Informationssikkerhedsrisikostyring involverer vurdering af mulig risiko og træffe foranstaltninger for at afhjælpe det samt overvågning af resultatet. Hver vurdering omfatter definitionen af risikoen og bestemmelse af, hvordan det truer informationssystemets sikkerhed. Dette fører direkte til risikoreduktion, såsom opgradering af systemer for at minimere sandsynligheden for den vurderede risiko. Endelig omfatter risikostyring løbende at overvåge systemet for at se om risikoreducerende interventioner gav de ønskede resultater.
IT Selvforsvar Basics
En organisation skal sikre, at den har evnen til at udføre sin mission. Det skal identificere risici, der truer disse kapaciteter, og evaluere beskyttelsesforanstaltninger under hensyntagen til de økonomiske og andre omkostninger ved disse foranstaltninger. En risiko for, at de fleste moderne organisationer står over for, er kompromitteret informationssikkerhed. En organisation skal identificere, hvor kompromitteret informationssikkerhed vil påvirke dets kapacitet til at udføre sin mission og træffe passende korrigerende foranstaltninger inden for sin etablerede budgetramme.
Risikovurdering
Når en organisation bestemmer, at svagheder i informationssikkerhed udgør en risiko for sine evner, skal den grundigt undersøge sine it-systemer, operationer, procedurer og eksterne interaktioner for at finde ud af, hvor risikoen ligger. Det betyder at identificere mulige trusler, sårbarheder for disse trusler, mulige modforanstaltninger, indvirkning og sandsynlighed. Risici kan klassificeres som alvorlighedsgrad afhængigt af påvirkning og sandsynlighed. Betydningen af vurderingen er, at det gør det muligt at identificere høje risici, der skal mildnes.
Risikobegrænsning
Afbødning betyder at reducere eller eliminere de risici, der er identificeret ved vurderingen. Strategier til at håndtere risikoen omfatter at acceptere risikoen, vedtage foranstaltninger, som reducerer risikoen, undgår risikoen ved at eliminere årsagen, begrænser risikoen ved at indføre kontroller eller overføre risikoen til en leverandør, kunde eller forsikringsselskab. Hvilken strategi er hensigtsmæssig, afhænger af, i hvor høj grad risikoen påvirker organisationens evne til at opfylde sin mission og omkostningerne ved at implementere strategien. Struktureret afbødning er vigtig som rammer for risikostyring.
Evaluering og overvågning
Når vurdering og afbødning er afsluttet, skal organisationsenheden evaluere det øjeblikkelige resultat og løbende overvåge systemet. Denne proces starter med en evaluering af konsekvenserne af vurderingen og afbødningen, herunder fastsættelse af benchmarks for fremskridt. Det fortsætter med evalueringen af virkningen af ændringer og tilføjelser til informationssystemer. Endelig udfører den løbende overvågning af informationssikkerhedens ydeevne med det formål at identificere områder, som må vurderes for yderligere risiko. Evaluering og overvågning er vigtige for at bestemme, hvordan den organisatoriske enhed har styret sin informationssikkerhedsrisiko.