Publikováno: 25.4.2022
Řízení rizik v oblasti IT slouží k minimalizaci negativních vlivů na IT projekty. Smyslem řízení je předejít nechtěným jevům nebo situacím a vyhnout se krizovému řízení či dokonce škodám.
Řízení rizik s dopadem na kybernetickou bezpečnost se zaměřuje na ochranu dat v informačních systémech před krádeží, zneužitím, neautorizovanou změnou nebo nedostupností.
Při plánování projektu se vytvoří seznam rizik a definují způsoby, jak tento seznam aktualizovat v reakci na možné vnější vlivy.
Začíná identifikací a zhodnocením informačních aktiv (dat, systémů, lidských zdrojů atp.). Každému riziku je přisouzena pravděpodobnost výskytu a závažnost dopadu.
Spočívá v rozboru konkrétních hrozeb na jednotlivá aktiva. Významnost se vyčísluje jako součin pravděpodobnosti a dopadu. Méně závažná rizika se z dalšího zpracování vylučují. Významná rizika jsou zaevidována v katalogu rizik. Ke každému riziku je přiřazen vlastník, který zodpovídá za jeho monitorování.
Výběr vhodných reakcí na riziko od jeho eliminace (minimalizace dopadu či pravděpodobnosti) po akceptování.
Zavedení praktických opatření k eliminaci výskytu rizik nebo k ochraně před nepřijatelnými dopady.
Systematické sledování rizik a účinnosti opatření k jejich zvládnutí. Zodpovídá vlastník rizika.