تتضمن إدارة مخاطر أمن المعلومات تقييم المخاطر المحتملة واتخاذ خطوات للتخفيف منها ، وكذلك مراقبة النتيجة. يتضمن كل تقييم تحديد طبيعة المخاطر وتحديد كيفية تهديد أمن نظام المعلومات. هذا يؤدي مباشرة إلى التخفيف من المخاطر مثل أنظمة الترقية لتقليل احتمالية المخاطر المقدرة. وأﺧﯾرا ، ﺗﺗﺿﻣن إدارة اﻟﻣﺧﺎطر ﻣراﻗﺑﺔ اﻟﻧظﺎم ﺑﺷﮐل ﻣﺳﺗﻣر ﻟﻣﻌرﻓﺔ ﻣﺎ إذا ﮐﺎﻧت ﺗدﺧﻼت ﺗﺧﻔﯾف اﻟﻣﺧﺎطر ﺗﻧﺗﺞ اﻟﻧﺗﺎﺋﺞ اﻟﻣرﺟوة.
أساسيات الدفاع عن النفس تكنولوجيا المعلومات
يجب أن تضمن المنظمة أن لديها القدرة على إنجاز مهمتها. ويجب أن يحدد المخاطر التي تهدد تلك القدرات ، وتقييم التدابير الحمائية ، مع مراعاة التكاليف الاقتصادية وغيرها من التكاليف المترتبة على تلك التدابير. أحد المخاطر التي تواجه معظم المنظمات الحديثة هو أمن المعلومات للخطر. يجب أن تحدد المنظمة مكان تأثير أمن المعلومات المخترق على قدراتها لإنجاز مهمتها واتخاذ التدابير التصحيحية المناسبة في إطار الميزانية المعمول بها.
تقييم المخاطر
عندما تحدد المنظمة أن نقاط الضعف في أمن المعلومات تشكل خطرا على قدراتها ، يجب أن تفحص بدقة أنظمة تكنولوجيا المعلومات والعمليات والإجراءات والتفاعلات الخارجية لمعرفة أين تكمن المخاطر. وهذا يعني تحديد التهديدات المحتملة ، وأوجه التعرض لهذه التهديدات ، والتدابير المضادة المحتملة ، والأثر والاحتمال. يمكن تصنيف المخاطر حسب الشدة اعتمادًا على التأثير والاحتمالية. تكمن أهمية التقييم في أنه يسمح بتحديد المخاطر العالية التي يجب تخفيفها.
تخفيف المخاطر
التخفيف يعني تقليل أو إزالة المخاطر التي يحددها التقييم. وتشمل استراتيجيات التعامل مع المخاطر قبول المخاطر ، واعتماد تدابير من شأنها تقليل المخاطر ، وتجنب المخاطر من خلال القضاء على السبب ، والحد من المخاطر من خلال وضع الضوابط في مكانها ، أو نقل المخاطر إلى مورد أو عميل أو شركة تأمين. يتم تحديد الإستراتيجية المناسبة حسب المدى الذي تعيق فيه المخاطر قدرة المؤسسة على الوفاء بمهمتها ، وتكلفة تنفيذ الاستراتيجية. يعتبر التخفيف الهيكلي مهمًا كإطار لإدارة المخاطر.
التقييم والمراقبة
بمجرد الانتهاء من التقييم والتخفيف ، يجب على الوحدة التنظيمية تقييم النتيجة الفورية ومراقبة النظام على أساس مستمر. تبدأ هذه العملية بتقييم آثار التقييم والتخفيف ، بما في ذلك وضع معايير للتقدم. ويستمر في تقييم تأثير التغييرات والإضافات على أنظمة المعلومات. وأخيراً ، فإنه يقوم بمراقبة مستمرة لأداء أمن المعلومات ، بهدف تحديد المجالات التي قد يتعين تقييمها لمزيد من المخاطر. التقييم والرصد مهمان لتحديد مدى نجاح الوحدة التنظيمية في إدارة مخاطر أمن المعلومات الخاصة بها.