Metodologia di valutazione del rischio basata sui processi aziendali per iso 27001: 2013 [chiusa]

2

Sto lavorando su un'implementazione isms per iso 27001: 2013. Finora qualunque approccio di valutazione del rischio ho usato una risorsa basata su quale metodologia si concentra sulla valutazione del valore delle attività, sulle minacce, sulla vulnerabilità e sui valori dello stato di implementazione del controllo per calcolare il rischio associato all'attività sottostante. Ultimamente mi sono imbattuto in una valutazione del rischio basata sui processi aziendali. ho cercato su google e ho trovato pochi siti utili anche se non sono riuscito a trovare nulla di concreto in termini di metodologia di valutazione del rischio che è possibile adottare o modelli pertinenti. in cerca di aiuto per trovare una formula in un approccio basato sui processi per la valutazione del rischio o qualsiasi modello di esempio sarà molto apprezzato. Grazie in anticipo.

    
posta iSRC 06.04.2016 - 10:11
fonte

3 risposte

1

Normalmente, l'analisi del rischio è basata sui processi: si passa attraverso i principali processi di business con il cliente e quindi per ogni processo si dovrebbero trovare risorse relative. Per ogni asset, l'impatto sui processi di business dovrebbe essere chiaramente definito in caso di interruzione delle attività: nessun impatto, basso impatto, impatto medio, impatto elevato e anche evidenziare le vulnerabilità per ciascun asset. L'importanza di un'attività deve essere definita in base all'importanza dei processi aziendali e all'impatto di questa risorsa.

    
risposta data 06.04.2016 - 10:29
fonte
1

Penso che guardare a GIAC sarebbe un buon posto. Puoi trovare molti esempi pratici e casi di studio.

metodologie di valutazione del rischio pratico o Valutazione qualitativa rispetto al rischio quantitativo

    
risposta data 06.04.2016 - 12:48
fonte
1

Hai la possibilità di astrarre i rischi del processo e la loro valutazione dai rischi delle risorse. La mia definizione di processo sarebbe "descrizione delle attività aziendali (processo 1 sarebbe qualcosa come gestione del processo dell'ordine)"

Per questo approccio dovresti stare con il proprietario del processo e identificare i rischi che minacciano di impedire il risultato previsto del processo. I rischi identificati possono essere valutati in base alla probabilità di accadimento e impatto. Il proprietario del processo dovrebbe valutare qualcosa del genere:

  • probabilità di accadimento
  • perdita finanziaria in caso di rischio (in danno hardware)
  • perdita di reputazione (se sei interessato a questo genere di cose)
  • perdita finanziaria a causa di violazioni dei contratti o della legge

Puoi mettere su una matrice tipica per la valutazione quantitativa del rischio (un asse per la probabilità di accadimento, uno per una combinazione dell'impatto valutato) e classificare tutti i rischi su tale base. Questo ti darebbe la flessibilità di stabilire una matrice da sola (che va bene per iso 27001: 2013!) E coprire i rischi individuali che possono essere definiti dalle persone che conoscono effettivamente il processo migliore.

    
risposta data 06.04.2016 - 17:26
fonte

Leggi altre domande sui tag