Attualmente sono tenuto a effettuare una valutazione del rischio per la sicurezza delle informazioni per un incarico, utilizzando lo standard ISO 27005: 2011, per la violazione dei dati di Equifax avvenuta nel 2017, link
Ciò che ho raccolto dal capitolo 8 del documento 27005 finora è che il processo di valutazione del rischio è generalmente diviso in tre sezioni. In primo luogo, l'identificazione del rischio seguito dall'analisi del rischio e dalla valutazione del rischio.
Attualmente sto lavorando alla sezione di identificazione del rischio e apprezzerei qualsiasi tipo di assistenza sui metodi o sulle tecniche che posso utilizzare per identificare appropriatamente alcune risorse, minacce, vulnerabilità e controlli rilevanti per l'incidente sopra o in generale. (Non sto cercando gli elementi reali, solo idee su cosa cercare negli articoli relativi all'incidente)