Zarządzanie ryzykiem w bezpieczeństwie informacji

Podobne dokumenty
Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Zarządzanie ryzykiem w bezpieczeostwie IT

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Ryzyko w świetle nowych norm ISO 9001:2015 i 14001:2015

Zarządzanie projektami a zarządzanie ryzykiem

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Maciej Byczkowski ENSI 2017 ENSI 2017

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin

Krzysztof Świtała WPiA UKSW

Procedura zarządzania ryzykiem w Urzędzie Gminy Damasławek

Zarządzenie nr 116/2012 Burmistrza Karczewa z dnia 21 sierpnia 2012 roku

Procedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku

Imed El Fray Włodzimierz Chocianowicz

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

POLITYKA ZARZĄDZANIA RYZYKIEM

Zarządzenie Nr 60/2011/2012 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 2 kwietnia 2012 r.

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

Zarządzenie Nr 18/2011 Rektora Państwowej Wyższej Szkoły Zawodowej w Koninie z dnia 29 marca 2011 r.

Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw

Reforma ochrony danych osobowych RODO/GDPR

Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Wstęp 1. Misja i cele Zespołu Szkół Integracyjnych w Siemianowicach Śląskich 2

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

ZASADY ZARZĄDZANIA RYZYKIEM. Rozdział I Postanowienia ogólne

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM

P O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

Zarządzanie ryzykiem teoria i praktyka. Ewa Szczepańska Centrum Projektów Informatycznych Warszawa, dnia 31 stycznia 2012 r.

ZASADY POLITYKI ZARZĄDZANIA RYZYKIEM W AKADEMII PEDAGOGIKI SPECJALNEJ IM. MARII GRZEGORZEWSKIEJ.

Zdrowe podejście do informacji

Zarządzenie wewnętrzne Nr 19/2013 Burmistrza Miasta Środa Wielkopolska z dnia 26 września 2013 r.

SKZ System Kontroli Zarządczej

Zarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r.

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

POLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I. Postanowienia ogólne

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Polityka zarządzania ryzykiem w Uniwersytecie Mikołaja Kopernika w Toruniu

Dyrektora Gminnego Zespołu Szkół w Ozimku

ZARZĄDZENIE nr 32/2015 r. Dyrektora Zespołu Szkół Ogólnokształcących nr 2 im. Króla Jana III Sobieskiego w Legionowie z dnia 23 kwietnia 2015 r.

System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku

Procedura zarządzania ryzykiem w Urzędzie Miejskim w Radomiu

SYSTEM ZARZĄDZANIA RYZYKIEM W DZIAŁALNOŚCI POLITECHNIKI WARSZAWSKIEJ FILII w PŁOCKU

Szkolenie otwarte 2016 r.

REGULAMIN ZARZĄDZANIA RYZYKIEM. w Sądzie Okręgowym w Krakowie

BAKER TILLY POLAND CONSULTING

Właściwe środowisko wewnętrzne w sposób zasadniczy wpływa na jakość kontroli zarządczej.

System antyfraudowy w praktyce. marcin zastawa wiceprezes zarządu. Warszawa, października 2006r.

ISO 9001:2015 przegląd wymagań

Kryteria oceny Systemu Kontroli Zarządczej

ZARZĄDZANIE RYZYKIEM

Procedura zarządzania. w Sępólnie Krajeńskim z siedzibą w Więcborku;

ROLA KADRY ZARZĄDZAJĄCEJ W KSZTAŁTOWANIU BEZPIECZEŃSTWA PRACY. dr inż. Zofia Pawłowska

Ryzyko i zarządzanie ryzykiem w projektach

POLITYKA ZARZĄDZANIA RYZYKIEM

KONTROLA ZARZĄDCZA. Ustawa z dnia 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (Dz. U. z 2013 r. poz.

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

OCENA RYZYKA ZAWODOWEGO. dr inż. Zofia Pawłowska

Szkolenie Stowarzyszenia Polskie Forum ISO Zmiany w normie ISO i ich konsekwencje dla organizacji Warszawa,

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Procedura zarządzania ryzykiem w Państwowej WyŜszej Szkole Zawodowej w Elblągu

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Standardy kontroli zarządczej

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W SIEMIATYCZACH

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Procedura zarządzania ryzykiem w Urzędzie Miejskim w Radomiu

ISO/IEC ISO/IEC 27001:2005. opublikowana ISO/IEC 27001:2005. Plan prezentacji

PROCEDURY ZARZĄDZANIARYZYKIEM

ZARZĄDZENIE Nr 128/2012 BURMISTRZA ŻNINA. z dnia 25 września 2012 r.

