Řízení rizik
Publikováno: 25.4.2022
Řízení rizik v oblasti IT slouží k minimalizaci negativních vlivů na IT projekty. Smyslem řízení je předejít nechtěným jevům nebo situacím a vyhnout se krizovému řízení či dokonce škodám.
Řízení rizik s dopadem na kybernetickou bezpečnost se zaměřuje na ochranu dat v informačních systémech před krádeží, zneužitím, neautorizovanou změnou nebo nedostupností.
Řízení sestává z šesti fází:
Identifikace rizik
Při plánování projektu se vytvoří seznam rizik a definují způsoby, jak tento seznam aktualizovat v reakci na možné vnější vlivy.
Analýza rizik
Začíná identifikací a zhodnocením informačních aktiv (dat, systémů, lidských zdrojů atp.). Každému riziku je přisouzena pravděpodobnost výskytu a závažnost dopadu.
Hodnocení rizik
Spočívá v rozboru konkrétních hrozeb na jednotlivá aktiva. Významnost se vyčísluje jako součin pravděpodobnosti a dopadu. Méně závažná rizika se z dalšího zpracování vylučují. Významná rizika jsou zaevidována v katalogu rizik. Ke každému riziku je přiřazen vlastník, který zodpovídá za jeho monitorování.
Ošetření rizik
Výběr vhodných reakcí na riziko od jeho eliminace (minimalizace dopadu či pravděpodobnosti) po akceptování.
Zvládnutí rizik
Zavedení praktických opatření k eliminaci výskytu rizik nebo k ochraně před nepřijatelnými dopady.
Monitoring rizik
Systematické sledování rizik a účinnosti opatření k jejich zvládnutí. Zodpovídá vlastník rizika.