Tietoturvariskien hallinta sisältää mahdollisen riskin arvioinnin ja toimenpiteiden toteuttamisen lieventämiseksi sekä tuloksen seurannan. Jokaisessa arvioinnissa määritellään riskin luonne ja määritetään, miten se uhkaa tietojärjestelmän turvallisuutta. Tämä johtaa suoraan riskien vähentämiseen, kuten päivitysjärjestelmiin arvioidun riskin todennäköisyyden minimoimiseksi. Lopuksi riskienhallinta sisältää järjestelmän jatkuvan seurannan sen selvittämiseksi, tuottivatko riskinhallintatoimenpiteet toivottuja tuloksia.
IT Itsepuolustuksen perusteet
Organisaation on varmistettava, että sillä on valmiudet suorittaa tehtävänsä. Siinä on tunnistettava riskit, jotka uhkaavat näitä valmiuksia, ja arvioitava suojatoimenpiteitä ottaen huomioon näiden toimenpiteiden taloudelliset ja muut kustannukset. Yksi riski, että useimmat nykyaikaiset järjestöt kohtaavat tietoturvan vaarantumisen. Organisaation on yksilöitävä, missä tietoturvallisuus vaarantuu, mikä vaikuttaisi sen kykyyn suorittaa tehtävänsä ja toteuttaa asianmukaiset korjaavat toimenpiteet vakiintuneessa budjettikehyksessään.
Riskin arviointi
Kun organisaatio toteaa, että tietoturvan heikkoudet aiheuttavat riskin sen ominaisuuksille, sen on tutkittava perusteellisesti tietotekniikkajärjestelmät, toiminnot, menettelyt ja ulkoiset vuorovaikutukset selvittääkseen, missä riskit ovat. Tämä tarkoittaa mahdollisten uhkien tunnistamista, näiden uhkien haavoittuvuuksia, mahdollisia vastatoimia, vaikutuksia ja todennäköisyyksiä. Riskit voidaan luokitella vakavuuden mukaan vaikutusten ja todennäköisyyden mukaan. Arvioinnin tärkeys on, että se mahdollistaa sellaisten suurten riskien tunnistamisen, jotka on lievennettävä.
Riskinhallintatoimenpiteitä
Lieventäminen tarkoittaa arvioinnin tunnistamien riskien vähentämistä tai poistamista. Riskinhallintastrategioihin kuuluvat riskin hyväksyminen, riskien vähentämiseen tähtäävien toimenpiteiden toteuttaminen, riskin välttäminen poistamalla syy, riskin rajoittaminen asettamalla valvonnan käyttöön tai siirtämällä riski toimittajalle, asiakkaalle tai vakuutusyhtiölle. Mikä strategia sopii, riippuu siitä, missä määrin riski heikentää organisaation kykyä täyttää tehtävänsä ja kustannukset, jotka aiheutuvat strategian toteuttamisesta. Strukturoitu lieventäminen on tärkeää riskienhallinnan kehyksenä.
Arviointi ja seuranta
Kun arviointi ja lieventäminen on saatu päätökseen, organisaatioyksikön on arvioitava välitön tulos ja seurattava järjestelmää jatkuvasti. Tämä prosessi alkaa arvioimalla arvioinnin ja lieventämisen vaikutuksia, mukaan lukien etenemissuunnitelmien laatiminen. Se jatkuu arvioimalla muutosten ja lisäysten vaikutusta tietojärjestelmiin. Lopuksi se valvoo jatkuvasti tietoturvan suorituskykyä, jotta voidaan tunnistaa alueita, jotka on mahdollisesti arvioitava lisäriskin varalta. Arviointi ja seuranta ovat tärkeitä sen määrittämiseksi, kuinka menestyksekkäästi organisaation yksikkö on hoitanut tietoturvariskejä.
