Elementi procjene i upravljanja informacijskim rizicima

Standardi ISO/IEC 27001 i ISO/IEC 17799 definiraju slijedeće faze (korake) u procesu
procjene i upravljanja rizikom informacijske sigurnosti (radi se o kontinuiranom a ne
jednokratnom procesu):

1. Definirati pristup procjeni rizika:

i. identificirati metodologiju procjene koja je odgovarajuća za sustav upravljanja
organizacije, za zakonske i ostale zahtjeve
ii. razviti kriterije za prihvaćanje rizika i identifikaciju prihvatljivog nivoa rizika

2. Identificirati rizike:
i. identificirati svu informacijsku imovinu unutar opsega procjene, i vlasnike
dotične imovine
ii. identificirati prijetnje na tu imovinu
iii. identificirati ranjivosti koje bi te prijetnje mogle iskoristiti
iv. identificirati koji bi utjecaj mogli imati gubitak raspoloživosti, povjerljivosti i
dostupnosti za tu imovinu

3. Analizirati i procjeniti rizike:

i. procjeniti utjecaj na poslovanje organizacije do kojih bi moglo doći zbog
sigurnosnih incidenata
ii. procjeniti vjerojatnost da će doći do sigurnosnih incidenata u svjetlu ranjivosti i
prijetnji, i postojećih mjera zaštite
iii. procjeniti nivo rizika
iv. procjeniti da li su rizici prihvatljivi ili zahtjevaju tretman koristeći kriterije za
prihvaćanje rizika

4. Identificirati i ocjeniti opcije za tretman rizika:

i. primjena adekvatnih mjera zaštite
ii. prihvaćanje rizika
iii. izbjegavanje rizika
iv. prebacivanje rizika na neku treću stranu (npr. na osiguravatelja, dobavljača i sl.)

© Kvadra savjetovanje d.o.o. www.kvadraconsulting.com Stranica 1 od 2

5. Odabrati ciljeve za mjere zaštite i odrediti pojedine mjere
zaštite za tretman rizika
Za one rizike gdje je organizacija odlučila primjeniti adekvatne mjere zaštite, mora se
osigurati da se rizici smanje na prihvatljivi nivo uzimajući u obzir:
i. zahtjevi domaće i internacionalne regulative
ii. ciljeve organizacije
iii. operativne potrebe i ograničenja
iv. cijenu implementacije u odnosu na visinu rizika koja će biti umanjena
v. potrebu da se balansira investicija u implementaciju u odnosu na potencijalnu
štete od sigurnosnog incidenta

6. Dobiti dozvolu uprave za implementaciju mjera zaštite, kao i

za prihvaćanje rizika

Shema procesa procjene i upravljanja rizikom

Uspostaviti kontekst M
on
Komunikacija i konzultacije

Co

Nadziranje i pregledavanje
m
Identificirati rizike ito
m r
un &
Procjeniti rizik

ica Analizirati rizike

re
te vi
& ew
Proračunati rizike
co
ns
ult
Postupati sa rizicima

Napomena: ovaj proces procjene i upravljanja informacijskim rizicima u potpunosti je

usklađen sa zahtjevima Basela II vezanima za upravljanje operativnim rizicima i
Smjernicama za upravljanje informacijskim sustavom u cilju smanjenja operativnog
rizika (Hrvatska narodna banka, ožujak 2006.).

© Kvadra savjetovanje d.o.o. www.kvadraconsulting.com Stranica 2 od 2