Řízení rizik

Řízení rizik v oblasti IT slouží k minimalizaci negativních vlivů na IT projekty. Smyslem řízení je předejít nechtěným jevům nebo situacím a vyhnout se krizovému řízení či dokonce škodám.

Řízení rizik s dopadem na kybernetickou bezpečnost se zaměřuje na ochranu dat v informačních systémech před krádeží, zneužitím, neautorizovanou změnou nebo nedostupností.

Řízení sestává z šesti fází:

Identifikace rizik

Při plánování projektu se vytvoří seznam rizik a definují způsoby, jak tento seznam aktualizovat v reakci na možné vnější vlivy.

Analýza rizik

Začíná identifikací a zhodnocením informačních aktiv (dat, systémů, lidských zdrojů atp.). Každému riziku je přisouzena pravděpodobnost výskytu a závažnost dopadu.

Hodnocení rizik

Spočívá v rozboru konkrétních hrozeb na jednotlivá aktiva. Významnost se vyčísluje jako součin pravděpodobnosti a dopadu. Méně závažná rizika se z dalšího zpracování vylučují. Významná rizika jsou zaevidována v katalogu rizik. Ke každému riziku je přiřazen vlastník, který zodpovídá za jeho monitorování.

Ošetření rizik

Výběr vhodných reakcí na riziko od jeho eliminace (minimalizace dopadu či pravděpodobnosti) po akceptování.

Zvládnutí rizik

Zavedení praktických opatření k eliminaci výskytu rizik nebo k ochraně před nepřijatelnými dopady.

Monitoring rizik

Systematické sledování rizik a účinnosti opatření k jejich zvládnutí. Zodpovídá vlastník rizika.