Aboneaza-te la T&T
1. PATRAN - Soluţia completă de pre şi post-procesare în analiza cu elemente finite
2. GreenBau Tehnologie la TIB 2012
3. GreenBau Tehnologie continuă să se implice activ în instruirea studenţilor
Acest ghid oferă indicaţii pentru realizarea unei metodologii în vederea gestionării riscurilor de securitate a informaţiei. Metodologia aleasă se bazează pe determinarea incertitudinii de realizare a obiectivelor, a ameninţărilor ce pot exploata vulnerabilităţile organizaţiei în raport cu aceste obiective.
Metodologia descrisă se bazează pe identificarea efectului incertitudinii asupra atingerii obiectivelor. Astfel, metoda aleasă pentru calculul nivelului de risc este: Risc = Probabilitate x 10 x Impact.
Probabilitatea va avea valori între 0 şi 100%, iar impactul între 0 şi 5, conform tabelului de mai jos:
Probabilitate de apariţie |
||
Tip impact |
Numărapariţii/an |
Punctaj |
Foarteridicat |
[....] |
(80%-100%] = prezenţă extrem de probabilă |
Ridicat |
|
(60%-80%] = prezenţă foarte probabilă |
Medie |
|
(40%-60%]= prezenţă probabilă |
Redus |
|
(20%-40%]= prezenţă puţin probabilă |
Foarte redus |
|
(0%-20%]= prezenţă neglijabilă |
Impact |
||
Tip impact |
Valoare impact / lei |
Punctaj |
Foarte ridicat |
[........] |
5 = impact major |
Ridicat |
|
4 =impact considerabil |
Mediu |
|
3 = impact moderat |
Redus |
|
2 = impact minor |
Foarte redus |
|
1 = impact neglijabil |
Întrucât produsul maxim poate avea valoarea 50, pentru nivelul de risc se defineşte valoarea 20 ca fiind valoarea pragului de risc acceptat. Orice risc sub această valoare este asumat de organizaţie.
Riscurile identificate cu valori între (20,50] nu sunt acceptate şi trebuie tratate pentru a fi reduse sub valoarea pragului de risc acceptat, prin aplicarea sistematică a măsurilor de securitate. CSI informează conducerea dacă, totuşi, nivelul de risc rămâne peste valoarea de prag stabilită, chiar şi după aplicarea măsurilor de securitate.Riscurile care depăşesc valoarea de 20 se pot asuma de către conducere sau se încearcă transferarea lor prin încheierea unei poliţe de asigurare sau prin luarea unor măsuri de evitare a lor.
Pentru noile riscuri ce vor fi identificate şi introduse ulterior în analiza de risc se va folosi, întotdeauna, aceeaşi formulă de calcul pentru a se asigura obţinerea de rezultate comparabile şi care pot fi reproduse. Pentru aceasta, se va ţine seama de încadrarea cea mai bună a probabilităţii de apariţie şi a impactului, în funcţie de nivelurile definite mai sus.
Se va ţine seama de riscurile specifice zone igeografice în care se afla organizaţia, dar şi de datele statistice furnizate de diverse instituţii specializate.
Elemente lămuritoare cu privire la identificarea riscurilor
La identificarea riscurilor din cadrul organizaţiei se va ţine cont de următoarele aspecte:
Scopul identificării riscurilor este tocmai inventarierea acelor probleme care ar putea conduce la nerealizarea obiectivelor, dacă s-ar materializa (ar deveni situaţii de fapt).
La evaluarea riscurilor se va ţine cont de următoarele aspecte:
NOTĂ: Trebuie precizat faptul că, încă din etapa de Planificare a SMSI, se stabilesc şi măsurile de securitate ce vor fi luate pentru reducerea riscurilor (aplicarea efectivă a măsurilor se va face în etapa de Implementare a SMSI). Tot în faza de planificare se vor estima şi riscurile reziduale ce rămân în urma aplicării măsurilor selectate.
Toate riscurile reziduale se vor conştientiza şi accepta de către conducere. Dovada acceptării o poate constitui semnătura managementului de vârf pe planul de analiză şi de tratare a riscurilor.
Formular – Analiza riscului şi plan de tratare a riscului, cod:………
Analiza riscului şi planul de tratare a riscului (partea I) |
||||||
Obiectiv |
Tipul de risc |
Ameninţarea |
Vulnerabilitatea |
Probabilitatea (Input) |
Impactul (Input) |
Riscul calculat |
|
|
|
|
|
|
|
Analiza riscului ş iplanul de tratare a riscului (partea II) |
||||
Plan de tratare: Măsurile de securitate propuse |
Plan de tratare: Termen de implemente/ responsabili/resurse |
Plan de tratare: Eficacitatea măsurilor (Input)
|
Plan de tratare: Riscul residual propus |
PLAN TRATARE: Observaţii |
|
|
|
|
|
În ediţiile viitoare ale revistei vom prezenta alte elemente privind managementul riscurilor în cadrul unui sistem de management.
Mihai Gheorghe este dr. ing., Director Calitate Indaco Systems
Pentru a putea posta comentarii, trebuie sa fiti logat in contul dvs. de utilizator.