Coggle requires JavaScript to display documents.
оцінку можливих втрат через використання або залежності від технології АІС;
аналіз потенційних загроз і вразливих місць системи, що впливають на оцінки можливих втрат;
вибір оптимальних за ціною заходів і засобів захисту, які скорочують ризик до прийнятного рівня.
ISO Guide 73:2002 "Risk management" на його основі ГОСТ Р 51897- 2002 - це всього лише «терміни та визначення».
BSI PD 3002 "Guide to BS 7799 risk assessment" - послужила основою для стандарту 27005 (фактично увійшла більша його частина).
NIST SP 800-30 "Risk Management Guide for Information Technology Systems" - один з найкорисніших в цій галузі. Він докладно описує сам процес аналізу ризиків і надає основні рекомендації з управління ризиками.
Австралійсько-Новозеландський AS/NZS 4360:2004 ($ 99.94 NZD) і супутній документ HB 436, "Risk Management Guidelines - Companion to AS/NZS 4360:2004" ($ 99.94 NZD).
Ризики ІБ ідентифіковані.
Ризики ІБ оцінені в термінах наслідків для бізнесу та ймовірності їх появи.
Вірогідність і наслідки цих ризиків, повідомлені та сприйняті.
Пріоритет обробки (зниження) ризиків встановлені і дії щодо зниження ризиків були здійснені
Причетні сторони (Stakeholder) залучаються при прийнятті рішень з управління ризиками. Вони завжди інформуються про статус управління ризиками.
Ефективність обробки (зниження) ризиків відстежується.
Процес управління ризиками так само моніториться і регулярно переглядається.
Збирається інформація для поліпшення управління ризиками.
Менеджери та інші співробітники навчені необхідним діям щодо зниження ризиків і розуміють свою роль в цьому.
Для початку - «ініціювання проекту» тобто Context Establishment (Установка контексту).
Потім відбувається етап Risk Assessment (Оцінка ризику).
Потім Risk Treatment (обробка ризиків) - який часто ще називають Mitigation (зниження).
Нарешті, Risk Acceptance (прийняття ризиків).