Zvládání rizik
H Řízení rizik Řízení rizik podle norem ISO Stanovení kontextu Identifikace a hodnocení aktiv Identifikace hrozeb a zranitelností Analýza rizik Zvládání rizik
Zvládání rizika, nebo podle terminologie normy ISO 27005 ošetření rizik bezpečnosti informací, je opět znázorněno na Obrázku č. 15 a v něm vyznačené sekci Zvládání rizik. Účinnost zvládání rizik je v obrázku naznačeno bodem B. Tento bod označuje na fázi procesu, který hodnotí, zda jsou přijatá opatření uspokojivá a zbytková rizika jsou akceptovatelná, což vychází z návrhu ošetření rizik. Možnosti ošetření rizika zahrnují (IOS 27005, 2013):
▪ Modifikaci rizik – přijaté změny v opatření nebo zavedení nových opatření má vést k tomu, že úroveň rizika bude přehodnoceno jako akceptovatelné. ▪ Podstoupení rizik – v tomto případě přijímá organizace rozhodnutí, že úroveň rizika je přijatelná a je splněno kritérium akceptace rizika. ▪ Sdílení rizik – sdílením rizika lze ve spolupráci s jinou stranou dosáhnout změny rizika. Změna rizika může znamenat snížení úrovně rizika, ale také vnik nových rizik a zvládání tohoto rizika může vyžadovat další ošetření rizik. Příkladem sdílení rizik je dohoda mezi obchodními partnery nebo pojištěním. ▪ Vyhnutí se riziku – tento přístup vyžaduje identifikaci podmínky, která umožní vyhnout se riziku například ukončením vysoce rizikových procesů nebo odstěhováním se z lokality, která je svým umístěním nevhodná pro bezproblémový chod organizace.