Управління ризиками – це формальний процес постійного виявлення та оцінки ризиків з метою зменшення впливу загроз і вразливостей. Ви не можете повністю усунути ризик, але ви можете визначити прийнятні рівні, зваживши вплив загрози з витратами на впровадження засобів контролю для її пом’якшення. Вартість контролю ніколи не повинна перевищувати вартість активу, який ви захищаєте.

Визначте загрози, які підвищують ризик. Загрози можуть містити процеси, продукти, атаки, потенційний збій або порушення роботи послуг, негативне сприйняття репутації організації, потенційну юридичну відповідальність або втрату інтелектуальної власності.

Визначте серйозність кожної загрози. Наприклад, деякі загрози можуть призвести до зупинки всієї організації, тоді як інші загрози можуть бути лише незначними незручностями. Ризик можна визначити пріоритетом, оцінюючи фінансовий вплив (кількісний аналіз) або масштабований вплив на діяльність організації (якісний аналіз).

Розробіть план дій для зменшення загального ризику організації, в якому детально вказано, де ризик можна усунути, пом’якшити, перенести чи прийняти.

Постійно переглядайте будь-який ризик, який зменшується шляхом усунення, пом’якшення чи перенесення. Пам’ятайте, що не всі ризики можна усунути, тому вам необхідно уважно відстежувати будь-які загрози, які були прийняті.