Obvladovanje tveganj informacijske varnosti vključuje ocenjevanje možnih tveganj in sprejemanje ukrepov za njegovo ublažitev ter spremljanje rezultatov. Vsaka ocena vključuje opredelitev narave tveganja in določitev, kako ogroža varnost informacijskega sistema. To neposredno vodi k zmanjševanju tveganja, kot so nadgradnja sistemov, da se zmanjša verjetnost ocenjenega tveganja. Nazadnje, obvladovanje tveganj vključuje stalno spremljanje sistema, da se ugotovi, ali so ukrepi za zmanjšanje tveganja dosegli želene rezultate.
Osnove samoobrambe IT
Organizacija mora zagotoviti, da ima zmogljivosti za izpolnitev svojega poslanstva. Opredeliti mora tveganja, ki ogrožajo te zmogljivosti, in oceniti zaščitne ukrepe ob upoštevanju gospodarskih in drugih stroškov teh ukrepov. Eno tveganje, s katerim se sooča večina sodobnih organizacij, je ogrožena varnost informacij. Organizacija mora ugotoviti, kje bi ogrožena varnost informacij vplivala na njene zmožnosti, da izpolni svoje poslanstvo, in sprejme ustrezne korektivne ukrepe v okviru svojega proračunskega okvira.
Ocena tveganja
Ko organizacija ugotovi, da slabosti informacijske varnosti predstavljajo tveganje za njene zmožnosti, mora temeljito preučiti svoje informacijske sisteme, postopke, postopke in zunanje interakcije, da bi ugotovila, kje so tveganja. To pomeni ugotavljanje morebitnih groženj, ranljivosti teh groženj, možne protiukrepe, vpliv in verjetnost. Tveganja lahko razvrstimo glede na resnost, odvisno od vpliva in verjetnosti. Pomembnost ocene je, da omogoča opredelitev visokih tveganj, ki jih je treba ublažiti.
Zmanjševanje tveganja
Blažitev pomeni zmanjšanje ali odpravo tveganj, ugotovljenih v oceni. Strategije za obvladovanje tveganja vključujejo sprejemanje tveganja, sprejemanje ukrepov, ki bodo zmanjšali tveganje, izogibanje tveganju z odpravo vzroka, omejevanje tveganja z uvedbo kontrol ali prenos tveganja na dobavitelja, kupca ali zavarovalnico. Katera strategija je primerna, je odvisna od tega, v kolikšni meri tveganje zmanjšuje zmožnost organizacije, da izpolni svoje poslanstvo, in stroške izvajanja strategije. Strukturirano blaženje je pomembno kot okvir za obvladovanje tveganja.
Vrednotenje in spremljanje
Ko so ocenjevanje in ublažitev zaključeni, mora organizacijska enota oceniti trenutne rezultate in redno spremljati sistem. Ta proces se začne z oceno učinkov ocene in ublažitve, vključno z določitvijo meril uspešnosti. Nadaljuje se z oceno učinka sprememb in dopolnitev informacijskih sistemov. Nenazadnje izvaja stalno spremljanje učinkovitosti informacijske varnosti z namenom določitve področij, ki jih je treba oceniti za dodatno tveganje. Vrednotenje in spremljanje sta pomembna za ugotavljanje, kako uspešno je organizacijska enota obvladovala tveganje informacijske varnosti.