4.5.07

"Top-down" načelo kod upravljanja informacijskim rizicima (2)

Upravljanje rizicima mora točno identificirati i popisati svu informacijsku imovinu s kojom organizacija raspolaže, a na tako strukturiranom imovinom napraviti procjenu prijetnji i analizu ranjivosti, utvrditi visinu rizika te propisati potrebne sigurnosne mjere.

Inventura informacijske imovine druga je glavna točka "top-down" koncepta i ujedno prvi korak u procesu upravljanja rizicima. Informacijsku imovinu treba sagledati prije svega kao poslovne podatke koji imaju određenu vrijednost za organizaciju i čijom bi povredom došlo do značajnih posljedica za poslovanje. Evidencija tako definirane imovine mora biti usklađena s glavnim poslovnim procesima, a rukovoditelji ovih procesa moraju odgovoriti kakve posljedice očekuju uslijed gubitka povjerljivosti, integriteta ili dostupnosti podataka s kojima se svakodnevno služe.

Sve dok se držimo informacijskog sustava i njegovih glavnih modula, inventura informacijske imovine ići će predvidljivim tokom, iako ne uvijek sasvim glatko. No, moramo pripaziti da ne zanemarimo podatke koji su smješteni izvan baze podataka ili izvan aplikativnih sustava. Jako puno značajnih, ponekad i kritičnih, infomacija generira se kroz Office ili Excel, a smještaju se kojekuda po diskovima osobnih računala (uključujući i sve arhivske kopije, draft verzije dokumena i sve kopije koje se ponekad i nesvjesno generiraju). Elektronička pošta je odavno dobila svojstvo kritična poslovne informacija, a intelektualno vlasništvo je obuhvaćeno i drugim formatima (prezentacijama, grafičkim zapisima, nacrtima...). Konačno, popis informacijske imovine ne smije zanemariti ni papirnate podatke, koliko god se to smatralo nespojivim s karakterom informacijskog sustava.

Potom slijede preostale aktivnosti u procesu upravljanja rizicima, a jedan od završnih rezultata biti procjena visine rizika i definicija potrebnih kontrolnih mjera koje organizacija mora provesti kako bi spriječila eskalaciju prisutnih prijetnji.

Nema komentara: