Какво е остатъчен риск?
Определянето на остатъчния риск е изискване на т.6.1.3.f от ISO/IEC 27001:2022. и е част от процеса на въздействие върху риска. …
Прочети повече
Как се въздейства върху риска съгласно ISO/IEC 27001:2022?
Въздействието върху риска за сигурността на информацията е втората важна част от процеса на управление на риска съгласно ISO/IEC 27001:2022. …
Прочети повече
Как се оценява риска за сигурността на информацията?
Управлението на риска стои в основата на СУСИ и е може би най-сложната част от прилагането на ISO/IEC 27001. Това …
Прочети повечеКак да изберем подходящ метод за оценяване на риска?
Зададох си този въпрос с идеята разсъждавайки над темата да открия път, вариант или насоки за избор на най-подходящия метод за оценяване на риска. Оказа се, че отговорът не е еднозначен и съвсем не е толкова лесен за откриване. Може би щеше да бъде лесно, ако съществуваха два, три метода с конкретно предназначение и без условности.
Но реалността е съвсем различна. Бърза справка в ISO/IEC 31010 "Управление на риска. Методи за оценяване на риска" ни информира за възможността да избираме между 31 метода за оценяване на риска. Задачата се усложнява и от факта, че всеки един от методите е подходящ за различен етап от процеса на оценяване на риска. Така на практика е твърде вероятно да се наложи да използваме не само един метод, а комбинация от няколко.
Какво означава методът да е подходящ?