Pojem residual risk se obvykle překládá jako zbytkové riziko. V odborné literatuře i praxi se jím rozumí riziko, které přetrvává po implementaci opatření.

Přes tuto obecnou definici však existuje značná nejasnost, kdy je vhodné riziko skutečně považovat za zbytkové.

Klasifikace rizik podle jejich závažnosti je nedílnou součástí každého systému řízení rizik. Počet a definice jednotlivých úrovní ovlivňuje, jak budou rizika interpretována a jak budou alokovány zdroje na jejich zvládání.

Přestože se zdá, že čím více úrovní, tím detailnější pohled, v praxi platí, že ani extrémní zjednodušení, ani přílišná složitost nevedou k efektivnímu řízení.

Tento příspěvek se snaží přinést jiný pohled na kvantifikaci datových aktiv.

V okamžiku, kdy v rámci analýzy rizik provádíme kvantifikaci aktiv, klademe si obvykle otázku, jaký by byl finanční a nefinanční dopad v případě, že by došlo k narušení důvěrnosti, integrity a dostupnosti těchto aktiv.

Cílem tohoto příspěvku je zamyslet se nad tím, jaké informace a na jakém médiu mohou být uloženy.

Byť se již před mnoha lety hovořilo o tzv. paperless office (bezpapírová kancelář), tak i dnes je spousta informací, které organizace shromažďuje a zpracovává, uložena v papírové podobě. Nezapomínejte prosím na tuto skutečnost, až budete provádět identifikaci datových aktiv. Pokud jsou informace uloženy v elektronické podobě, tak se obvykle nachází na:

Cílem tohoto příspěvku je zamyslet se nad tím, jak stanovit hodnotu dopadu ve finančních jednotkách.

Chtěl bych předeslat, že hodnotu dopadu není možné stanovit přesně, protože ač jsou některé hodnoty, které do výpočtu celkové výše dopadu vstupují, dané, tak jsou zde i takové, u kterých je jejich výši nutné stanovit za použití statistických metod. První, co každého CIO napadne, je spočítat náklady na:

V praxi se setkáváme se dvěma hlavními přístupy k hodnocení rizik. kvalitativním a kvantitativním. Na první pohled jde o dvě srovnatelné metodiky, které mají své výhody a nevýhody.

Přestože se zdají být komplementární, při bližším pohledu zjistíme, že kvalitativní analýza stojí na problematickém základu, který zásadně omezuje její vypovídací schopnost.

Kvalitativní analýza rizik je založena na expertním odhadu jednotlivých aktiv, hrozeb a zranitelností. Pro jejich vyjádření používá slovního či číselného hodnocení a umožňuje tak rychle identifikovat největší rizika, která mohou společnost ohrozit.

Cílem tohoto příspěvku je stručně charakterizovat jednotlivé fáze procesu řízení rizik, které jsou detailně popsány v knize „Řízení informačních rizik v praxi“.

Řízení rizik (risk management) je komplexní proces skládající se z několika fází, které na sebe navazují a vytvářejí jakousi smyčku viz obrázek. Cílem řízení rizik je identifikace a kvantifikace rizik, kterým musí společnost čelit a především rozhodnutí o vhodném způsobu zvládání těchto rizik. Všimněte si, že píši o zvládání rizik, nikoliv o jejich snížení na přijatelnou úroveň, jak se dost často uvádí. Je tomu tak proto, že snížení rizika je jen jednou z několika nejčastěji používaných metod.

Cílem tohoto příspěvku je vysvětlit základní pojmy a stručně charakterizovat jednotlivé fáze analýzy rizik.

Analýza rizik by měla přinést odpověď na otázku, působení jakých hrozeb je společnost vystavena, jak moc jsou její aktiva vůči těmto hrozbám zranitelná, jak vysoká je pravděpodobnost, že hrozba zneužije určitou zranitelnost a jaký dopad by to na společnost mohlo mít. V analýze rizik se používají následující pojmy:

Cílem tohoto příspěvku je stručně charakterizovat jednotlivé metody zvládání rizik a doplnit informace uvedené v knize „Řízení informačních rizik v praxi“.

Fáze zvládání rizik (risk treatment/handling) spočívá ve volbě vhodné metody zvládání rizik. Mezi nejběžnější metody zvládání rizik patří akceptace a redukce rizika. Ač se jedná o metody nejčastější, nejsou zdaleka jediné. Pojďme se společně podívat i na ostatní metody, stručně si je charakterizovat a zamyslet se nad tím, kdy je vhodné tu či onu metodu použít.