Parametri za procjenu rizika pomoću ISO 27001 standardu

November 29, 2022

Organizacije svih vrsta i veličina prikupljaju, obrađuju i pohranjuju različite informacije koje su važne kako za njih, tako i za njihove klijente. Zaštita osjetljivih podataka od namjernih ili nenamjernih prijetnji od ključne je važnosti. Upravo zato je stvorena međunarodna norma ISO 27001 koja ima zadaću da povjerljive informacije budu sigurne.

ISO/IEC 27001 je međunarodna norma koja detaljno opisuje zahtjeve za usvajanje sustava upravljanja  informacijskom sigurnosti. Procjena i upravljanje rizikom sastavni je dio standarda ISO/IEC 27001 jer pomaže organizacijama da utvrde, analiziraju i procijene potencijalne ranjivosti u svojim procesima informacijske sigurnosti. U nastavku su opisani učinkoviti koraci za procjenu rizika.

1) Okvir za procjenu rizika

Identifikacija i procjena rizika daje dosljedne i usporedive rezultate. Kako bi organizacija uspostavila snažan okvir za procjenu rizika, potrebno je uključiti sljedeće parametre: ljestvica rizika koja se temelji na vjerojatnosti rizika i razini utjecaja na organizaciju, sklonost rizika koja određuje razinu rizika koju organizacija može podnijeti, rizik na temelju scenarija te procjena rizika na temelju kritične imovine.

2) Identificiranje rizika

Identifikacija rizika najkritičniji je dio procjene rizika jer uključuje određivanje kritične imovine koja zahtjeva zaštitu od mogućih prijetnji koje mogu značajno utjecati na ranjivost u poslovnim operacijama. Pristup temeljen na imovini traži da organizacija provede procjenu rizika kako bi se utvrdile slabe točke u organizaciji te njihov utjecaj na poslovanje. Ovakav proces procjene rizika treba biti stalan i dosljedan unutar svake organizacije.

3) Analiza rizika

Analiza uključuje razumijevanje i određivanje načina na koji se rizik može dogoditi i utjecati na poslovanje. Analiza isto tako podrazumijeva načine na koje se potencijalni rizici mogu iskoristiti na imovinu interno ili eksterno.

4) Procjena rizika

Identificirani rizici se trebaju procijeniti i ocijeniti na temelju njihove ozbiljnosti utjecaja na poslovanje. Ovakva vrsta procjene treba sadržavati sve bitne elemente koji su ključni za sigurnost poslovanja organizacije. Na temelju procjene, organizacija treba odrediti prioritetne rizike i krenuti u postupak njihovog rješavanja.

5) Upravljanje rizikom i mogućnost liječenja

Nakon identifikacije, rangiranja i procijene rizika, organizacija treba donijeti odluku o načinima ublažavanja rizika. Ukoliko nema unaprijed definiranih kontrola, potrebno je provesti hitne kontrolne radnje i uspostaviti proceduralne aktivnosti za buduće potencijalne opasnosti poslovanja.

6) Pregled i praćenje

Svaka organizacija mora dosljedno pregledavati, ažurirati i poboljšavati sustav upravljanja sigurnošću informacija kako bi osigurala učinkovitost postavljenih kontrola. Procjena rizika se treba ponavljati periodično kako bi organizacija u svakom trenutku bila spremna na potencijalne opasnosti.

Procjena rizika je proces koji nikad ne prestaje, stoga nas kontaktirajte i zaštite svoje povjerljive informacije dok nije prekasno.

0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *

Ključne razlike između inspekcije i kontrole kvalitete

Ključne razlike između inspekcije i kontrole kvalitete

U svijetu proizvodnje i proizvodnje najvažnije je osigurati kvalitetu proizvoda. Dva ključna procesa koji pomažu u postizanju ovog cilja su inspekcija i kontrola kvalitete. Iako se ti izrazi često koriste kao sinonimi, oni imaju različita značenja i svrhe. U ovom...

Moć sustava upravljanja kvalitetom

Moć sustava upravljanja kvalitetom

U poslovnom svijetu kvaliteta je vitalna komponenta uspjeha. Od razvoja proizvoda do zadovoljstva kupaca, održavanje visokih standarda je ključno. Kao što je Aristotel slavno rekao: “Kvaliteta nije čin; to je navika.” Ova bezvremenska mudrost vrijedi za organizacije...

Što je ISO 31000?

Što je ISO 31000?

ISO 31000 standard za upravljanje rizicima postaje sve važniji za organizacije diljem svijeta. Ovaj standard razvijen je s ciljem kako bi organizacijama pomogao u identificiranju, procjeni, upravljanju i praćenju rizika, što je ključno za uspješno poslovanje u...