Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | ||
|
Принятие риска
Процедура принятия риска (risk acceptance) должна гарантировать однозначное принятие и утверждение руководством организации плана обработки рисков и значения остаточных рисков. Это особенно важно в ситуации, когда корректирующие меры не принимаются или их принятие отложено, например, из-за высоких затрат.
Следует также отметить, что критерии принятия риска могут быть более многогранными, чем простое определение того, является ли остаточный риск выше или ниже единого порогового значения.
В случае необходимости критерии принятия риска могут быть пересмотрены. Руководитель, принимающий решения, может утвердить остаточный риск, не соответствующий стандартным критериям, однако должен дать комментарий с обоснованием своего решения.
Коммуникация рисков
Коммуникация рисков (информирование о рисках) – это обмен информацией о риске или совместное использование этой информации между лицом, принимающим решение, и другими причастными сторонами.
В процессе управления рисками ИБ важно, чтобы о рисках и их обработке информировалось руководство, принимающее решения, и другие причастные сотрудники. Эффективная коммуникация между причастными сторонами имеет важное значение, так как может оказывать существенное влияние на принимаемые решения.
Кроме того, обмен информацией о рисках позволяет:
· обеспечить доверие к результатам управления рисками и поддержку принимаемых решений;
· осуществлять сбор информации о рисках;
· достичь взаимопонимания между принимающим решения руководством и другими причастными сторонами и, как следствие, снизить вероятность или тяжесть последствий нарушений ИБ;
· повысить осведомленность сотрудников и выработать чувство ответственности у лиц, принимающих решения, и других причастных сторон.
Даже до начала обработки рисков ИБ точная информация об идентифицированных рисках может быть очень ценной для управления инцидентами ИБ и способствовать снижению потенциального ущерба. Осведомленность руководства и персонала о рисках, о характере мер, применяемых для снижения рисков, о проблемных областях в организации помогает максимально эффективно реагировать на инциденты и непредвиденные события.
Должны быть разработаны планы обмена информацией как для повседневной работы, так и для случаев чрезвычайных и кризисных ситуаций.
Детализированные результаты каждого вида деятельности, входящего в процесс управления рисками ИБ, а также результаты, полученные в двух точках принятия решений о рисках, должны быть документированы.
Дата публикования: 2015-02-03; Прочитано: 615 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!