Quais são os três aspectos principais de Gestão de Risco de Segurança da Informação & porque são cada Importante?

Informações de gerenciamento de riscos de segurança envolve avaliar possíveis riscos e tomar medidas para mitigá-la, bem como acompanhar o resultado. Qualquer apreciação inclui definir a natureza do risco e determinar como ela ameaça a segurança do sistema de informação. Isto conduz directamente a redução do risco de tais como sistemas de upgrade para minimizar a probabilidade do risco estimado. Finalmente, a gestão de risco inclui a monitorização do sistema numa base contínua para ver se as intervenções de redução do risco produzido os resultados desejados.

Uma organização deve garantir que ele tem a capacidade de cumprir sua missão. Ele deve identificar os riscos que ameaçam essas capacidades, e avaliar medidas de protecção, tendo em mente os custos econômicos e outros de tais medidas. Um risco que as organizações mais modernas enfrentam é comprometida a segurança da informação. Uma organização deve identificar onde a segurança da informação comprometida afetaria suas capacidades para cumprir sua missão e tomar as medidas correctivas adequadas dentro do seu quadro orçamental estabelecido.

Quando uma organização determina que os pontos fracos em segurança da informação representam um risco para suas capacidades, deve examinar cuidadosamente os seus sistemas de TI, operações, processos e interações externas para descobrir onde os riscos se encontram. Isto significa identificar possíveis ameaças, vulnerabilidades a essas ameaças, possíveis contramedidas, impacto e da probabilidade. Os riscos podem ser classificadas quanto à severidade dependendo impacto e probabilidade. A importância da avaliação é que ele permite a identificação de riscos elevados que devem ser mitigados.

Mitigação significa reduzir ou eliminar os riscos identificados pela avaliação. Estratégias para lidar com o risco incluem a aceitar o risco, adotando medidas que irão reduzir o risco, evitando o risco, eliminando a causa, limitando o risco, colocando controles no lugar, ou transferir o risco para uma empresa fornecedor, cliente ou seguro. Qual estratégia é apropriada é determinada pela medida em que o risco prejudica a capacidade da organização para cumprir sua missão, eo custo de implementação da estratégia. mitigação estruturado é importante como um quadro para a gestão de riscos.

Uma vez que a avaliação e mitigação foram concluídas, a unidade organizacional deve avaliar o resultado imediato e monitorar o sistema em uma base contínua. Este processo começa com uma avaliação dos efeitos da avaliação e mitigação, incluindo a definição de indicadores de progresso. Ele continua com a avaliação do efeito das mudanças e adições a sistemas de informação. Finalmente, ele executa a monitorização contínua do desempenho de segurança da informação, com o objectivo da identificação de áreas que podem ter de ser avaliados para o risco adicional. Avaliação e monitoramento são importantes para determinar o grau de sucesso da unidade organizacional conseguiu seu risco de segurança da informação.