3 tipuri de planificare a securității și a gestionării riscurilor

Posted By on 20 martie 2021

evaluare de risc la securitate fizica

Această politică descrie modul în care entitățile stabilesc o planificare eficientă a securității și pot încorpora securitatea în practicile de gestionare a riscurilor. Planificarea securității poate fi utilizată pentru a identifica și gestiona riscurile și pentru a ajuta la luarea deciziilor prin:

  • aplicarea controalelor adecvate în mod eficient și consecvent (ca parte a activității de gestionare a riscurilor existente ale entității);
  • adaptarea la schimbare protejând în același timp derularea de afaceri și servicii;
  • îmbunătățirea rezistenței la amenințări, vulnerabilități și provocări;
  • îmbunătățirea performanței de securitate a conducerii.

Cerințe de bază

Fiecare entitate trebuie să dispună de un plan de securitate aprobat de autoritatea responsabilă pentru a gestiona riscurile de securitate ale entității. Planul de securitate detaliază:

  1. obiectivele de securitate și obiectivele strategice ale entității, inclusiv modul în care gestionarea riscurilor de securitate se intersectează cu și susține obiective și priorități de afaceri mai largi;
  2. amenințări, riscuri și vulnerabilități care au impact asupra protecției persoanelor, informațiilor și activelor unei entități;
  3. reziliența entității la riscurile de securitate;
  4. eficiența capacității entității de a gestiona riscurile de securitate;
  5. strategiile entității de a implementa managementul riscului de securitate și de a beneficia de avantajele analizei de risc.

În cazul în care un singur plan de securitate nu este aplicabil din cauza dimensiunii sau complexității activității unei entități, autoritatea responsabilă poate aproba un plan de securitate global la nivel strategic care să răspundă cerințelor de bază.

Plan de securitate – amenințări, riscuri și vulnerabilități

Atunci când implementează cerințele de bază pentru a detalia amenințările, riscurile și vulnerabilitățile care afectează protecția oamenilor, informațiilor și activelor, entitățile:

  • identifică oamenii, informațiile și activele care trebuie protejate;
  • determină riscurile specifice (inclusiv riscurile partajate) pentru oamenii săi, informații și active în țară și în străinătate (identificarea riscurilor);
  • identifică amenințările pentru oameni, informații și active (evaluarea amenințărilor);
  • evaluează gradului de sensibilitate și rezistență la pericole (evaluarea vulnerabilității);
  • evaluează probabilitatea și consecința fiecărui risc care apare (analiza riscurilor);
  • determină adecvarea măsurilor de protecție existente și dacă riscurile actuale (sau vulnerabilitățile reziduale) sunt acceptabile sau nu (evaluare de risc);
  • implementează măsuri de securitate de protecție pentru a atenua sau reduce riscurile identificate la un nivel acceptabil (tratamente de risc);
  • gestionează riscurile reziduale (tratabile și netratabile) și vulnerabilitățile;
  • identifică și acceptă responsabilitatea pentru riscuri.

Activele sunt elemente care au o valoare pentru entitate, inclusiv resurse și proprietăți pe care se bazează pentru susținerea operațiunilor și capabilităților. Acestea sunt în plus față de oameni și informații identificate ca fiind critice pentru operațiunile în curs.

Ce este un risc de securitate?

Un risc de securitate este ceva care ar putea duce la compromiterea, pierderea, indisponibilitatea sau deteriorarea informațiilor sau a bunurilor sau poate provoca daune oamenilor. Riscul de securitate este efectul incertitudinii asupra obiectivelor și este adesea măsurat în funcție de probabilitatea și consecințele sale. Cauzele sunt în general oameni, sisteme, procese, proceduri, infracțiuni, atacuri sau evenimente naturale.

Un eveniment este o abatere de la așteptat și poate fi pozitiv sau negativ. Obiectivul are diferite aspecte, cum ar fi obiectivele financiare, de sănătate și siguranță și de mediu, și se poate aplica la mai multe niveluri, cum ar fi nivelurile strategice, la nivelul întregii organizații, ale proiectelor, ale produselor și ale proceselor.

Entitățile sunt încurajate să ia în considerare în cazul în care riscurile de securitate se intersectează cu alte riscuri, inclusiv frauda, confidențialitatea și continuitatea activității. Entitățile sunt încurajate să trateze riscul în mod integral în cadrul operațiunilor sale. De exemplu, pot exista oportunități de a trata riscuri multiple cu un singur control de atenuare.