Please enable JavaScript.
Coggle requires JavaScript to display documents.
ISO/IEC 27005 ч.3 - Coggle Diagram
ISO/IEC 27005 ч.3
9 ОБРОБКА РИЗИКІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
9.1 Загальний опис обробки ризику
Вхідні дані: Перелік ризиків з призначеними пріоритетами відповідно з критеріями оцінювання ризику щодо сценаріїв інцидентів, які призводять до цих ризиків.
Дія: Повинні бути обрані засоби контролю для зменшення, збереження,
уникнення або перенесення ризиків і визначення план обробки ризиків
9.2 Зниження ризику
Дія: Рівень ризику повинен бути знижений за допомогою вибору засобу контролю так, щоб залишковий ризик міг бути повторно оцінений як контролю так, щоб залишковий ризик міг бути повторно оцінений як
9.3 Збереження ризику
Дія: Рішення зберегти ризик, не роблячи подальшого дії, слід приймати
в залежності від оцінювання ризику.
9.4 Запобігання ризику
Дія: Слід відмовитися від діяльності або умови, що викликає
конкретний ризик
9.5 Перенесення ризику
Дія: Ризик повинен бути переданий (перенесений) тій стороні, яка може найбільш ефективно здійснювати менеджмент конкретного ризику, в залежності від оцінювання ризику.
10 ПРИЙНЯТТЯ РИЗИКУ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Вхідні дані: План обробки ризику і оцінка залишкового ризику є
об'єктом рішення керівництва організації про прийняття ризику
Дія: Повинно бути прийнято і формально зареєстровано рішення про прийнятті ризиків і відповідальності за це рішення [це пов'язано з ISO/IEC 27001, 4.2.1 h)].
12 МОНІТОРИНГ ТА ПЕРЕГЛЯД РИЗИКУ ІНФОРМАЦІЙНОЇ
БЕЗПЕКИ
12.1 Моніторинг та перегляд факторів ризику
Вхідні дані: Вся інформація про ризики, отримана в результаті дій по
менеджменту ризику
Дія: Ризики і їх фактори (тобто цінність активів, вплив, загрози, вразливості, ймовірність виникнення) повинні піддаватися моніторингу та перегляду з метою ідентифікації будь-яких змін в контексті організації на ранній стадії, і підтримувати перегляд всієї картини ризику
12.2 Моніторинг, аналіз факторів ризику
Вхідні дані: Вся інформація про ризики, отримана в результаті дій по
менеджменту ризику
Дія: Процес ризик-менеджменту інформаційної безпеки повинен постійно піддаватися моніторингу, перегляду та поліпшення необхідним і відповідним чином.
11 ОБМІН ІНФОРМАЦІЄЮ ЩОДО РИЗИКУ ІНФОРМАЦІЙНОЇ
БЕЗПЕКИ
Вхідні дані: Вся інформація про ризики, отримана в результаті дій по
менеджменту ризику .
Дія: Приймаючі рішення особи та інші причетні сторони повинні
обмінюватися і/або спільно використовувати інформацію про ризик