UPRAVLJANJE RIZICIMA

(ISO 31000:2018)

SMANJENJE RIZIKA U ORGANIZACIJAMA

U zavisnosti od potrebe organizacije, za upravljanje rizicima implementiraju se sledeći standardi:

    • Menadžment rizikom (ISO 31000:2018) Organizacije svih vrsta i veličina suočavaju se sa internim i eksternim faktorima i uticajima zbog kojih nije sigurno da li će i kada one ostvariti svoje ciljeve. Efekat koji ova nesigurnost ima na ciljeve organizacije jeste „rizik.“ Sve aktivnosti organizacije uključuju rizik. ISO 31000:2018 olakšava uspostavljanje principa i okvira dobrog menadžmenta rizicima i pruža smernice u procesu identifikacije, analiziranja, ocene potrebe za modifikacijom i tretiranjem rizika, kako bi se zadovoljili postavljeni kriterijumi rizika, i uspostavili adekvatni procesi komuniciranja, preispitivanja i stalnog unpaređivanja menadžmenta rizicima organizacije.
Menadžment rizicima
    • Upravljanje rizicima informacione bezbednosti (ISO/IEC 27005:2011) Proces upravljanja rizikom mora da se primeni na celokupan ISMS (kao što je navedeno u ISO/IEC 27001) – to jest, na sve elemente ISMS. Proces treba da se primeni na faze planiranja i projektovanja, kao i na sve sledeće faze operativne primene, praćenja i preispitivanja rizika, i faze ažuriranja i poboljšavanja rizika da se osigura da se uvek na odgovarajući način upravlja sa svim rizicima za bezbednost informacija. Važan deo procesa upravljanja rizikom je ocenjivanje rizika za bezbednost informacija. Potrebno je da se shvate zahtevi za bezbednost poslovnih informacija i rizici za poslovnu imovinu organizacije.
Izbegavanje rizika
  • Upustvo za menadžment rizikom za sisteme informacione tehnologije (NIST-USA) Ocenjivanje rizika je prvi proces u metodologiji menadžmenta rizika. Organizacije koriste ocenjivanje rizika radi utvrđivanja širine potencijalne pretnje i rizika koji se vezuje za sistem IT, širom životnog ciklusa razvoja sistema. Izlazni rezultati procesa pomažu da se identifikuju prikladne kontrole za smanjenje ili eliminisanje rizika tokom procesa ublažavanja rizika. Rizik je funkcija verovatnoće datog izvora pretnji koji primenjuje određenu potencijalnu ranjivost, i rezultirajući uticaj toga je negativan događaj za organizaciju. Moraju da se analiziraju pretnje sistemu IT radi utvrđivanja verovatnoće budućeg negativnog događaja u konjukciji sa potencijalnim ranjivostima i kontrolama sistema IT u mestu.