Identifikace a hodnocení aktiv
H Řízení rizik Řízení rizik podle norem ISO Stanovení kontextu Identifikace a hodnocení aktiv Identifikace hrozeb a zranitelností Analýza rizik Zvládání rizik
Aktivem je vše, co má pro organizaci nějakou hodnotu a působením hrozeb může být hodnota aktiva snížena. Rozdělení aktiv může být členěno podle toho, jestli mají hmotnou či nehmotnou podobu. Hmotná aktiva jsou například hardware nebo software, nehmotná aktiva představují například informace či know-how (Čermák, 2009). Norma ISO 27005 dělí aktiva na primární a podpůrná (na ně se primární aktiva spoléhají). Primární aktiva jsou obchodní procesy a činnosti a informace, podpůrná aktiva pak jsou hardware, software, sítě, pracovníci, lokalita a další. Pro potřeby řízení rizik je třeba identifikovat všechny aktiva a zařadit je do registru, který obsahuje jejich popis a vlastnosti. Každé aktivum musí mít přiděleného právě jednoho vlastníka. Na identifikaci aktiv navazuje proces ohodnocení aktiv.
Hodnocení využívá škály, které na základě určujících kritérií stanoví hodnotu aktiv. Hodnota aktiva může být stanovena například finančním vyjádřením, nebo muže být nějakou kvalitativní formou – stupnicí, která například zařadí aktiva podle hodnoty. Stupnice může třídit hodnoty od velmi nízké po velmi vysokou. Hodnotu aktiva ovlivňuje také závislost na procesech nebo jiných aktivech. Rozsahy stupnic, stanovení počtu úrovní a jejich vyjádření závisí na specifických potřebách. Větší počet stupňů umožňuje jemnější zařazování hodnot aktiv, ale také to může přiřazování hodnot komplikovat. Použití kvalitativních nebo kvantitativních stupnic vychází z rozhodnutí organizace, které stanoví, jakou stupnici budou k hodnocení aktiv používat, případně jestli budou využívat obě. Výstupem řízení aktiv je seznam aktiv a jejich hodnot vztahující se k vyzrazení (zachování důvěrnosti), modifikaci (zachování integrity, autentičnosti, nepopiratelnosti a odpovědnosti), nedostupnosti a destrukci (zachování dostupnosti a spolehlivosti) a nákladům na výměnu (ISO 27005, 2013, s. 41). Při hodnocení aktiva se podle (Smejkal, Rais, 2013) berou v úvahu:
▪ pořizovací náklady či jiná hodnota aktiva,
▪ důležitost aktiva pro existence či chování subjektu,
▪ náklady na překlenutí případné škody na aktivu,
▪ rychlost odstranění případné škody na aktivu,
▪ jiná hlediska (mohou být specifická případ od případu).