między innymi:
  • Ograniczenie wydatków poprzez wybór zabezpieczeń proporcjonalnych do ryzyka
  • Zapewnienie ciągłości działania krytycznych procesów biznesowych
  • Zapewnienie sprawnej i efektywnej obsługi zdarzeń oraz incydentów
  • Ochrona organizacji przed rosnącą liczbą zagrożeń
  • Systematyczne podejście do zarządzania ryzykiem bezpieczeństwa informacji
  • Zwiększenie świadomości ryzyk bezpieczeństwa informacji
Usługa

W ramach oferowanych usług doradczych proponujemy Państwu usługę wsparcia organizacji we wdrożeniu procesu zarządzania ryzykiem bezpieczeństwa informacji. W świadczonej usłudze, rama procesu zarządzania ryzykiem bezpieczeństwa informacji oparta jest na modelu zaproponowanym w normie ISO/IEC 27005. Dobór najwłaściwszej dla organizacji metodyki szacowania ryzyka bezpieczeństwa informacji przeprowadzany jest w trakcie realizacji usługi.

W ramach usługi wykonujemy następujące działania:
  • Zgromadzenie podstawowych informacji dotyczących organizacji i jej otoczenia
  • Definicja zakresu i granic zarządzania ryzykiem bezpieczeństwa informacji
  • Ustalenie obecnego stanu zarządzania ryzykiem bezpieczeństwa informacji (ocena zgodności z ISO/IEC 27005)
  • Definicja zakresu i granic zarządzania ryzykiem
  • Ustanowienie organizacji zarządzania ryzykiem oraz przypisanie ról i odpowiedzialności
  • Przeprowadzenie szkoleń dla interesariuszy w procesie zarządzania ryzykiem bezpieczeństwa
  • Określenie metody szacowania ryzyka bezpieczeństwa
  • Wsparcie w ustaleniu kryteriów oceny ryzyka, oceny skutków i akceptacji ryzyka
  • Przeprowadzenie szacowania ryzyka bezpieczeństwa informacji
  • Wsparcie w opracowaniu planu postępowania z ryzykiem
  • Przegląd procesu zarządzania ryzykiem bezpieczeństwa informacji
Alternatywną wersją zakresu usługi jest przeprowadzenie wyłącznie elementu szacowania ryzyka w określonym obszarze. Przykładem zakresu szacowania ryzyka może być:
  • Szacowanie ryzyka dla projektowanych i już istniejących systemów IT
  • Szacowanie ryzyka dla przetwarzania informacji w modelu Cloud Computing
  • Szacowanie ryzyka przy outsourcing’u IT
  • Szacowanie ryzyka w przypadku kradzieży sprzętu IT
© 2010-2012 Prevenity Sp z o.o. Wszelkie prawa zastrzeżone.    O Firmie | Informacje prawne | Kontakt | Mapa Serwisu