Innholdsfortegnelse:
- Definisjon - Hva betyr risikovurderingsramme (RAF)?
- Techopedia forklarer risikovurderingsrammeverk (RAF)
Definisjon - Hva betyr risikovurderingsramme (RAF)?
En risikovurderingsramme (RAF) er en tilnærming for prioritering og deling av informasjon om sikkerhetsrisikoer som en informasjonsteknologisk organisasjon utgjør. Informasjonen skal presenteres på en måte som både ikke-teknisk og teknisk personell i gruppen kan forstå. Synet på RAF gir bistand til organisasjoner i å identifisere og lokalisere både områder med lav risiko og høy risiko i systemet som kan være utsatt for overgrep eller angrep.
Techopedia forklarer risikovurderingsrammeverk (RAF)
Dataene som RAF gir, er gunstige for å adressere potensielle trusler og planlegge kostnader og budsjetter. Mange RAF-er er allerede akseptert som standarder i flere bransjer. Noen få eksempler inkluderer Operasjonelt kritisk trussel, eiendel og sårbarhetsvurdering (OCTAVE) fra Computer Emergency Readiness Team, kontrollmålene for informasjon og relatert teknologi (COBIT) fra Information Systems Audit and Control Association, og risikostyringshåndboken for Informasjonsteknologisystemer fra National Institute of Standards.
Som andre rammer er det retningslinjer for å lage RAF-er som må følges:
- Inventory and Categorization: Gruppere informasjonssystemene, enten de er interne eller eksterne, i kategorier og differensier prosessene deres.
- Identifiser potensielle risikoer: Se etter trusler, sårbarheter og risikoer som systemet kan oppstå. Naturlige forekomster som ulykker eller strømbrudd bør tas i betraktning i tillegg til angrep mot skadelig programvare.
- Implementere og vurdere: Basert på diskusjonen om potensielle risikoer, implementer tilsvarende sikkerhetskontroller for datasikkerhet. Vurdere og dokumentere funnene om hvordan kontrollene fungerer og bidra til risikoreduksjon.
- Autorisere og overvåke: Autorisere driften av systemet ved å bestemme prosedyre, risikoen for organisatoriske operasjoner og eiendeler, individuelle styrker og svakheter og andre faktorer som vil bidra til velferden til operasjonene. Overvåking av sikkerhetskontrollene er en pågående prosess som inkluderer vurdering av effektiviteten til sikkerhetskontrollene, dokumentasjon av endringene, implementering av de diskuterte løsningene og presentasjon av status for systemet til passende organisasjonspersonell.
