Riska analīzes process - solis pa solim
Kā veikt informācijas drošības risku analīzi atbilstoši ISO 27005.
SO/IEC 27005:2022 nosaka strukturētu pieeju informācijas drošības risku pārvaldībai - risku identificēšanai, novērtēšanai, apstrādei un uzraudzībai.
- Konteksta noteikšana
Definē biznesa mērķus, atbilstības prasības, riska kritērijus un riska toleranci. - Risku identifikācija
Nosaka aktīvus, draudus un ievainojamības, izmantojot principu: aktīvs – drauds – ievainojamība. - Riska analīze
Novērtē ietekmi un iespējamību kvalitatīvi, piemēram, Low / Medium / High, vai kvantitatīvi, piemēram, ALE = SLE × ARO. - Risku izvērtēšana
Salīdzina risku līmeni ar organizācijas riska toleranci un nosaka prioritātes. - Risku apstrāde
Izvēlas stratēģiju: samazināt, pārnest, pieņemt vai izvairīties no riska. - Uzraudzība un pārskatīšana
Regulāri pārskata riskus un kontroles, īpaši pēc būtiskām izmaiņām organizācijā vai IT vidē.