Mělo by být řízení informační bezpečnosti postavené na rizicích nebo opatřeních?
🕒 2 min čtení
Nedávno jsem narazil na otázku, zda by měl být přístup k řízení bezpečnosti založen na rizicích nebo opatřeních.
V zásadě se jedná o problém, který zahraniční literatura popisuje jako risk driven approach vs. control driven approach. Osobně jsem přesvědčen o tom, že pokud má být řízení informační bezpečnosti skutečně efektivní, tak je nutné zkombinovat oba tyto přístupy, neboť tyto přístupy nestojí proti sobě, ale vzájemně se doplňují.
Control driven approach
V tomto případě dochází k implementaci příslušných bezpečnostních opatření a jejich vyhodnocování na základě jejich pouhého uvedení v nějakém standardu, kdy musí být implementována všechna opatření, a pokud nejsou, tak musí být uvedeno, proč ne.
Risk driven approach
V tomto případě dochází k implementaci vybraných bezpečnostních opatření až na základě identifikovaných inherentních rizik a mělo by být zřejmé, jaká bude úroveň zbytkového rizika po jejich implementaci.
Kombinace obou přístupů
Oba přístupy mají samozřejmě své výhody a nevýhody, kterou jsou zachyceny v následující tabulce.
| Control driven approach | Risk driven approach |
| +Bezpečnostní opatření jsou uvedena ve standardu, takže je snadné učinit rozhodnutí, že mají být implementována. | -Bezpečnostní opatření je nutné navrhnout ve vztahu k identifikovanému riziku, což nemusí být triviální. |
| -Mohou být implementována i opatření, která nejsou nezbytně nutná, a tudíž se zbytečně zvyšují náklady. | +Jsou implementována jen opatření, která jsou nezbytně nutná, takže nedochází k neúčelnému vynaložení nákladů. |
| +Musí být zavedena všechna opatření uvedená ve standardu, takže by se nemělo stát, že nějaké bude scházet. | -Nemusí být identifkována všechna rizika a tudíž nemusí být zavedena všechna potřebná opatření. |
| -Obtížně se odpovídá na otázku, proč investovat do zavedení daného opatření a jaké riziko se tím snižuje. | +Každé opatření je odůvodněno nějakým rizikem, které se tímto snižuje. |
Pokud soulad s normativem není vyžadován, je vždy vhodné implementovat základní sadu bezpečnostních opatření a následně provést identifikaci a analýzu rizik v oblastech uvedených ve standardu a tam rovněž vyhledat i vhodná opatření. Tím by mělo být zaručeno, že nic podstatného neopomenete.
Pokud se vám líbí naše články, tak zvažte podporu naši práce – Naskenujte QR kód a přispějte libovolnou částkou.
Děkujeme!
ČERMÁK, Miroslav. Mělo by být řízení informační bezpečnosti postavené na rizicích nebo opatřeních?. Online. Clever and Smart. 2019. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/melo-by-byt-rizeni-informacni-bezpecnosti-postavene-na-rizicich-nebo-opatrenich/. [cit. 2025-11-13].
Štítky: řízení informačních rizik
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.