Kockázatmenedzsment modul bemutatása
A kockázatmenedzsment az egyetlen olyan feladat a rendszerben, melyet az információbiztonsági terület kezel, és nem ad ki felmérésként a folyamat- vagy erőforrásgazdáknak felmérő űrlapot. Az információbiztonsági munkatárs a különböző folyamatokra, erőforrásokra, azok csoportjára, vagy a teljes szervezetre vonatkozóan több típusú kockázatelemzést is készíthet, illetve több, akár saját fenyegetéslistából is dolgozhat. Az elkészített kockázatelemzések elfogadásának, valamint a kockázatkezelő intézkedések életútját a többi modulból jól ismert workflow támogatja.
Hogyan működik?
Az információbiztonsági munkatárs kiválasztja, hogy mely folyamatra, erőforrásra vagy szervezetre szeretne kockázatelemzést készíteni, illetve egyszerűsített elemzés keretein belül csak saját, szabad szöveges kockázatokat kíván rögzíteni, vagy teljes kockázatelemzést végez az általa kiválasztott fenyegetéslista alapján. Ezt követően az információbiztonsági munkatárs előkészíti a kockázatelemzést és/vagy egy megbeszélés keretein belül azonosítja a lehetséges információbiztonsági kockázatokat az erőforrás üzemeltetőjével, valamint az üzleti terület képviselőjével, akiknek a véglegesített kockázatelemzést a rendszeren keresztül el is kell fogadniuk. A kockázat mértékének meghatározása a klasszikus bekövetkezési hatás és gyakoriság/valószínűség szorzataként kerül kiszámításra, a felmérés készítésekor lehetőség van a már meglevő védelmi intézkedéseket feltüntetni, melyek figyelembevételével a becslések történtek.
A rendszer természetesen lehetőséget biztosít a kockázatok kezelésének támogatására is, mindegyik azonosított kockázathoz rögzíthető kockázatcsökkentő intézkedés, de dönthetünk a kockázat elutasításáról, áthárításáról vagy felvállalásáról is. Utóbbi esetben a megfelelő igazoló dokumentumok kerülnek a rendszerben kitöltésre és a megfelelő szerepkörökkel jóváhagyatásra. Kockázatcsökkentő intézkedések esetében a feladathoz felvehetünk pontos leírást, beállíthatunk felelőst és határidőt, valamint becsült erőforrás ráfordítást is. A kiadott feladat életútja, státusza nyomon követhető, a rendszer automatikusan figyelmeztet a közeli lejárati határidőről, illetve lehetőség van a feladat készre jelentésére, sőt, információbiztonsági terület általi ellenőrzésére is a SIREN-en keresztül.
Mind a kockázatelemzésekhez, mind a kockázatelfogadásokhoz beállítható érvényességi idő, mely automatikus tájékoztat az elemzés vagy jóváhagyás lejáratáról és megújításának szükségességéről.
Eredménytermékek, előnyök
- Egyszerűbb vagy komplexebb, többféle kockázatkezelési módszertan támogatása
- Standard és egyedi fenyegetés listák, akár szervezetre szabottan is
- Kockázatelemzés indítása folyamatra, erőforrásra vagy akár a teljes szervezetre lehetséges
- Kockázatkezelő intézkedések rögzítése, felelőssel, határidővel és nyomonkövetéssel, státuszolással
- Kockázatelfogadások dokumentálása a rendszeren keresztül
- Compliance megfelelés támogatása