การวิเคราะห์ความเสี่ยงกำหนดการตรวจสอบความเสี่ยงที่เกี่ยวข้องกับการกระทำหรือเหตุการณ์ที่เฉพาะเจาะจง การวิเคราะห์ความเสี่ยงจะใช้กับเทคโนโลยีสารสนเทศ โครงการ ปัญหาด้านความปลอดภัย และเหตุการณ์อื่นๆ ที่สามารถวิเคราะห์ความเสี่ยงตามเกณฑ์เชิงปริมาณและเชิงคุณภาพ
โดยมีขั้นตอนตามขั้นตอนการวิเคราะห์ความเสี่ยงดังนี้ −
-
จัดตั้งทีมประเมินความเสี่ยง − ทีมประเมินความเสี่ยงจะรับผิดชอบในการรวบรวม วิเคราะห์ และจัดทำเอกสารผลการประเมินให้ฝ่ายบริหาร จำเป็นต้องกำหนดบางแง่มุมของเวิร์กโฟลว์กิจกรรมในทีม เช่น ทรัพยากรบุคคล กระบวนการบริหารจัดการ ระบบอัตโนมัติ และการรักษาความปลอดภัยทางกายภาพ
-
กำหนดขอบเขตของโครงการ − ทีมประเมินควรตระหนักตั้งแต่เริ่มแรกถึงเป้าหมายของโครงการประเมิน แผนก หรือเหตุการณ์หน้าที่ที่จะได้รับการประเมิน ความรับผิดชอบของสมาชิกในทีม บุคลากรที่จะสัมภาษณ์ มาตรฐานที่ใช้ เอกสารที่ต้องตรวจสอบ และดำเนินการตรวจสอบ
-
ระบุสินทรัพย์ที่ครอบคลุมโดยการประเมิน − สินทรัพย์อาจเกี่ยวข้องแต่ไม่ได้กำหนดไว้สำหรับบุคลากร ฮาร์ดแวร์ ซอฟต์แวร์ ข้อมูล (เช่น การจัดประเภทความอ่อนไหวและความสำคัญ) สิ่งอำนวยความสะดวกและการควบคุมปัจจุบันที่รักษาความปลอดภัยของทรัพย์สินเหล่านั้น เป็นกุญแจสำคัญในการรับรู้สินทรัพย์ทั้งหมดที่เกี่ยวข้องกับโครงการการประเมินที่กำหนดไว้ในขอบเขต
-
จัดหมวดหมู่การสูญเสียที่อาจเกิดขึ้น − สามารถระบุความสูญเสียที่อาจเกิดจากความเสียหายบางประเภทต่อทรัพย์สิน ความสูญเสียอาจเป็นผลมาจากความเสียหายทางกายภาพ การปฏิเสธการบริการ การเปลี่ยนแปลง การเข้าถึงหรือการเปิดเผยโดยไม่ได้รับอนุญาต ความสูญเสียสามารถจับต้องไม่ได้ ซึ่งรวมถึงการสูญเสียความน่าเชื่อถือขององค์กรด้วย
-
ระบุภัยคุกคามและช่องโหว่ − ภัยคุกคามคือเหตุการณ์ ขั้นตอน กิจกรรม หรือกระบวนการที่ใช้ช่องโหว่ในการโจมตีสินทรัพย์ มันเกี่ยวข้องกับภัยคุกคามตามธรรมชาติ การคุกคามโดยไม่ได้ตั้งใจ การคุกคามโดยไม่ได้ตั้งใจของมนุษย์ และการคุกคามที่มุ่งร้ายของมนุษย์ สิ่งเหล่านี้อาจเกี่ยวข้องกับไฟฟ้าขัดข้อง การปนเปื้อนทางชีวภาพหรือการรั่วไหลของสารเคมีที่เป็นอันตราย ลักษณะการทำงาน หรือความล้มเหลวของฮาร์ดแวร์/ซอฟต์แวร์ การกำจัดข้อมูลหรือการสูญเสียความสมบูรณ์ การก่อวินาศกรรม หรือการโจรกรรม หรือการทำลายทรัพย์สิน
ช่องโหว่เป็นจุดอ่อนที่ภัยคุกคามจะใช้เพื่อโจมตีสินทรัพย์ ช่องโหว่สามารถรับรู้ได้โดยการจัดการกับสิ่งต่อไปนี้ในกระบวนการรวบรวมข้อมูล เช่น ความปลอดภัยทางกายภาพ สภาพแวดล้อม ความปลอดภัยของระบบ ความปลอดภัยในการสื่อสาร ความปลอดภัยของบุคลากร แผน นโยบาย กระบวนการ การจัดการ การสนับสนุน ฯลฯ
-
ระบุการควบคุมที่มีอยู่ − การควบคุมคือการป้องกันที่ลดความน่าจะเป็นที่ภัยคุกคามจะใช้ช่องโหว่เพื่อโจมตีสินทรัพย์อย่างรุนแรง สามารถรับรู้ถึงการป้องกันที่ดำเนินการอยู่ในปัจจุบัน และกำหนดประสิทธิภาพในบริบทของการวิเคราะห์ปัจจุบัน
-
วิเคราะห์ข้อมูล − ในขั้นตอนนี้ ข้อมูลที่รวบรวมทั้งหมดจะถูกใช้เพื่อตัดสินความเสี่ยงที่แท้จริงต่อสินทรัพย์ที่อยู่ในการพิจารณา วิธีการวิเคราะห์ข้อมูลประกอบด้วยการจัดเตรียมบันทึกของสินทรัพย์และการแสดงภัยคุกคาม ประเภทของการสูญเสีย และความเสี่ยงที่เกี่ยวข้อง การวิเคราะห์ข้อมูลนี้ควรมีการประเมินความถี่ที่เป็นไปได้ของการล้มที่อาจเกิดขึ้น