> ISO 27001 a ocena ryzyka IKMJ |Ocena ryzyka, a bezpieczeństwo informacji | Ocena ryzyka, a bezpieczeństwo informacji – IKMJ | Ocena ryzyka, a bezpieczeństwo informacji – IKMJ |

Ocena ryzyka, a bezpieczeństwo informacji

SZBI wg ISO 27001W poprzednich artykułach często odwoływałem się do pojęcia oceny ryzyka. Dzisiaj przedstawię co to jest i dlaczego jest ona taka ważna podczas projektowania systemu opartego o wymagania normy ISO/IEC 27001. Samo pojęcie oceny ryzyka jest na pewno dla większości znane i nie jest niczym nowym. Najczęściej z oceną ryzyka możemy się spotkać przy okazji zatrudniania się w nowej pracy i szkoleń związanych z bezpieczeństwem i higieną pracy u danego pracodawcy. Jest to skojarzenie jak najbardziej prawidłowe, ponieważ jest to jedna z najważniejszych rzeczy, o której musi wiedzieć każdy z pracodawców. Dla każdego stanowiska powinna zostać przeprowadzona ocena ryzyka, a następnie każdy z pracowników pracujący na danym stanowisku powinien zostać zapoznany z taką oceną i potwierdzić ten fakt własnoręcznym podpisem. Ale nie jest to myślą przewodnią dzisiejszego wpisu, więc wróćmy do bezpieczeństwa informacji i normy ISO/IEC 27001.

W normie ISO/IEC 27001 bardzo często pojawia się pojęcie ryzyka oraz szacowania ryzyka. Pierwsze miejsce gdzie możemy się z tym wyraźnie spotkać i co należy odpowiednio udokumentować w systemie jest punkt 4.2 podpunkt b) gdzie jest mowa o określeniu kryteriów według, których ma być oceniane ryzyko. Kolejny podpunkt jeszcze mocniej podkreśla znaczenie ryzyka w systemie zarządzania bezpieczeństwem informacji. Mianowicie chodzi tutaj o przyjęcie określonej metodyki szacowania ryzyka oraz opracowanie kryteriów akceptacji ryzyka. Brzmi to bardzo tajemniczo i może powodować nie lada zmartwienie dla osób podejmujących się trudu wdrożenia SZBI. Z pomocą jednak w tej sytuacji przychodzi nam sama norma ISO/IEC 27001, która wskazuje inną normę ISO/TR 13335-3 odnoszącą się właśnie do znanych metodyk szacowania ryzyka oraz będąca swoistym przewodnikiem przez czynności związane z szacowaniem ryzyka. Ze swojej strony mogę powiedzieć, iż najbardziej popularnymi (stosowanymi również przez Nasz Instytut) metodykami szacowania ryzyka są: RISC SCORE, FMEA, odpowiednio zmodyfikowane do potrzeb oraz rzadziej metodyka 5S. Na rynku funkcjonuje również wiele softwaru wspomagającego proces szacowania ryzyka, które bazują właśnie na przywołanych wcześniej metodykach.

W kolejnym artykule przedstawię w jaki sposób przebrnąć przez szacowanie ryzyka w odniesieniu do bezpieczeństwa informacji.

Cdn.

 

Zobacz też:

Audyt bezpieczeństwa, a wymagania normy ISO/IEC 27001

Business Continuity Plan (BCP)

ISO/IEC 27001 nazewnictwo i numeracja

 

Autor: Marcin Pietrucha

Kontakt

Imię i nazwisko (wymagane)

Telefon (wymagane)

Adres email (wymagane)

Treść wiadomości


Dane kontaktowe

Siedziba:

os. Strusia 1A, 31-807 Kraków



Dbamy o jakość!

Masz uwagi lub sugestie. Wypełnij krótką ANKIETĘ na temat naszej strony.

Szukaj we wszystkich serwisach IKMJ