Kybernetické bezpečnosti Řízení rizik podle norem ISO
H Řízení rizik Řízení rizik podle norem ISO Stanovení kontextu Identifikace a hodnocení aktiv Identifikace hrozeb a zranitelností Analýza rizik Zvládání rizik
Proces řízení rizik a jeho úspěšnost závisí na použitém rámci managementu rizik, který je má efektivně řídit. Atributem efektivního managementu rizik je neustálé zlepšování managementu rizik, ustanovení odpovědností za rizika, včetně způsobilosti řídit rizika, neustálá komunikace se všemi zainteresovanými stranami managementu rizik o úrovních rizika a opatřeních, integrace s řídícími procesy a zohledňování rizik při veškerém rozhodování v organizaci (ISO 31000, 2010).
Rámec managementu rizik, který je zobrazen na Obrázku č. 15, vyžaduje, aby vedení udělilo trvalý mandát pro zavedení procesu řízení rizik a jeho efektivní udržování a zachování. Rámec řízení rizik vyžaduje, aby návrh bral v úvahu vnitřní i vnější kontext organizace a všechny aspekty ovlivňující organizaci, a tak návrh odpovídal všem těmto okolnostem. Návrh rámce jasně stanoví cíle organizace a politiku řízení rizik, způsoby vnitřní a vnější komunikace, odpovědnosti, pravomoci a kompetence pro řízení rizik. Zohledňuje také, jaké zdroje budou pro průběh procesu řízení rizik potřeba. Implementace procesu managementu rizik uplatňuje plány řízení rizik jako součást všech procesů a postupů. Ve fázi monitorování a přezkoumání rámce je pomocí indikátorů měřena výkonnost řízení rizik, sledují se pokroky vzhledem k plánu nebo odchylky od plánu, ověřuje se, zda rámec odpovídá svému účelu a přístupu k rizikům a hodnotí se efektivnost rámce. Výstupy měření a přezkoumávání jsou podkladem pro zlepšování rámce řízení rizik (ISO 31000, 2010).
Přístup, který uplatňuje ISO 27005 pro řízení rizik, vychází z PDCA cyklu systému řízení bezpečnosti informací (viz Obrázek č. 9). Proces řízení rizik bezpečnosti informací a jeho propojení s ISMS zobrazuje Obrázek č. 15.
Řízení rizik bezpečnosti informací jsou koordinované činnosti k vedení a řízení organizace s ohledem na rizika (ISO 27005, 2013, s. 11). Účinný systém ISMS, odpovídající prostředí organizace, vyžaduje systematický přístup k identifikovaným potřebám v oblasti řízení rizika a měl by být v souladu bezpečností organizace jako celku, jeho částmi, jakýchkoliv informačních systémů a stávajících i plánovaných opatření. Řízení rizik by mělo přispět k tomu, aby (ISO 27005, 2013):
▪ byla provedena identifikace rizik,
▪ bylo provedeno posouzení rizik z hlediska jejich důsledků na činnosti organizace a pravděpodobnost jejich výskytu,
▪ byla pravděpodobnost a důsledky těchto rizik komunikovány a chápány,
▪ bylo při ošetření rizik stanoveno pořadí priorit,
▪ byla stanovena priorita u činností vedoucích k redukci výskytu rizik,
▪ byly do rozhodnutí o řízení rizik zapojeny i zainteresované strany, a aby o stavu řízení rizik byly stále informovány,
▪ byla sledována účinnost ošetření rizik,
▪ byla rizika a procesy ošetření rizik sledovány a pravidelně přezkoumávány,
▪ byly získávány informace ke zlepšení přístupu k řízení rizik,