सूचना सुरक्षा जोखिम प्रबंधन में संभावित जोखिम का आकलन करना और इसे कम करने के लिए कदम उठाना, साथ ही परिणाम की निगरानी करना शामिल है। हर मूल्यांकन में जोखिम की प्रकृति को परिभाषित करना और यह निर्धारित करना शामिल है कि यह सूचना प्रणाली सुरक्षा को कैसे खतरे में डालता है। इससे जोखिम का शमन होता है जैसे कि मूल्यांकन किए गए जोखिम की संभावना को कम करने के लिए सिस्टम को अपग्रेड करना। अंत में, जोखिम प्रबंधन में यह सुनिश्चित करने के लिए चल रहे आधार पर सिस्टम की निगरानी शामिल है कि क्या जोखिम शमन हस्तक्षेप वांछित परिणाम उत्पन्न करता है।
आईटी सेल्फ डिफेंस बेसिक्स
एक संगठन को यह सुनिश्चित करना चाहिए कि उसके पास अपने मिशन को पूरा करने की क्षमता है। इसमें उन जोखिमों की पहचान करनी चाहिए जो उन क्षमताओं को खतरे में डालते हैं, और उन उपायों की आर्थिक और अन्य लागतों को ध्यान में रखते हुए सुरक्षात्मक उपायों का मूल्यांकन करते हैं। एक जोखिम जो अधिकांश आधुनिक संगठनों का सामना करना पड़ता है, वह है सूचना सुरक्षा से समझौता। एक संगठन को यह पता लगाना चाहिए कि समझौता किए गए सूचना सुरक्षा अपने मिशन को पूरा करने के लिए अपनी क्षमताओं को कैसे प्रभावित करेंगे और अपने स्थापित बजटीय ढांचे के भीतर उचित सुधारात्मक उपाय करेंगे।
जोखिम आकलन
जब कोई संगठन यह निर्धारित करता है कि सूचना सुरक्षा में कमजोरियां उसकी क्षमताओं के लिए जोखिम पैदा करती हैं, तो उसे अपने आईटी सिस्टम, संचालन, प्रक्रियाओं और बाहरी इंटरैक्शन की पूरी तरह से जांच करनी चाहिए ताकि यह पता चल सके कि जोखिम कहां हैं। इसका मतलब है कि संभावित खतरों, उन खतरों की कमजोरियों, संभावित प्रतिकार, प्रभाव और संभावना की पहचान करना। प्रभाव और संभावना के आधार पर जोखिम को गंभीरता के रूप में वर्गीकृत किया जा सकता है। मूल्यांकन का महत्व यह है कि यह उच्च जोखिमों की पहचान करने की अनुमति देता है जिन्हें कम किया जाना चाहिए।
जोखिम से राहत
शमन का अर्थ है मूल्यांकन द्वारा पहचाने गए जोखिमों को कम करना या समाप्त करना। जोखिम से निपटने के लिए रणनीतियों में जोखिम को स्वीकार करना, उन उपायों को अपनाना शामिल है जो जोखिम को कम करेंगे, कारण को समाप्त करके जोखिम से बचेंगे, नियंत्रण को जगह में रखकर जोखिम को सीमित करेंगे, या किसी आपूर्तिकर्ता, ग्राहक या बीमा कंपनी को जोखिम स्थानांतरित करेंगे। कौन सी रणनीति उपयुक्त है यह इस बात से निर्धारित होता है कि जोखिम किस हद तक संगठन की क्षमता को पूरा करने के लिए अपने मिशन को पूरा करता है, और रणनीति को लागू करने की लागत। जोखिम प्रबंधन के लिए एक ढांचे के रूप में संरचित शमन महत्वपूर्ण है।
मूल्यांकन और निगरानी
एक बार मूल्यांकन और शमन पूरा हो जाने के बाद, संगठनात्मक इकाई को तत्काल परिणाम का मूल्यांकन करना चाहिए और निरंतर आधार पर सिस्टम की निगरानी करना चाहिए। यह प्रक्रिया मूल्यांकन और शमन के प्रभावों के मूल्यांकन के साथ शुरू होती है, जिसमें प्रगति के लिए मानदंड स्थापित करना शामिल है। यह सूचना प्रणाली में परिवर्तन और परिवर्धन के प्रभाव के मूल्यांकन के साथ जारी है। अंत में, यह उन क्षेत्रों की पहचान करने के उद्देश्य से सूचना सुरक्षा प्रदर्शन की निरंतर निगरानी करता है, जिन्हें अतिरिक्त जोखिम के लिए मूल्यांकन करना पड़ सकता है। मूल्यांकन और निगरानी यह निर्धारित करने के लिए महत्वपूर्ण है कि संगठनात्मक इकाई ने सफलतापूर्वक अपनी सूचना सुरक्षा जोखिम को कैसे प्रबंधित किया है।