情報セキュリティリスク管理には、起こり得るリスクを評価し、そのリスクを軽減するための対策を講じるとともに、結果を監視することが含まれます。すべての評価には、リスクの性質を定義し、それが情報システムのセキュリティをどのように脅かすかを判断することが含まれています。これは、評価されたリスクの可能性を最小限に抑えるためにシステムをアップグレードするなどのリスク軽減に直接つながります。最後に、リスク管理には、リスク軽減のための介入によって望ましい結果が得られたかどうかを確認するためにシステムを継続的に監視することが含まれます。
IT自己防衛の基本
組織は、自らの使命を達成するための能力があることを確認しなければなりません。それはそれらの能力を脅かす危険性を識別し、そしてそれらの措置の経済的および他の費用を覚えておいて保護措置を評価しなければならない。現代のほとんどの組織が直面する1つのリスクは、情報セキュリティの侵害です。組織は、情報セキュリティの侵害がその任務を遂行する能力に影響を与える可能性がある場所を特定し、確立された予算枠組みの中で適切な是正措置を講じる必要があります。
リスクアセスメント
組織が情報セキュリティの弱点が自社の能力にリスクをもたらすと判断した場合、ITシステム、運用、手順、および外部とのやり取りを徹底的に調べて、リスクの所在を特定する必要があります。これは、考えられる脅威、それらの脅威に対する脆弱性、考えられる対策、影響、および可能性を特定することを意味します。リスクは、影響と可能性に応じて重大度として分類できます。評価の重要性は、それが軽減されなければならない高いリスクの識別を可能にすることです。
リスク軽減
軽減とは、評価によって特定されたリスクを軽減または排除することを意味します。リスクに対処するための戦略には、リスクの受け入れ、リスクを低減するための対策の採用、原因の排除によるリスクの回避、統制の導入によるリスクの制限、またはサプライヤ、顧客または保険会社へのリスクの移転が含まれます。どの戦略が適切であるかは、リスクが組織の使命を果たす能力をどの程度損なうか、およびその戦略を実行するコストによって決まります。構造化緩和は、リスク管理の枠組みとして重要です。
評価とモニタリング
評価と緩和が完了したら、組織ユニットは即座の結果を評価し、継続的にシステムを監視する必要があります。このプロセスは、進捗のためのベンチマークの設定を含む、評価と緩和の影響の評価から始まります。情報システムへの変更および追加の影響の評価を続けます。最後に、追加のリスクについて評価する必要がある可能性がある領域を識別することを目的として、情報セキュリティのパフォーマンスを継続的に監視します。評価と監視は、組織単位が情報セキュリティリスクをどの程度うまく管理したかを判断するために重要です。
