Řízení rizik – základní stavební kámen

Cílem řízení rizik je stanovení a ohodnocení primárních a podpůrných informačních aktiv, určení jejich vlastníků a vyhodnocení hrozeb a zranitelností, která na tato aktiva působí. Výsledkem je návrh nutných protiopatření, která hrozby eliminují.

Námi poskytovaná služba v oblasti řízení rizik zahrnuje:
• Vstupní analýzu organizace a definice hlavních procesů a služeb (primární aktiva).
• Hodnocení primárních aktiv z pohledu požadavků na jejich důvěrnost, dostupnost, integritu a kritičnost (důležitost).
• Dekompozici procesů a služeb (primárních aktiv) na objekty, HW a SW prostředky a zařízení a osoby, prostřednictvím kterých se tyto procesy a služby realizují (podpůrná a technická aktiva).
• Identifikace, ohodnocení a seskupení aktiv.
• Návrh přiměřených nástrojů pro řešení technických opatření dle požadavků zákona a vyhlášky o kybernetické bezpečnosti, včetně přibližné kalkulace jejich finanční náročnosti.
• Definici hrozeb, zranitelností a jejich možných dopadů.
• Hodnocení hrozeb a zranitelností působících na aktiva.
• Výpočet rizik a stanovení akceptovatelné úrovně rizika.
• Stanovení účinnosti opatření.
• Schválení výsledků analýzy rizik vedením organizace.

Výstupem je:
• Katalog primárních, podpůrných a technických aktiv, včetně jejich hodnocení.
• Závěrečná zpráva z hodnocení rizik.
• Prohlášení o aplikovatelnosti, ve kterém jsou uvedena opatření, která je nutné u organizace implementovat.
• Návrh Plánu zvládání rizik, který určuje posloupnost realizace opatření, včetně určení osob odpovědných za jednotlivá opatření a potřebné zdroje pro realizaci opatření.