Анализ на риска

  • Поради динамичната природа на киберпространството, заплахите и уязвимостите в него, управлението на риска за информационните системи няма как да бъде еднократен процес, който има начало и край. То е непрекъснат и интерактивен процес в който участват всички управленски нива на организацията, както и всеки един служител. Ефективността му е в пряка зависимост от правилното изпълнение на всеки един негов етап, добре формулираните организационни цели, етичните ценности в организацията и нейната организационна култура. 
  • Протичането на процеса по управление на риска се състои от няколко етапа – дефиниране на средата, идентифициране на риска, анализ на риска, оценка на риска, противодействие срещу риска, приемане на риска. Паралелно с тези дейности се извършват още два процеса – комуникационен (информационен) процес и процес по наблюдение и контрол.
  • Като инструмент за подпомагане на постигането на целите, управлението на риска е важен компонент от стратегията на всяка една организация. Поради тази причина съществуват редица стандарти за изпълнението на процеса. Това са ISO 31000, ISO-IEC 27005 и NIST 800-39 (и двата специализирани в сигурността на информацията и информационните системи), BS 31100 и Practice Standard for Project Risk Management на PMI (Project Management Institute). Те предоставят рамка и ръководство за изграждане на ефективна технология за управление на риска в различни типове организации.