Riskienhallinta
Tähän artikkeliin tai sen osaan on merkitty lähteitä, mutta niihin ei viitata. Älä poista mallinetta ennen kuin viitteet on lisätty. Voit auttaa Wikipediaa lisäämällä artikkelille asianmukaisia viitteitä. Lähteettömät tiedot voidaan kyseenalaistaa tai poistaa. |
Riskienhallinta on yritystoiminnassa seurauksiltaan merkittävien kielteisten tapahtumien (riskien) järjestelmällistä määrittelyä ja niihin varautumista. Merkittäviä riskejä ovat ne, joista tietoisuus vaikuttaa tai vaikuttaisi organisaation johdon päätöksentekoon. Riskienhallinta on prosessi, joka nivoutuu toimintoihin, joiden riskejä käsitellään.
Riskien määrittely
[muokkaa | muokkaa wikitekstiä]Riskien määrittely käsittää
- riskien tunnistamisen: tuotetaan luettelo riskeistä jatkokäsittelyä varten.
- riskien analysoinnin: määritellään, mitä seurauksia tapahtumalla on ja mikä on tapahtuman todennäköisyys.
- riskien arvioinnin: tehdään päätös siitä, miten analysoitua riskiä käsitellään.
Riskien käsittely
[muokkaa | muokkaa wikitekstiä]Kielteisten tapahtumien seurauksiin ja todennäköisyyksiinkin pyritään vaikuttamaan toimenpitein, jotka päätetään yksittäistapauksissa tehdyn harkinnan perusteella organisaation riskinottohalua vasten peilaten. Toimenpiteinä tulevat kysymykseen
- Riskin välttäminen. Esimerkiksi luovutaan toiminnasta, johon liittyy liialliseksi koettu riski, tai tietoisesti ei aloita tällaista toimintaa.
- Riskin tai sen vaikutusten pienentäminen tai kasvattaminen. Vaikutetaan kielteisen tapahtuman todennäköisyyteen (vaikuttamalla tapahtuman alkusyihin) ja/tai seurauksiin (esimerkiksi poikkeusjärjestelysuunnitelmin). Riskiä voidaan tietoisesti kasvattaa esimerkiksi, kun riskienhallintakustannuksista halutaan tinkiä.
- Riskin jakaminen tai siirtäminen. Riskejä – tai pikemminkin niiden taloudellisia seurauksia - siirretään tai jaetaan tyypillisesti vakuutusten avulla.
Järjestelmällinen riskienhallinta
[muokkaa | muokkaa wikitekstiä]Riskienhallintaa varten voidaan luoda järjestelmä, jossa ovat määriteltyinä riskienhallintapolitiikka, riskienhallinnassa ja sen kehittämisessä sovellettavat menettelyt, riskienhallinnan eri toimijoiden tehtäväjako, riskien tarkkailu- ja raportointimekanismit ja riskienhallinnan tuki.
Riskinhallinnan menetelmiä ja suosituksia
[muokkaa | muokkaa wikitekstiä]Riskienhallintaan on kehitetty erilaisia menetelmiä. Tällaisia ovat muun muassa Carnegie Mellon -yliopiston kehittämä Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE). OCTAVE-menetelmä sisältää erityisesti isoille (300 tai useamman työntekijän) organisaatioille räätälöidyn OCTAVE Method -menetelmän[1]. OCTAVE-S-menetelmä on suunniteltu pienten (100 tai vähemmän työntekijän) organisaatioille[2]. OCTAVE Allegro -menetelmä keskittyy erityisesti organisaatioiden tietorekistereihin kohdistuvien riskien hallintaan[3].
Yhdysvaltalainen National Institute of Standards and Technology (NIST) -organisaatio on antanut erilaisia suosituksia organisaatioiden riskienhallinnalle. Suositukset luotiin osana Federal Information Security Management Act (FISMA) -projektia:
- NIST Special Publication 800-30, Risk Management Guide for Information Technology Systems (Final)
- NIST Special Publication 800-37, Revision 1, Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach (Final)
- NIST Special Publication 800-39, Managing Information Security Risk: Organization, Mission, and Information System View (Final)
- NIST Special Publication 800-53 Revision 3, Recommended Security Controls for Federal Information Systems and Organizations (Final).
Lähteet
[muokkaa | muokkaa wikitekstiä]Viitteet
[muokkaa | muokkaa wikitekstiä]- ↑ OCTAVE Method. "OCTAVE Method -kotisivu". Viitattu 21. tammikuuta 2013.
- ↑ OCTAVE-S. "OCTAVE-S-kotisivu". Viitattu 21. tammikuuta 2013.
- ↑ OCTAVE Allegro. "OCTAVE Allegro -kotisivu". Viitattu 21. tammikuuta 2013.
Aiheesta muualla
[muokkaa | muokkaa wikitekstiä]- Federal Information Security Management Act (FISMA) Implementation Project National Institute of Standards and Technology (NIST). Viitattu 21.1.2013. eng
- Joint Technical Committee OB-007: Australian/New Zealand Standard "Risk Management" ISBN 0-7337-5904-1
- SFS-ISO 31000:2018 Riskienhallinta - Ohjeet
- National Institute of Standards and Technology (html) National Institute of Standards and Technology (NIST). Viitattu 21.1.2013. eng
- NIST Special Publication 800-30, Risk Management Guide for Information Technology Systems (Final) (pdf) 2002. National Institute of Standards and Technology (NIST). Viitattu 21.1.2013. eng
- NIST Special Publication 800-37, Revision 1, Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach (Final) (pdf) 2010. National Institute of Standards and Technology (NIST). Viitattu 21.1.2013. eng
- NIST Special Publication 800-39, Managing Information Security Risk: Organization, Mission, and Information System View (Final) (pdf) 2011. National Institute of Standards and Technology (NIST). Viitattu 21.1.2013. eng
- NIST Special Publication 800-53 Revision 3, Recommended Security Controls for Federal Information Systems and Organizations (Final) (pdf) 2010. National Institute of Standards and Technology (NIST). Viitattu 21.1.2013. eng
- OCTAVE 2008. Carnegie Mellon University, Software Engineering Institute. Viitattu 21.1.2013. eng
- Committee of Sponsoring Organizations of the Treadway Commission: Enterprise Risk Management — Integrated Framework (Arkistoitu – Internet Archive)
- Pk-yrityksen riskienhallinta
- Vaarojen selvittäminen ja riskien arviointi (Arkistoitu – Internet Archive)