|
Wytyczne dotyczące zarządzania ryzykiem bezpieczeństwa informacji zostały opisane w kolejnych siedmiu rozdziałach standardu:
-
6. Overview of the information security risk management proces - wytyczne dotyczące procesu zarządzania ryzykiem bezpieczeństwa informacji; kolejność podejmowania; opis poszczególnych elementów procesu zarządzania ryzykiem (szacowanie, postępowanie i akceptacja ryzyka)
-
7. Context establishment - wytyczne dotyczące określenia i ustanowienia warunków dla procesu zarządzania ryzykiem, które zawierają: a) podstawowe kryteria:
- oceny ryzyka (cele strategicznych, negatywne konsekwencje na wizerunek i reputację),
- określania wpływu (ważność informacji, wymogi prawa, utratę atrybutów bezpieczeństwa, straty finansowe, utratę wizerunku),
- akceptacji ryzyka,
- określenie koniecznych zasobów w procesie zarządzania (szacowanie ryzyka, plan postępowania z ryzykiem),
b) zakres i granice procesu zarządzania ryzykiem
c) strukturę organizacyjną ze zdefiniowanymi rolami oraz zakresami obowiązków w procesie zarządzania ryzykiem
-
8. Information security risk assessment - wytyczne w zakresie szacowania ryzyka bezpieczeństwa informacji zawierające:
- analizę ryzyka (identyfikacja aktywów, zagrożeń, zabezpieczeń, podatności, konsekwencji),
- ocenę ryzyka.
-
9. Information security risk treatment - wytyczne w zakresie postępowania z ryzykiem (redukcja, unikanie, transfer ryzyka, akceptacja).
-
10. Information security risk acceptance - wytyczne w zakresie akceptacji ryzyk.
-
11. Information security risk communication - wytyczne dotyczące informowania zainteresowanych stron na temat ryzyk.
-
12. Information security risk monitoring and review - wytyczne dotyczace monitorowania i przeglądania ryzyk i ich czynników (wartości aktywów, wpływu ryzyk, zagrożeń, podatności, prawdopodobieństwa wystąpienia)
|
|
|
|
|
Norma ISO 27005
