"Aki fél a kígyótól, nem megy az erdőbe, de nem is eszik gombát!" (Tibeti közmondás)

Az üzleti szférában a kezdeti adatrögzítés, -tárolás és -továbbítás kiszolgálására kialakított informatikai és kommunikációs környezet mára az egyes szervezetek leginkább üzletkritikus támogató elemévé lépett elő. Az információ védelme kritikus fontosságúvá vált, a megfelelően védett információ vagyon üzleti előnyt, a hiányos védelem sok esetben az üzleti lemaradáson túl a szervezet csődjét is jelentheti.

Az egyes iparági szegmensekre érvényes törvényi szabályzásokon túlmenően minden üzleti szervezetnek fel kell ismernie, hogy saját fennmaradása érdekében foglalkoznia kell az információvédelemmel. Ehhez első lépés a szervezet információ vagyonát veszélyeztető események kockázatainak feltérképezése.

A kockázat nem csak a nemvárt események bekövetkezését, hanem a várt események be nem következését is jelenti, fontos tehát, hogy előre felmérjük ezek valószínűségét, hiszen megtörténtük befolyásolja vagy megakadályozza az üzleti folyamatok normális működését.

Kockázatnak tekintjük amikor:

  • sérül az információ bizalmassága, sértetlensége, rendelkezésre állása, azaz az információs vagyon nincs megfelelően védve
  • sérül a belső szabályoknak, szabványoknak, törvényi és egyéb szabályozóknak történő megfelelés
  • a szervezet erőforrásai nem megfelelő módon használtak
  • az üzleti célok nem teljesülnek

A fentiek elkerülése végett fontos, hogy a szervezet felmérje a működéséből fakadó kockázatokat, és lépéseket tegyen a kockázatok kezelése, csökkentése érdekében.

Az ASC által alkalmazott kockázatfelmérési és -értékelési folyamat az alábbi lépésekből áll:

risk assessment