Informasjonsrisikostyring innebærer vurdering av mulig risiko og tiltak for å redusere det, samt overvåking av resultatet. Hver vurdering inkluderer å definere risikoen og bestemme hvordan det truer informasjonssikkerheten. Dette fører direkte til risikoreduksjon som oppgradering av systemer for å minimere sannsynligheten for den vurderte risikoen. Endelig inkluderer risikostyring kontinuerlig å overvåke systemet for å se om risikoreduserende tiltak gir de ønskede resultatene.
IT Selvforsvar Grunnleggende
En organisasjon må sørge for at den har evnen til å utføre sitt oppdrag. Det må identifisere risikoer som truer disse evnene, og vurdere beskyttende tiltak, med tanke på de økonomiske og andre kostnadene ved disse tiltakene. En risiko for at de fleste moderne organisasjoner står overfor, er kompromittert informasjonssikkerhet. En organisasjon må identifisere hvor kompromittert informasjonssikkerhet vil påvirke dets evner til å utføre sitt oppdrag og ta nødvendige korrigerende tiltak innenfor sitt etablerte budsjettramme.
Risikovurdering
Når en organisasjon fastslår at svakheter i informasjonssikkerhet utgjør en risiko for sine evner, må den grundig undersøke IT-systemer, operasjoner, prosedyrer og eksterne interaksjoner for å finne ut hvor risikoen ligger. Dette betyr å identifisere mulige trusler, sårbarheter for disse truslene, mulige motforanstaltninger, innvirkning og sannsynlighet. Risikoer kan klassifiseres som alvorlighetsgrad avhengig av påvirkning og sannsynlighet. Betydningen av vurderingen er at det muliggjør identifisering av høye risikoer som må reduseres.
Risikoreduserende tiltak
Mitigation betyr å redusere eller eliminere risikoen identifisert ved vurderingen. Strategier for å håndtere risikoen inkluderer å akseptere risikoen, vedta tiltak som reduserer risikoen, unngår risikoen ved å eliminere årsaken, begrense risikoen ved å sette kontroller på plass eller overføre risikoen til en leverandør, kunde eller forsikringsselskap. Hvilken strategi er hensiktsmessig, avgjør hvilken grad risikoen forringer organisasjonens evne til å oppfylle sitt oppdrag og kostnaden for å implementere strategien. Strukturert begrensning er viktig som ramme for risikostyring.
Evaluering og overvåking
Når vurdering og begrensning er fullført, må organisasjonsenheten evaluere det umiddelbare resultatet og overvåke systemet kontinuerlig. Denne prosessen starter med en evaluering av effekten av vurderingen og begrensningen, inkludert innstilling av referansepunkter for fremgang. Det fortsetter med evalueringen av effekten av endringer og tillegg til informasjonssystemer. Endelig utfører den kontinuerlig overvåking av informasjonssikkerhet, med sikte på å identifisere områder som må vurderes for ytterligere risiko. Evaluering og overvåking er viktig for å bestemme hvor vellykket organisasjonsenheten har klart sin informasjonssikkerhetsrisiko.