Pengurusan risiko keselamatan maklumat melibatkan menilai risiko yang mungkin dan mengambil langkah-langkah untuk menangguhkannya, serta memantau hasilnya. Setiap penilaian termasuk menentukan jenis risiko dan menentukan bagaimana ia mengancam keselamatan sistem maklumat. Ini membawa langsung kepada pengurangan risiko seperti menaik taraf sistem untuk meminimumkan kemungkinan risiko yang dinilai. Akhir sekali, pengurusan risiko merangkumi pemantauan sistem secara berterusan untuk melihat apakah intervensi mitigasi risiko menghasilkan hasil yang diinginkan.
Asas Pertahanan Diri IT
Organisasi mesti memastikan bahawa ia mempunyai keupayaan untuk mencapai misinya. Ia mesti mengenal pasti risiko yang mengancam keupayaan tersebut, dan menilai langkah-langkah perlindungan, dengan mengingati kos ekonomi dan kos yang lain. Satu risiko yang dihadapi kebanyakan organisasi moden adalah keselamatan maklumat yang dikompromi. Organisasi harus mengenalpasti keselamatan maklumat yang terjejas akan mempengaruhi keupayaannya untuk mencapai misi dan mengambil langkah-langkah pembetulan yang sewajarnya dalam rangka kerja belanjawan yang ditetapkan.
Penilaian risiko
Apabila organisasi menentukan bahawa kelemahan dalam keselamatan maklumat menimbulkan risiko keupayaannya, ia mesti memeriksa sistem IT, operasi, prosedur, dan interaksi luarannya dengan teliti untuk mengetahui di mana risiko terletak. Ini bermakna mengenal pasti ancaman yang mungkin, kelemahan terhadap ancaman, kemungkinan penangkapan, kesan dan kemungkinan. Risiko boleh dikelaskan sebagai keterukan bergantung kepada kesan dan kemungkinan. Kepentingan penilaian adalah membenarkan pengenalpastian risiko tinggi yang harus dikurangkan.
Mitigasi Risiko
Mitigasi bermaksud mengurangkan atau menghapuskan risiko yang dikenal pasti oleh penilaian. Strategi untuk menangani risiko termasuk menerima risiko, mengamalkan langkah-langkah yang akan mengurangkan risiko, mengelakkan risiko dengan menghapuskan punca, mengehadkan risiko dengan meletakkan kawalan di tempat, atau memindahkan risiko kepada pembekal, pelanggan atau syarikat insurans. Strategi yang sesuai ditentukan oleh sejauh mana risiko merosakkan keupayaan organisasi untuk memenuhi misinya, dan kos melaksanakan strategi. Mitigasi berstruktur adalah penting sebagai rangka kerja bagi pengurusan risiko.
Penilaian dan Pemantauan
Apabila penilaian dan pengurangan telah selesai, unit organisasi mesti menilai keputusan segera dan memantau sistem secara berterusan. Proses ini bermula dengan penilaian kesan penilaian dan pengurangan, termasuk penanda aras untuk kemajuan. Ia berterusan dengan penilaian kesan perubahan dan tambahan kepada sistem maklumat. Akhirnya, ia melakukan pemantauan berterusan terhadap prestasi keselamatan maklumat, dengan tujuan mengenal pasti bidang-bidang yang mungkin perlu dinilai untuk risiko tambahan. Penilaian dan pemantauan adalah penting untuk menentukan sejauh mana unit organisasi telah menguruskan risiko keselamatan maklumatnya.