• O nas
• Partnerzy
• Konsultanci
• Referencje

• Bezpieczeństwo
• Ochrona danych osobowych
• ISO 27001
• BCP / DRP
• Bezpieczeństwo informacji
• Doradztwo
• IT Governance
• Zarządzanie usługami IT
• IT controllership
• Rzeczoznawstwo
• Pomiar dojrzałości
• Analiza ryzyka
• Audyty Systemów Informatycznych
• Szkolenia
• Audyt informatyczny
• Dane osobowe
• IT Governance
• CobiT
• SZBI
• AEO

• Arkusze kontrolne
• CRSA (Control&Risk Self Assessment)
• RCM (Risk and Control Matrix)
• CSA (Control Self Assessment)

• Cele i zadania
• Dodaj swoje CV do bazy
• Partnerzy DCN

Celem analizy ryzyka jest zidentyfikowanie i ocena zagrożeń dla organizacji oraz przedstawienie rekomendacji działań korygujących w celu redukcji ryzyka. W ramach analizy ryzyka dokonuje się przeglądu całości środowiska IT w oparciu o szereg parametrów mających pośredni lub bezpośredni wpływ finansowy na działanie organizacji.

Decydując się na przeprowadzenie analizy ryzyk zyskacie Państwo:

• Pełną identyfikację zasobów organizacji oraz ich wartości dla organizacji.
• Identyfikację zagrożeń.
• Prognozę możliwości wystąpienia strat w wyniku zmaterializowania się ponoszonych ryzyk.
• Propozycję działań, które zminimalizują przewidywane straty.

W ramach naszych prac wykorzystujemy między innymi następujące metody i standardy pracy:

• The IT Risk Framework, Enterprise Risk: Identify, Govern and Manage IT Risk, ISACA.
• Mehari: metoda zarządzania i analizy ryzyka rozwijana przez CLUSIF - Club de la Sécurité de l'Information Française.
• CRAMM: "CCTA Risk Assessment and Management Methodology" metodyka pierwotnie opracowana na potrzeby rządu Wielkiej Brytani, w okresie późniejszym skomercjalizowana.
• OCTAVE: Operationally Critical Threat, Asset and Vulnerability Evaluation metodologia analizy ryzyka, będąca własnością CERT i przez nią utrzymywana.
• CiticusOne: komercyjne oprogramowanie stworzone przez Citicus, bazujące na jednej z najbardziej znanych metodyk analizy ryzyka zwanej FIRM, opracowanej przez Information Security Forum.
• ISO TR 13335: ten wielostronicowy raport techniczny opracowany przez ISO określany jako wytyczne do zarządzania bezpieczeństwem systemów informatycznych, będzie podstawą opracowywanego standardu ISO 27005 związanego z procesem zarządzania ryzykiem.
• AS/NZS 4360:2004: uznany standard, dotyczący zarządzania ryzykiem, opublikowany wspólnie z Australia Standards oraz New Zealand Standards.
• HB 436:2004: wytyczne do zarządzania ryzykiem rozszerzające standard AS/NZS 4360.
• NIST SP 800-30: wytyczne do zarządzania ryzykiem w systemach IT stworzone przez NIST. Jest to darmowe 55 stronnicowe opracowanie.
• Proteus Enterprise: narzędzie przeznaczone do zarządzania ryzykiem w obszarze bezpieczeństwa, opracowane przez Veridion, a dystrybuowane przez BSI.
• ISO 31000: jest to nowy standard ISO, obecnie na etapie projektu, zawierający wytyczne w zakresie ogólnego implementowania procesu zarządzania ryzykiem. Standard nie jest opracowywany z myślą o IT czy bezpieczeństwie informacji. 

powrót