信息安全风险管理涉及评估可能的风险并采取措施缓解风险,并监控结果。每项评估都包括确定风险的性质并确定其如何威胁信息系统安全。这直接导致风险缓解,例如升级系统以最小化评估风险的可能性。最后,风险管理包括持续监控系统,以确定风险缓解干预是否产生了预期的结果。
IT自卫基础知识
组织必须确保其有能力完成其使命。它必须识别威胁这些能力的风险,并评估保护措施,同时牢记这些措施的经济和其他成本。大多数现代组织面临的一个风险是信息安全受损。组织必须确定受损信息安全会影响其完成任务的能力,并在其既定预算框架内采取适当的纠正措施。
风险评估
当组织确定信息安全的弱点对其能力构成风险时,它必须彻底检查其IT系统,操作,程序和外部交互,以找出风险所在。这意味着识别可能的威胁,这些威胁的漏洞,可能的对策,影响和可能性。风险可根据影响和可能性分类为严重程度。评估的重要性在于它可以识别必须减轻的高风险。
风险缓解
减缓意味着减少或消除评估所确定的风险。处理风险的策略包括接受风险,采取措施降低风险,通过消除原因避免风险,通过实施控制来限制风险,或将风险转移给供应商,客户或保险公司。适当的策略取决于风险在多大程度上损害了组织履行其使命的能力以及实施战略的成本。结构化缓解作为风险管理框架非常重要。
评估和监测
评估和缓解措施完成后,组织单位必须评估即时结果并持续监控系统。这一过程首先评估评估和缓解的影响,包括制定进展基准。它继续评估信息系统变化和增加的影响。最后,它对信息安全绩效进行持续监控,目的是确定可能需要评估额外风险的区域。评估和监控对于确定组织单位如何成功管理其信息安全风险非常重要。
