Підготовка до програми по управлінню ризиками
Вивчіть основні етапи управління ризиками і прийміть відповідні заходи контролю або контрзаходи, щоб зменшити ймовірність їх появи. Зниження небезпеки повинно бути схвалено відповідним рівнем управління. Наприклад, ризик, пов’язаний з іміджем організації, повинен прийматися вищим керівництвом, тоді як ІТ-керівництво буде мати повноваження приймати рішення про загрозу комп’ютерного вірусу.
План управління ризиками повинен пропонувати відповідні та ефективні заходи безпеки для управління ризиками. Наприклад, спостерігається високий ризик комп’ютерних вірусів може бути зменшений шляхом придбання і впровадження антивірусного програмного забезпечення. Хороший план управління ризиками повинен містити графік здійснення контролю та відповідальних осіб за ці дії.
Згідно ISO / IEC 27001, дії, зроблені відразу після завершення оцінки ризику, полягають у підготовці плану, який повинен документувати рішення про те, як звести його до мінімуму. Зниження ризиків часто означає вибір заходів безпеки, які повинні бути задокументовані у Заяві про застосування, із зазначенням конкретних методів і засобів, які були обрані і чому. Для ефективного управління ризиками в організації треба виконувати всі кроки в послідовності, запропонованої нижче.