ZARZĄDZENIE NR WÓJTA GMINY DOBROMIERZ. z dnia 10 wrzesień 2014 r.

Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu. Definicje

Bezpieczeństwo dziś i jutro Security InsideOut

System Kontroli Wewnętrznej w Banku BPH S.A.

Analiza ryzyka nawierzchni szynowej Iwona Karasiewicz

Zarządzanie ryzykiem jako kluczowy element kontroli zarządczej 2 marca 2013 r.

Regulamin zarządzania ryzykiem. Założenia ogólne

ZARZĄDZANIE RYZYKIEM

ania Zagrożeniom Korupcyjnym w Agencji Rezerw Materiałowych

Kompleksowe Przygotowanie do Egzaminu CISMP

Grzegorz Pieniążek Hubert Szczepaniuk

ISO w przedsiębiorstwie

SZCZEGÓŁOWY HARMONOGRAM KURSU

ZARZĄDZENIE NR 558/2010 PREZYDENTA MIASTA KIELCE. z dnia 31 grudnia 2010 r.

Transkrypt:

Zarządzanie ryzykiem w bezpieczeństwie informacji Systemy zarządzania bezpieczeństwem informacji zyskują coraz większą popularność, zarówno wśród jednostek administracji publicznej jak i firm z sektora prywatnego. Z jednej strony, wychodzące w ostatnim czasie przepisy prawa, takie jak Zarządzanie Ministra Sprawiedliwości w sprawie wprowadzenia Polityki Bezpieczeństwa Informacji czy Rozporządzenie Rady Ministrów w sprawie Krajowych Ramy Interoperacyjności, nakładają obowiązek stosowania wybranych mechanizmów bezpieczeństwa przez wskazane podmioty. Z drugiej strony, rosnąca świadomość w zakresie potrzeby ochrony informacji, szczególnie tych dotyczących know-how, danych osobowych czy też danych Klientów, przyczynia się podjęcia decyzji o wdrożeniu systemu zarządzania bezpieczeństwem informacji w organizacji. Bez względu na powód tej decyzji, niezbędnym elementem każdego systemu oraz polityki bezpieczeństwa jest wdrożenie procesu związanego z zarządzaniem ryzykiem bezpieczeństwa informacji. Proces zarządzania ryzykiem w kontekście bezpieczeństwa informacji jest zbliżony do innych modeli zarządzania ryzykiem realizowanych m.in. w ramach systemu zarządzania ryzykiem w oparciu o wymagania normy ISO 310000, COSO II, kontroli zarządczej, systemu przeciwdziałania zagrożeniom korupcyjnym, czy systemu zarządzania ciągłością działania. Jednak występują w nim pewne elementy charakterystyczne, które należy uwzględnić, na etapie wdrażania tego procesu lub w przypadku integracji podejścia do zarządzania ryzykiem wynikającym z ISO/IEC 27001 z innymi już funkcjonującym w organizacji wymaganiami. Szczegółowe zalecenia oraz rekomendacje dotyczące zarządzania ryzykiem w bezpieczeństwie informacji zostały opisane w normie ISO/IEC 27005. To, co istotne dla każdego podejścia do zarządzania ryzykiem, to traktowanie tego elementu, jako jednego z procesów organizacji, a nie pojedynczego etapu w ramach realizowanego projektu wdrożenia systemu lub polityki. O skutecznym zarządzaniu ryzykiem w organizacji można mówić tylko i wyłączenie w sytuacji, gdy podejmowane są działania związane z ciągłym monitorowaniem i analizą ryzyk oraz z reagowaniem na zmieniające się warunki otoczenia w kontekście identyfikacji nowych zagrożeń i podatności. Charakterystycznym aspektem zarządzania ryzykiem związanym z bezpieczeństwem informacji jest ukierunkowanie całego procesu na identyfikację czynników mających wpływ na ochronę informacji oraz aktywów, na których informacje te są przetwarzane. Jednak przed przystąpieniem do całego procesu szacowania ryzyka, należy określić wymagania, jakie organizacja zamierza spełnić w kontekście ochrony przetwarzanych informacji. W celu zidentyfikowania potrzeb organizacyjnych odnośnie wymogów bezpieczeństwa informacji oraz aby stworzyć efektywny system zarządzania bezpieczeństwem informacji, niezbędne jest wdrożenie systemowego podejścia do zarządzania ryzykiem bezpieczeństwa informacji. Należy pamiętać, aby podejście to było dopasowane do warunków panujących w organizacji oraz aby było jednakowe podczas całego procesu zarządzania ryzykiem.

