Organizacije svih vrsta i veličina prikupljaju, obrađuju i pohranjuju različite informacije koje su važne kako za njih, tako i za njihove klijente. Zaštita osjetljivih podataka od namjernih ili nenamjernih prijetnji od ključne je važnosti. Upravo zato je stvorena međunarodna norma ISO 27001 koja ima zadaću da povjerljive informacije budu sigurne.

ISO/IEC 27001 je međunarodna norma koja detaljno opisuje zahtjeve za usvajanje sustava upravljanja  informacijskom sigurnosti. Procjena i upravljanje rizikom sastavni je dio standarda ISO/IEC 27001 jer pomaže organizacijama da utvrde, analiziraju i procijene potencijalne ranjivosti u svojim procesima informacijske sigurnosti. U nastavku su opisani učinkoviti koraci za procjenu rizika.

1) Okvir za procjenu rizika

Identifikacija i procjena rizika daje dosljedne i usporedive rezultate. Kako bi organizacija uspostavila snažan okvir za procjenu rizika, potrebno je uključiti sljedeće parametre: ljestvica rizika koja se temelji na vjerojatnosti rizika i razini utjecaja na organizaciju, sklonost rizika koja određuje razinu rizika koju organizacija može podnijeti, rizik na temelju scenarija te procjena rizika na temelju kritične imovine. 

2) Identificiranje rizika 

Identifikacija rizika najkritičniji je dio procjene rizika jer uključuje određivanje kritične imovine koja zahtjeva zaštitu od mogućih prijetnji koje mogu značajno utjecati na ranjivost u poslovnim operacijama. Pristup temeljen na imovini traži da organizacija provede procjenu rizika kako bi se utvrdile slabe točke u organizaciji te njihov utjecaj na poslovanje. Ovakav proces procjene rizika treba biti stalan i dosljedan unutar svake organizacije. 

3) Analiza rizika 

Analiza uključuje razumijevanje i određivanje načina na koji se rizik može dogoditi i utjecati na poslovanje. Analiza isto tako podrazumijeva načine na koje se potencijalni rizici mogu iskoristiti na imovinu interno ili eksterno. 

4) Procjena rizika

Identificirani rizici se trebaju procijeniti i ocijeniti na temelju njihove ozbiljnosti utjecaja na poslovanje. Ovakva vrsta procjene treba sadržavati sve bitne elemente koji su ključni za sigurnost poslovanja organizacije. Na temelju procjene, organizacija treba odrediti prioritetne rizike i krenuti u postupak njihovog rješavanja.

5) Upravljanje rizikom i mogućnost liječenja

Nakon identifikacije, rangiranja i procijene rizika, organizacija treba donijeti odluku o načinima ublažavanja rizika. Ukoliko nema unaprijed definiranih kontrola, potrebno je provesti hitne kontrolne radnje i uspostaviti proceduralne aktivnosti za buduće potencijalne opasnosti poslovanja. 

6) Pregled i praćenje

Svaka organizacija mora dosljedno pregledavati, ažurirati i poboljšavati sustav upravljanja sigurnošću informacija kako bi osigurala učinkovitost postavljenih kontrola. Procjena rizika se treba ponavljati periodično kako bi organizacija u svakom trenutku bila spremna na potencijalne opasnosti.

Procjena rizika je proces koji nikad ne prestaje, stoga nas kontaktirajte i zaštite svoje povjerljive informacije dok nije prekasno.