Ψηφιακό Τεκμήριο

2.2.7 Σχέδιο Διαχείρισης Κινδύνου
Σκοπός του σταδίου αυτού είναι η ανάπτυξη ενός σχεδίου για τη διαχείριση του
κινδύνου ασφάλειας πληροφοριών (information security risk management plan), με
στόχο την ελαχιστοποίηση ή την εξάλειψη του κινδύνου που έχει εντοπιστεί. Στο
πλαίσιο αυτό, προσδιορίζονται οι απαιτούμενες διορθωτικές ενέργειες, είτε αυτές
είναι νέες δικλείδες ασφάλειας ή βελτιστοποίηση της αποτελεσματικότητας των
υπαρχόντων, αξιολογούνται και τέλος, προτεραιότητα προς υλοποίηση. Δεδομένου
ότι η ολοκληρωτική εξάλειψη του κινδύνου είναι πρακτικώς αδύνατη, επιλέγονται οι
κατάλληλες διορθωτικές ενέργειες, το κόστος των οποίων είναι μικρότερο ή ίσο με το
κόστος της πιθανής απώλειας σε περίπτωση που οι προτεινόμενες δικλείδες
ασφάλειας δεν υλοποιούνταν και ο κίνδυνος είχε πραγματοποιηθεί. Η ευθύνη για την
επιλογή αυτή έγκειται στην ανώτερη Διοίκηση και τα διευθυντικά στελέχη του
Οργανισμού.
Προσδιορισμός Δικλείδων Ασφάλειας & Διορθωτικών Ενεργειών
Μελέτη των κινδύνων, οι οποίοι έχουν προσδιοριστεί και πρόταση δικλείδων
ασφάλειας ελαχιστοποίησής τους, αναλόγως της κρισιμότητας των πληροφοριών που
πρόκειται να προστατεύουν. Για κάθε κίνδυνο, προτείνονται οι κατάλληλες δικλείδες
ασφάλειας σε οργανωτικό & τεχνικό επίπεδο.
2.2.8 Τεκμηρίωση και Παρουσίαση Αποτελεσμάτων
Σκοπός του τελευταίου σταδίου της μεθοδολογίας αξιολόγησης και διαχείρισης
κινδύνου είναι η αναλυτική και ολοκληρωμένη τεκμηρίωση και παρουσίαση των
αποτελεσμάτων των ελέγχων, της αξιολόγησης κινδύνου και της προτεινόμενης
στρατηγικής διαχείρισης του κινδύνου ασφάλειας.
Στην Διοίκηση του Οργανισμού παρουσιάζεται μια σύνοψη με τα κύρια σημεία που
εντοπίσθηκαν κατά τη διενέργεια των ελέγχων ασφάλειας πληροφοριών. Τα σημεία
υψηλού κινδύνου ομαδοποιούνται και περιγράφονται χωρίς την τεχνική λεπτομέρεια.
Η σύνοψη συμπληρώνεται από μία παρουσίαση, η οποία έχει σαν στόχο την
κατανόηση των κυριότερων σημείων της αξιολόγησης και την επεξήγηση των
δικλείδων ασφάλειας που πρέπει να υλοποιηθούν.
17