Rysunek 1 Proces zarządzania ryzykiem w bezpieczeostwie informacji (na podstawie ISO/IEC 27005:2010) Proces zarządzania ryzykiem związanym z bezpieczeństwem informacji należy zaprojektować tak, aby zapewniał: identyfikowanie zagrożeń dla przetwarzanych informacji; oszacowanie ryzyk w kategoriach konsekwencji dla funkcjonowania biznesowego oraz prawdopodobieństwa wystąpienia zagrożeń; odpowiednie przedstawienie oraz zrozumienie prawdopodobieństwa oraz konsekwencji materializacji ryzyk; ustanowienie priorytetów dotyczących postępowania z ryzykiem; wprowadzanie priorytetowych działań mających na celu redukcję ryzyk; zaangażowanie kierownictwa podczas podejmowania decyzji związanych z zarządzaniem ryzykiem oraz bieżące informowanie go o postępach realizowanych działań minimalizujących; monitorowanie i regularne przeglądanie ryzyk oraz procesu zarządzania nimi; kształcenie pracowników w zakresie ryzyk oraz działań mających na celu obniżenie poziomu prawdopodobieństwa ich wystąpienia.

Podchodząc do analizy ryzyka, należy zapoznać się z definicjami wykorzystywanymi w normie ISO/IEC 27001, ponieważ w zależności od przyjętego standardu te same pojęcia mogą mieć nieco inne znaczenie. Podstawowym terminem jest definicja ryzyka, które w normie jest rozumiane jako Kombinacja prawdopodobieństwa i skutku wystąpienia danego negatywnego zdarzenia. Często uważane za tożsame są pojęcia analizy i szacowania ryzyka. Tymczasem norma definiuje analizę ryzyka jako systematyczne korzystanie z informacji w celu zidentyfikowania źródeł i parametrów ryzyka. Natomiast szacowanie ryzyka jest całościowym procesem analizy ryzyka i oceny ryzyka. Równie ważnym jest zapamiętanie definicji zasobu, jako istotnego, z punktu widzenia bezpieczeństwa informacji, elementu objętego ochroną, gdyż definicja ta podkreśla ukierunkowanie całego procesu zarządzania ryzykiem na ochronę przetwarzanych informacji. Proces zarządzania ryzykiem można podzielić na osiem głównych etapów, które układają się w zamkniętą pętlę. Pętla ta jest każdorazowo uruchamiana w przypadku wystąpienia istotnych zmian w organizacji mających wpływ na bezpieczeństwo informacji lub podczas wcześniej ustalanych terminów ponownego przeglądu ryzyk. Pierwszym krokiem jest wyznaczenie kontekstu strategicznego, organizacyjnego oraz związanego z zarządzaniem ryzykiem. Na tym etapie dokonuje się opracowania tzw. metodyki zarządzania ryzykiem, w której są określane wszystkie istotne zasady dotyczące całego prosu, w celu zapewnienia jego powtarzalności i zagwarantowania, że wyniki szacowania ryzyka są porównywalne na przestrzeni czasu. Na tym etapie określa się również odpowiedzialności w zakresie zarządzania ryzykiem, ze szczególnym uwzględnieniem roli kierownictwa w etapie określenia kryteriów akceptacji ryzyka. Kolejnym etapem jest identyfikacja ryzyk, która polega na określeniu przyczyn i sposobu materializacji niepożądanych incydentów. Obejmuje identyfikowanie aktywów, zagrożeń, podatności i potencjalnych następstw zidentyfikowanych incydentów. Podczas inwentaryzacji aktywów, należy pamiętać, że aktywa to nie tylko oprogramowanie i sprzęt, ale również ludzie, lokalizacje i technologie. Ważne, aby w trakcie identyfikacji do każdego aktywa przypisać jego właściciela. Kolejnym krokiem jest określenie zagrożeń dla zidentyfikowanych aktywów. Norma ISO/IEC 27005 identyfikuje różne przyczyny zagrożeń. Zagrożenia mogą się zmaterializować w wyniku działań celowych, przypadkowych lub pochodzenia środowiskowego. Do typowych zagrożeń uwzględnianych w procesie szacowania ryzyka można zaliczyć: pożar, zalanie, zanieczyszczenie, wypadek, zniszczenie urządzeń lub wyposażenia, kradzież, przeciążenie systemu, czy awarię zasilania. Do zmaterializowania zagrożeń przyczyniają się podatności, dlatego je również należy identyfikować, aby później móc podejmować odpowiednie decyzje na etapie estymacji ryzyka. Jako przykłady identyfikowanych podatności można wskazać: brak okresowej konserwacji urządzeń, brak szkoleń z zakresu bezpieczeństwa, umiejscowienie w pobliżu obszaru zagrożonego powodzią, brak mechanizmów uwierzytelniania. Następnym krokiem jest wykonanie estymacji ryzyka. Danymi wejściowymi do tego etapu są prawdopodobieństwo incydentu oraz jego konsekwencje. Analiza ta odbywa się w kontekście istniejących zabezpieczeń oraz prawdopodobieństwa zmaterializowania się incydentów. Podczas szacowania prawdopodobieństwa materializacji ryzyka należy wziąć pod uwagę: odpowiednie statystki prawdopodobieństwa zagrożeń,

