Információbiztonsági kockázatelemzés

Információbiztonsági kockázatelemzés- és kezelés
Minden változás, még a pozitívak is, az üzleti célok teljesülését fenyegető, már jól ismert kockázatok változásával, azaz új veszélyekkel, és új védendő értékek nyilvántartásba vételével, a meglévők jelentőségének változásával jár együtt, ezért a kockázati térképet az új üzleti követelményekhez kell igazítani. Ilyen, esetleg új kockázatokat is hozó, egyébként pozitív változás lehet - többek között - egy új alkalmazói rendszer beszerzése és adaptálása, vagy fejlesztése és bevezetése, vagy egy régi rendszer átdolgozása, egy új szoftverre (operációs rendszer, adatbázis kezelő, stb.), vagy hardver platformra való átállás. Még azok az infrastrukturális változások is okozhatnak kellemetlen meglepetést, amelyektől pedig nagyobb teljesítményt, jobb költséghatékonyságot várunk. Akár még egy új hálózati kommunikációs rendszer bevezetéséből is eredhet hátrány, ha nem teremtjük meg, és nem tartjuk következetesen szem előtt a projekt informatikai stratégiai céljai és informatikai biztonsági következményei összhangját. Sőt, ha nem változik a rendszereken semmi, azaz az elmúlt évben valamilyen rendszer még biztonságos volt, az nem biztos, hogy az idén is megfelel, mert új fenyegetettség , új követelmény léphet fel. Társaságunk vállalja, hogy a felső vezetés szerint megkívánt stratégiai és üzleti követelményeket figyelembe véve kockázatelemzési módszertant dolgoz ki, vagy az új szempontok szerint felülvizsgálja a meglevőt, illetve kockázatelemzést készít el. A módszertan kidolgozása és kockázatelemzés során támaszkodunk sokévi tapasztalatunkra, folyamatosan bővülő fenyegetettségi adatbázisunkra, és az alkalmazói rendszerek kockázatainak jól bevált vizsgálati módszerére is. Bár elmondható, hogy minden szervezetnél szinte más és más kockázatelemzési módszertan a hatékony, igény szerint biztosítjuk az általunk elkészített módszertan összhangját az ISO27001-es szabvány előírásaival, vagy egyéb (nemzetközi) ajánlásokkal. ISO27001-es minősítéssel rendelkező szervezeteknél elengedhetetlen a rendszeres információbiztonsági kockázatelemzés elvégzése, mivel a szabvány ezt előírja. ISO27001-es minősítéssel rendelkező szervezeteknél a folyamatos kockázatkezelési tevékenység biztosítja az elvárt információbiztonsági szint, illetve az elért információbiztonsági eredmények megtartását. Módszertan:
  • helyzetfelmérés,
  • belső igények megismerése,
  • kockázatkezelési módszertan és szabályzat készítése, elemzése, felülvizsgálata,
  • kérdőíves (személyes) felmérés,
  • vagyonelem térkép készítése, frissítése,
  • kockázatelemzés,
  • kezelendő kockázatok azonosítása,
  • költségbecslés,
  • kockázatkezelési cselekvési terv készítése.