V rámci strategického kontextu a všeobecných cieľov KIB Vašej organizácie určíte riziko, ktoré vyplýva z hrozieb, ktoré ste v predchádzajúcej časti označili. Je možné, že neskôr riziko prehodnotíte a vrátite sa späť ho prehodnotiť.
Existujú dve metódy, ktorými sa dá posúdiť úroveň rizika – kvantitatívna a kvalitatívna.
Kvantitatívna metóda je veľmi komplexná a vyžaduje si štatistické dáta na presné vyjadrenie rizika, vďaka čomu poskytnúť konkrétne čísla. Oblasť informačnej bezpečnosti je veľmi pestrá a nestála a z tohto dôvodu je ťažké aplikovať kvantitatívnu metódu.
Kvalitatívna metóda je postačujúca pre naše účely, jej vstupom je dvojica pravdepodobnosť výskytu rizika a úroveň dopadu rizika.
pravdepodobnosť | časový interval |
---|---|
zanedbateľná | raz za niekoľko rokov |
obćas | niekoľkokrát v priebehu roka |
veľmi často | niekoľkokrát za mesiac |
dopad | rozsah škod |
---|---|
zanedbateľný | žiadne dôsledky, možno prekonať bez významnejších ťažkostí |
značný | problematické fungovanie organizácie, ohrození sú ľudia alebo majetok |
kritický | existencia organizácie je ohrozená, dopad na sektor a okolie, vážne dopady na zdravie/bezpečnosť ľudí a na majetok |
Výsledkom je matica klasifikácie rízika:
dopad | |||||
kritický | stredné | vysoké | vysoké | ||
značný | nízke | stredné | vysoké | ||
zanedbateľný | nízke | nízke | nízke | ||
zanedbateľná | občas | veľmi často | pravdepodobnosť |