w przypadku zagrożeń spowodowanych celowym działaniem motywy oraz możliwości, w przypadku zagrożeń spowodowanych przypadkowym działaniem czynniki środowiskowe oraz czynniki wpływające na błędy ludzkie oraz nieprawidłowe działanie urządzeń, podatności, funkcjonujące zabezpieczenia. Analizując skutki wystąpienia ryzyka należy rozważyć zarówno konsekwencje bezpośrednie, takie jak np. koszt wymiany lub naprawy utraconych aktywów, jak i konsekwencje pośrednie, będące trudne do oszacowania, do których można zaliczyć: utratę wizerunku oraz koszty utraconych możliwości. Ostatnim etapem szacowania ryzyka jest dokonanie jego oceny. W tym kroku dokonuje się porównania wyznaczonych poziomów ryzyka z ustalonymi kryteriami oraz nadaje się priorytety poszczególnym ryzykom. Nie jest to nic innego jak przyporządkowanie ryzyk do danej grupy. W zależności od przyjętej metodyki, zazwyczaj ryzyka są dzielone na niskie, średnie i wysokie. Wynikiem tego etapu powinna być lista ryzyk wytypowanych do podjęcia działań redukujących ich wartość do akceptowalnego poziomu. Uwzględniając kryteria oceny ryzyka, dla wyznaczonych ryzyk, należy określić odpowiednie postępowanie. Na etapie opracowaniu planu zarządzania ryzykiem, najczęściej przyjmuje się jedną z czterech możliwości. Najpowszechniejszą ze wszystkich strategii reagowania na ryzyko jest jego redukcja, czyli obniżenie poziomu ryzyka poprzez wybór zabezpieczeń w sposób pozwalający na zaakceptowanie ryzyka szczątkowego. W przypadku wdrażania systemu zarządzania bezpieczeństwem informacji zgodnego z ISO/IEC 27001, na tym etapie obowiązkowo należy rozważać zabezpieczenia z Załącznika A normy, ale organizacja może również wybrać zabezpieczenia spoza niego. Ważną kwestią jest, aby podczas wdrażania zabezpieczeń wziąć pod uwagę ograniczenia czasowe, finansowe, techniczne oraz organizacyjne. Drugim możliwym rozwiązanie jest przeniesienie ryzyka. Jest to opcja wybierana dla średnich i dużych wartości ryzyka. Najczęściej przeniesienie ryzyka polega na ubezpieczeniu się od jakiegoś zdarzenia lub scedowanie skutków ryzyka na kontrahenta (np. podwykonawcę). Inną opcją postępowanie z ryzykiem jest jego akceptacja, czyli świadoma decyzja osób zarządzających ryzykiem, by nie wprowadzać żadnych zmian w działaniu i procesach związanych z wystąpieniem danego niekorzystnego zjawiska oraz przyjęcie wszelkich konsekwencji wynikających z ewentualnego wystąpienia niekorzystnego zjawiska. Wybranie tej opcji, zgodnie z normą ISO/IEC 27001: 2005 wymaga, aby zaakceptowanie ryzyk, było przeprowadzone w sposób świadomy i obiektywny, przy założeniu, że jasno spełniają warunki wyznaczone w polityce organizacji oraz kryteria akceptowania ryzyk. Ostatnią możliwą strategią reagowania na ryzyko jest jego unikanie, które polega na modyfikacji działań w celu zlikwidowania lub zmniejszenia ryzyka. Przykładem może być zmiana lokalizacji na bezpieczną w przypadku, gdy obecny teren jest zagrożony klęskami żywiołowymi. Jest to rozwiązanie stosowane w przypadku, gdy zidentyfikowane ryzyka są zbyt wysokie lub koszt wdrożenia nie jest adekwatny do zysków.

