Zarządzanie ryzykiem bezpieczeństwa jest jednym z kluczowych elementów efektywnego Systemu Zarządzania Bezpieczeństwem Informacji w organizacji. Jednym z działań wykonywanych w ramach procesu zarządzania ryzykiem jest szacowanie ryzyka. Wyniki szacowania ryzyka stanowią podstawę podejmowania właściwych decyzji w zakresie doboru adekwatnych i proporcjonalnych do wymagań środków bezpieczeństwa oraz optymalizacji nakładów ponoszonych na bezpieczeństwo informacji w organizacji.

Proces zarządzania ryzykiem bezpieczeństwa informacji powinien być dostosowany i zbieżny z ogólno-organizacyjnym procesem zarządzania ryzykiem oraz powinien to być proces ciągły. W ramach procesu zarządzania ryzykiem bezpieczeństwa informacji, wszystkie ryzyka powinny zostać zidentyfikowane i ocenione w odniesieniu do prawdopodobieństwa ich wystąpienia oraz konsekwencji dla prowadzonej działalności biznesowej. Dla zidentyfikowanych i oszacowanych ryzyk powinny zostać ustalone priorytety oraz opracowany plan postępowania z nimi. Istotnym elementem zarządzania ryzykiem bezpieczeństwa informacji jest też komunikowanie ryzyka celem ustalenia w ramach organizacji wspólnego postrzegania ryzyka bezpieczeństwa informacji oraz współdzielenia i wymiany informacji o ryzyku. Ryzyko oraz sam proces zarządzania nim powinien podlegać stałemu monitoringowi i przeglądowi.

Zarządzanie ryzykiem bezpieczeństwa informacji niesie ze sobą wiele korzyści, między innymi:

• Ograniczenie wydatków poprzez wybór zabezpieczeń proporcjonalnych do ryzyka
• Zapewnienie ciągłości działania krytycznych procesów biznesowych
• Zapewnienie sprawnej i efektywnej obsługi zdarzeń oraz incydentów
• Ochrona organizacji przed rosnącą liczbą zagrożeń
• Systematyczne podejście do zarządzania ryzykiem bezpieczeństwa informacji
• Zwiększenie świadomości ryzyk bezpieczeństwa informacji

Usługa

W ramach oferowanych usług doradczych proponujemy Państwu usługę wsparcia organizacji we wdrożeniu procesu zarządzania ryzykiem bezpieczeństwa informacji. W świadczonej usłudze, rama procesu zarządzania ryzykiem bezpieczeństwa informacji oparta jest na modelu zaproponowanym w normie ISO/IEC 27005. Dobór najwłaściwszej dla organizacji metodyki szacowania ryzyka bezpieczeństwa informacji przeprowadzany jest w trakcie realizacji usługi.

W ramach usługi wykonujemy następujące działania:

• Zgromadzenie podstawowych informacji dotyczących organizacji i jej otoczenia
• Definicja zakresu i granic zarządzania ryzykiem bezpieczeństwa informacji
• Ustalenie obecnego stanu zarządzania ryzykiem bezpieczeństwa informacji (ocena zgodności z ISO/IEC 27005)
• Definicja zakresu i granic zarządzania ryzykiem
• Ustanowienie organizacji zarządzania ryzykiem oraz przypisanie ról i odpowiedzialności
• Przeprowadzenie szkoleń dla interesariuszy w procesie zarządzania ryzykiem bezpieczeństwa
• Określenie metody szacowania ryzyka bezpieczeństwa
• Wsparcie w ustaleniu kryteriów oceny ryzyka, oceny skutków i akceptacji ryzyka
• Przeprowadzenie szacowania ryzyka bezpieczeństwa informacji
• Wsparcie w opracowaniu planu postępowania z ryzykiem
• Przegląd procesu zarządzania ryzykiem bezpieczeństwa informacji

Alternatywną wersją zakresu usługi jest przeprowadzenie wyłącznie elementu szacowania ryzyka w określonym obszarze. Przykładem zakresu szacowania ryzyka może być:

• Szacowanie ryzyka dla projektowanych i już istniejących systemów IT
• Szacowanie ryzyka dla przetwarzania informacji w modelu Cloud Computing
• Szacowanie ryzyka przy outsourcing’u IT
• Szacowanie ryzyka w przypadku kradzieży sprzętu IT