Řízení rizik

Jedná se o analýzu rizik, která povede ke zlepšení informační bezpečnosti; cílem je zjistit, do jaké míry je ekonomicky opodstatněné investovat do zabezpečení jednotlivých informačních aktiv s ohledem na jejich hodnotu a existující hrozby. Tato analýza probíhá v několika krocích:

1. Identifikace aktiv - vymezení systému a popis komponent, z nichž se systém skládá,
2. stanovení hodnoty aktiv - hodnota je vyjádřena např. ve škále „kritické“, „důležité“, „nedůležité“,
3. identifikace hrozeb a slabých míst - určení druhů událostí a akcí, které mohou narušit bezpečnost, určení slabých míst v systému, které mohou umožnit působení hrozeb,
4. stanovení závažnosti hrozeb a míry zranitelnosti - určení pravděpodobnosti výskytu hrozby a míry zranitelnosti systému vůči dané hrozbě.

Dobře provedená analýza rizik umožní ekonomicky zabezpečit ta informační aktiva, která organizace považuje za podstatná, a zabrání zbytečným investicím do zabezpečení nedůležitých systémů.