Please enable JavaScript.
Coggle requires JavaScript to display documents.
MM #9 BS ISO/IEC 27005: 2011 - Coggle Diagram
MM #9 BS ISO/IEC 27005: 2011
ВИЗНАЧЕННЯ
Наслідки (consequence):
результат події, що впливає на цілі.
Менеджмент (control):
міра, яка змінює ризик
Подія (event):
Виникнення або зміна певного набору обставин
Внутрішній контекст (internal context): Внутрішнє середовище, в якій організація прагне до досягнення своїх цілей
Рівень ризику
Можливість (likelihood):
Імовірність настання деякої події
Залишковий ризик (residual risk):
Ризик, що зберігається після обробки ризику
Ризик (risk):
Вплив невизначеності на цілі.
Аналіз ризику (risk analysis):
Процес розуміння походження ризику і визначення рівня ризику
Оцінка ризику (risk assessment):
Загальний процес ідентифікації ризику
Обмін інформацією та консультування щодо ризику (risk
communication and consultation)
Критерії ризику (risk criteria):
Аспекти, відповідно до яких здійснюють оцінювання ризику
Оцінювання ризику (risk evaluation):
Процес порівняння результатів аналізу ризику
Ідентифікація ризику (risk identification):
Процес виявлення, дослідження та опису ризиків.
Менеджмент ризику Скоординована діяльність з керівництва та управління організацією
щодо ризику
Обробка ризику (risk treatment):
Процес зміни ризику
Зацікавлена сторона (stakeholder):
Особа або організація, які можуть впливати, піддаватися впливу
ВСТАНОВЛЕННЯ КОНТЕКСТУ
Загальний аналіз
Основні критерії
Критерії впливу
Критерії прийняття ризику
Критерії оцінки ризику
Область застосування і границі
загальний підхід до менеджменту ризику організації;
інформаційні активи;
політика інформаційної безпеки організації;
місце розташування організації і географічні характеристики;
правові, регулюючі та договірні вимоги, що застосовуються до
організації;
обмеження, що впливають на організацію;
функції і структура організації;
очікування причетних сторін;
процеси бізнесу;
соціокультурне середовище
стратегічні цілі бізнесу організації, стратегії і політики;
інтерфейси (тобто обмін інформацією з середовищем)
Організаційна структура менеджменту ризику інформаційної
безпеки
визначення ролей і обов'язків всіх сторін, як внутрішніх, так і
зовнішніх по відношенню до організації;
встановлення необхідних взаємозв'язків між організацією і причетними сторонами, а також інтерфейсів для організаційних функцій менеджменту ризиків високого рівня (наприклад, менеджмент операційного ризику), а також інтерфейсів з іншими значущими проектами і видами діяльності;
ідентифікація і аналіз причетних сторін;
визначення шляхів ескалації прийняття рішень;
розробка процесу ризик-менеджменту інформаційної безпеки,
придатного для цієї організації;
визначення, які підлягають ведення документи потребують
ведення.
ОГЛЯД ПРОЦЕСУ МЕНЕДЖМЕНТУ РИЗИКІВ
ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
встановлення контексту
оцінка ризику
обробка ризику
прийняття ризику
обмін інформацією щодо ризику
моніторинг та перегляд ризику