Rysunek 2 Działanie postępowania z ryzykiem (na podstawie ISO/IEC 27005:2010) Po opracowaniu planów postępowania z ryzykiem, należy dokonać ponownej akceptacji tzw. ryzyk szczątkowych, czyli ryzyk z uwzględnienie zastosowanych mechanizmów ochrony. W przypadku, gdy szacowana wartość ryzyka nie jest satysfakcjonująca, należy zaplanować dodatkowe zabezpieczenia lub wybrać inną opcję postępowania z ryzykiem. Etap szacowania ryzyka może mieć wiele iteracji, przeprowadzanych do momentu spełnienia wcześniej przyjętych kryteriów akceptacji ryzyka. Stałym elementem procesu zarządzania ryzykiem jest informowanie uczestników procesu o aktualnym jego statusie. Informowanie to powinno zapewnić zrozumienie procesu zarządzania ryzykiem przez wszystkie osoby biorące w nim udział oraz przez inne strony zainteresowane. Ważne, aby każdy był świadomy swojej roli i wiedział, za jakie odpowiada zadania. Umożliwi to sprawną realizację działań związanych z identyfikacją, szacowaniem oraz wdrażaniem planów postępowania z ryzykiem. Równie ważnym elementem procesu, o którym nie można zapomnieć, jest monitorowanie i przegląd ryzyk. Monitorowanie powinno zapewnić, że wszystkie nowe ryzyka i ich czynniki zostaną zidentyfikowane w odpowiednim czasie, który umożliwi ich analizę i przyjęcie adekwatnego postępowania. Zalecane do monitorowania czynniki ryzyka obejmują m.in. informacje o nowych aktywach, zagrożeniach, podatnościach oraz incydentach związanych z bezpieczeństwem informacji. W przypadku zidentyfikowania zmiany jakiegokolwiek z czynników mających wpływ na ryzyko, powinno się dokonać ponownego przeglądu ryzyk oraz zaktualizowania ich wartości, jeżeli zostanie to uznane za zasadne. Poza przeglądem ryzyk rekomendowane jest monitorowanie i przeglądanie całego procesu zarządzania ryzykiem. Szczególnie w przypadku zmian organizacyjnych, wymagań biznesowych lub środowiska zewnętrznego, może się okazać, że obecnie przyjęta metodyka zarządzania ryzykiem będzie nie adekwatna i nieskuteczna. Dlatego aby nie dopuścić do takiej sytuacji, w regularnych odstępach czasu oraz po każdej istotnej zmianie, należy dokonać przeglądu procesu zarzadzania ryzykiem i rozważyć ewentualne możliwości jego usprawnienia. autor: Iga Stróżyk konsultant Departamentu Bezpieczeństwa i Usług IT w PBSG Sp. z o.o. Bibliografia: PN ISO/IEC 27001:2007 Systemy zarządzania bezpieczeństwem informacji. Wymagania. PN-ISO/IEC 27005:2010 Zarządzanie ryzykiem w bezpieczeństwie informacji Zarządzanie Ryzykiem Korporacyjnym - Zintegrowana Struktura Ramowa - COSO II, PIKW i PIB, Warszawa 2007

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres