Risk yönetimi, ISO 27001 uygulamasının temelini oluşturur. Bu, standardın tamamında kapsanan bir temadır. Ancak güvenlik risk yönetimi nedir? Risk değerlendirmesi nedir?
Klasik bir Risk Değerlendirmesi tanımı, bir sistemin güvenlik kontrollerinin riskleriyle tamamen orantılı olmasını sağlamaya yönelik bir süreç olarak tanımlayan bir tanımdır. Ancak bu 'süreç' kendi içinde karmaşık olabilir. Çoğu yöntem aşağıdaki birbiriyle ilişkili öğeleri kullanır:
TEHDİTLER
Bunlar ters gidebilen veya sisteme veya işletmeye 'saldırabilecek' şeylerdir. Örnekler dolandırıcılık veya yangın içerebilir. Her işletme ve bilgi sistemi için tehditler her zaman mevcuttur.
ZAYIFLIKLAR
Bunlar, sistemi bir tehdit tarafından saldırıya daha yatkın hale getirir veya bir saldırının bazı 'başarı' ya da istenmeyen etkilere sahip olma olasılığını artırır. Örneğin, yangın için bir güvenlik açığı, oldukça yanıcı malzemelerin (örneğin kağıt) varlığı olabilir.
KONTROLLER
Bunlar, güvenlik açıkları için alınacak önlemlerdir. Temel olarak dört tür vardır:
Önleyici kontroller, güvenlik açıklarını korur ve bir saldırıyı başarısız kılar veya etkisini
azaltır Düzeltici kontroller, bir saldırının etkisini azaltır. Dedektif kontroller, saldırıları keşfeder ve önleyici veya düzeltici kontrolleri tetikler. Caydırıcı kontroller kasıtlı saldırı olasılığını azaltır
Güvenlikle ilgili iş kararlarının daha kolay alınmasını sağlayan bir dizi ölçüm oluşturmak için tüm bunların birbirine karşı tartılması yaygındır. Bu nedenle, 'risk seviyesi', 'risk puanı' ve benzeri referanslar.
Risk ölçüldüğünde, yönetilmesi gerekir (risk yönetimi). Bu, örneğin kalıntı risklerinin arıtılması, hafifletilmesi veya transferini içerebilir.
NEREDEN BAŞLAMALI
Kapsamlı ve resmi bir risk yönetimi yaklaşımını benimsemek, risk ilkelerinin sağlam bir şekilde anlaşılmasını gerektirir. Neyse ki, standartların kendisinde olduğu gibi, egzersizin tüm aşamalarında eğitmek ve yardımcı olmak için bir kit ortaya çıktı. Bu, kendi sitesinde belgelenmiştir. ISO 27001 Belgesi İçin