Информационната сигурност се регламентира от поредица стандарти ISO/IEC 27000, а управлението на риска за информационните системи се намира в ISO/IEC 27005:2018 .
Наличието на стандарти говори, че организациите се насърчават да оценяват рисковете за информацията, макар че в действителност те са просто информационни рискове.
Все пак стандартът не посочва, препоръчва или дори назовава конкретен метод за управление на риска. Това обаче предполага непрекъснат процес, състоящ се от структурирана последователност от дейности, някои от които са итеративни:
- да установи контекста на управление на риска(например задълженията на длъжностните лица, политиките, методите и информационните критерии на организацията);
- количествени и качествени параметри за оценка на нивата на риска, уязвимости, инциденти и др;
- как да третира рисковете (т.е. да контролира сигурността на информацията, да я запази или да избягва рисковете по подходящ начин, като приоритизира нивата на риска.
- да информира заинтересованите страни по време на целия процес;
- да наблюдава рисковете, задълженията и критериите, като се идентифицират и реагират по подходящ начин.
В крайна сметка в този стандарт рискът за информационната сигурност се определя като „въздействието на несигурността върху целите за информационна сигурност, определени от организацията, в съответствие с политиката за информационна сигурност, за постигане на конкретни резултати„.
Процеса на управление на риска се очертава по следния начин:
Източник: https://www.iso27001security.com/html/27005.html