Pubblicato il

La valutazione dei rischi quando si implementa un SGSI ISO 27001

La valutazione dei rischi quando si implementa un SGSI ISO 27001

iso27001

La norma UNI CEI ISO 27001 ( Sistemi di gestione della sicurezza delle informazioni – Requisiti ), richiede una valutazione preliminare dei rischi sulla sicurezza delle informazioni (punto 4.2.1) al fine di implementare un sistema di gestione della sicurezza delle informazioni idoneo a trattare i rischi che l’organizzazione effettivamente corre in merito all’Information Security.

La  valutazione dei rischi ISO 27001 si articola fondamentalmente in cinque passaggi importanti:
1. definizione della  struttura che si occuperà della valutazione dei rischi;
2. identificazione  dei rischi;
3. analisi dei rischi;
4. valutazione dei rischi;
5. scelta delle modalità di gestione dei rischi.
La struttura di valutazione dei rischi comporta  la scelta della/e persona/e responsabili della valutazione. In genere si procede affidando a un consulente esterno tale compito, un professionista che abbia già svolto tale attività precedentemente

L’identificazione dei rischi deve avvenire in modo analitico con la collaborazione dei responsabili di settore e la supervisione del Responsabile IT.

Identificare i rischi che  influenzano la riservatezza, l’integrità e la disponibilità delle informazioni richiede è un’attività del processo di valutazione dei rischi che richiede molto tempo e attenzione.

Il punto di partenza è l’identificazione degli asset, ovvero le risorse informative che possono subire danni.

È inoltre necessario definire i criteri di accettazione dei rischi, cioè comprenderne l’impatto sull’organizzazione e le probabilità che si presentino effettivamente.

Determinare l’impatto e la probabilità di un rischio dato consente di determinarne la reale gravità. Spesso i responsabili della gestione dei rischi presentano questa semplice matrice:
Probabilità
È possibile utilizzare i risultati di questa analisi per decidere come reagire ai rischi.
A tal fine è necessario considerare quattro tipi di reazione:
1. tollerare il rischio;
2. gestirlo mediante controlli;
3. eliminarlo evitandolo completamente;
4. trasferirlo, mediante un’assicurazione o un accordo con altre parti.