Управљање ризиком информацијске сигурности укључује процјену могућег ризика и подузимање корака за његово ублажавање, као и праћење резултата. Свака процена подразумева дефинисање природе ризика и одређивање на који начин он угрожава безбедност информационог система. Ово директно доводи до ублажавања ризика као што су системи надоградње како би се смањила вероватноћа процењеног ризика. Коначно, управљање ризицима укључује континуирани мониторинг система како би се видјело да ли су интервенције за ублажавање ризика произвеле жељене резултате.
Основе за самосталну одбрану
Организација мора осигурати да има способности да оствари своју мисију. Мора идентификовати ризике који угрожавају те способности и процијенити заштитне мјере, имајући у виду економске и друге трошкове тих мјера. Један ризик да се већина модерних организација суочи је угрожена безбедност информација. Организација мора да утврди где би угрожена безбедност информација утицала на њене способности да оствари своју мисију и да предузме одговарајуће корективне мере у оквиру успостављеног буџетског оквира.
Процена ризика
Када организација утврди да слабости у информацијској сигурности представљају ризик за њене способности, она мора темељито испитати своје ИТ системе, операције, процедуре и вањске интеракције како би сазнала гдје су ризици. То значи идентификовање могућих пријетњи, рањивости на те пријетње, могућих протумјера, утјецаја и вјеројатности. Ризици се могу класификовати као озбиљност у зависности од утицаја и вероватноће. Важност процјене је да омогућава идентификацију високих ризика које треба ублажити.
Ублажавање ризика
Ублажавање значи смањење или елиминисање ризика идентификованих проценом. Стратегије за рјешавање ризика укључују прихваћање ризика, усвајање мјера које ће смањити ризик, избјегавање ризика уклањањем узрока, ограничавање ризика постављањем контрола, или преношење ризика на добављача, купца или осигуравајуће друштво. Која је стратегија прикладна одређена је у којој мјери ризик угрожава способност организације да испуни своју мисију и трошкове имплементације стратегије. Структурирано ублажавање је важно као оквир за управљање ризиком.
Евалуација и мониторинг
По завршетку процјене и ублажавања, организациона јединица мора процијенити тренутне резултате и континуирано пратити систем. Овај процес почиње процјеном ефеката процјене и ублажавања, укључујући постављање мјерила за напредак. Наставља се са евалуацијом ефеката измена и допуна информационих система. Коначно, врши континуирано праћење перформанси информационе безбедности, са циљем да се идентификују области које се могу проценити за додатни ризик. Евалуација и мониторинг су важни за одређивање колико успјешно је организациона јединица управљала својим ризиком информацијске сигурности.