Riskienhallinta

Wikipedia
Loikkaa: valikkoon, hakuun

Riskienhallinta on seurauksiltaan merkittävien kielteisten tapahtumien (riskien) järjestelmällistä määrittelyä ja niihin varautumista. Merkittäviä riskejä ovat ne, joista tietoisuus vaikuttaa tai vaikuttaisi organisaation johdon päätöksentekoon. Riskienhallinta on prosessi, joka nivoutuu toimintoihin, joiden riskejä käsitellään.

Riskien määrittely[muokkaa | muokkaa wikitekstiä]

Riskien määrittely käsittää

  • riskien tunnistamisen: tuotetaan luettelo riskeistä jatkokäsittelyä varten.
  • riskien analysoinnin: määritellään, mitä seurauksia tapahtumalla on ja mikä on tapahtuman todennäköisyys.
  • riskien arvioinnin: tehdään päätös siitä, miten analysoitua riskiä käsitellään.
Risk and Control Impact Assessment.JPG

Riskien käsittely[muokkaa | muokkaa wikitekstiä]

Kielteisten tapahtumien seurauksiin ja todennäköisyyksiinkin pyritään vaikuttamaan toimenpitein, jotka päätetään yksittäistapauksissa tehdyn harkinnan perusteella organisaation riskinottohalua vasten peilaten. Toimenpiteinä tulevat kysymykseen

  • Riskin välttäminen. Esimerkiksi luovutaan toiminnasta, johon liittyy liialliseksi koettu riski, tai tietoisesti ei aloita tällaista toimintaa.
  • Riskin tai sen vaikutusten pienentäminen tai kasvattaminen. Vaikutetaan kielteisen tapahtuman todennäköisyyteen (vaikuttamalla tapahtuman alkusyihin) ja/tai seurauksiin (esimerkiksi poikkeusjärjestelysuunnitelmin). Riskiä voidaan tietoisesti kasvattaa esimerkiksi, kun riskienhallintakustannuksista halutaan tinkiä.
  • Riskin jakaminen tai siirtäminen. Riskejä – tai pikemminkin niiden taloudellisia seurauksia - siirretään tai jaetaan tyypillisesti vakuutusten avulla.

Järjestelmällinen riskienhallinta[muokkaa | muokkaa wikitekstiä]

Riskienhallintaa varten voidaan luoda järjestelmä, jossa ovat määriteltyinä riskienhallintapolitiikka, riskienhallinnassa ja sen kehittämisessä sovellettavat menettelyt, riskienhallinnan eri toimijoiden tehtäväjako, riskien tarkkailu- ja raportointimekanismit ja riskienhallinnan tuki.

Riskinhallinnan menetelmiä ja suosituksia[muokkaa | muokkaa wikitekstiä]

Riskienhallintaan on kehitetty erilaisia menetelmiä. Tällaisia ovat muun muassa Carnegie Mellon yliopiston kehittämä Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE). OCTAVE-menetelmä sisältää erityisesti isoille (300 tai useamman työntekijän) organisaatioille räätälöidyn OCTAVE Method -menetelmän[1]. OCTAVE-S-menetelmä on suunniteltu pienten (100 tai vähemmän työntekijän) organisaatioille[2]. OCTAVE Allegro -menetelmä keskittyy erityisesti organisaatioiden tietorekistereihin kohdistuvien riskien hallintaan[3].

Yhdysvaltalainen National Institute of Standards and Technology (NIST) -organisaatio on antanut erilaisia suosituksia organisaatioiden riskienhallinnalle. Suositukset luotiin osana Federal Information Security Management Act (FISMA) -projektia:

  1. NIST Special Publication 800-30, Risk Management Guide for Information Technology Systems (Final)
  2. NIST Special Publication 800-37, Revision 1, Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach (Final)
  3. NIST Special Publication 800-39, Managing Information Security Risk: Organization, Mission, and Information System View (Final)
  4. NIST Special Publication 800-53 Revision 3, Recommended Security Controls for Federal Information Systems and Organizations (Final).

Lähteet[muokkaa | muokkaa wikitekstiä]

Viitteet[muokkaa | muokkaa wikitekstiä]

  1. OCTAVE Method. "OCTAVE Method -kotisivu". Viitattu 21. tammikuuta 2013.
  2. OCTAVE-S. "OCTAVE-S-kotisivu". Viitattu 21. tammikuuta 2013.
  3. OCTAVE Allegro. "OCTAVE Allegro -kotisivu". Viitattu 21. tammikuuta 2013.

Kirjallisuutta[muokkaa | muokkaa wikitekstiä]

Aiheesta muualla[muokkaa | muokkaa wikitekstiä]