Pojdi na glavno vsebino

Kako izdelamo analizo tveganj informacijskih sredstev, ki je uporabna v praksi

19. 07. 2025

Popis informacijskih sredstev in ocena z njimi povezanih tveganj sta danes bistveni sestavini učinkovitega sistema upravljanja informacijske varnosti. Zato ju zahtevata tako Uredba NIS2 in Zakon o informacijski varnosti (ZInfV-1) kot tudi standard ISO/IEC 27001.

Vendar v praksi opažamo, da večina podjetij in organizacij, kljub izpolnjevanju formalnih zahtev, nima uporabnih podatkov, ki bi jim omogočali učinkovito odločanje, pravočasno ukrepanje ali ustrezno odzivanje ob incidentih.

Zakaj?

Splošne in statične evidence. Popisi sredstev so zgolj seznami programske in strojne opreme, brez opredelitve njihove vloge v procesih in poslovnega pomena.

Ocene tveganj brez realne osnove. Tveganja so ocenjena na podlagi občutka ali generičnih lestvic, namesto na podlagi dejanskih podatkov o ranljivostih in grožnjah ter incidentih in preteklih ali možnih posledicah.

Pasivnost in zastarelost. Popisi in ocene se pregledujejo enkrat letno in se ne posodabljajo, čeprav se je narava informacijskih in kibernetskih tveganj v zadnjih petih letih bistveno spremenila.

Pomanjkanje povezave z ukrepi. Zbrani podatki niso uporabni za sprejemanje ali utemeljevanje odločitev, na primer glede prioritet, vlaganj v zaščito ali ravnanja ob kriznih dogodkih.

Kaj pomeni praktično uporabna analiza tveganj informacijskih sredstev?

Natančno opredeljena ključna sredstva. Ne samo tehnično (npr. programska oprema), temveč tudi funkcionalno (npr. kadrovski informacijski sistem KIS).

Vloga v poslovnih procesih. Vsako sredstvo ima opredeljeno vlogo v poslovnih procesih ter jasno izražene odvisnosti in kritičnost.

Merljiva ocena tveganj. Ocene temeljijo na merljivih dejavnikih in finančnih kazalnikih, kar omogoča obravnavo po pomembnosti in utemeljeno odločanje o ukrepih.

Osnova za načrtovanje ukrepov. Takšna analiza niso zgolj podatki za presojo, temveč del uporabnega in dinamičnega sistema zagotavljanja informacijske varnosti.

Če vas zanima, kako jo izdelamo, se nam pridružite na delavnici v sredo, 30. 7. 2025, od 9. do 13. ure, na GZS v Ljubljani.

Vsak udeleženec bo pripravil analizo tveganj ključnih informacijskih sredstev za izbrani poslovni proces in prejel novi priročnik o upravljanju informacijskih tveganj.

Vse informacije in možnost prijave so na tej povezavi.

Za več udeležencev lahko delavnico izvedemo tudi interno, kar po želji sporočite tukaj.

Prijavite se na blog o upravljanju informacijskih tveganj!

V svetu nenehnih kibernetskih groženj in regulativnih zahtev je učinkovito upravljanje informacijskih tveganj pomembno za varnost in uspešnost vsake organizacije.

Z našim blogom boste pridobili:

Če vas navedeno zanima, nam zaupajte svoj elektronski naslov:

Spoštujemo vašo zasebnost, zato vaših podatkov nikoli ne bomo posredovali nobeni tretji osebi in bomo z njimi ravnali v skladu s politiko zasebnosti.

Ta spletna stran vsebuje piškotke

Piškotke uporabljamo za zagotavljanje uporabniku prijaznih spletnih storitev, ki izboljšujejo uporabnikovo izkušnjo.

S klikom na "Strinjam se" se strinjate z uporabo piškotkov, aktiviranjem zunanjih spletnih storitev in prenosom osebnih podatkov, ali pa kliknite na "Nastavitve po meri", če želite opraviti individualno izbiro.

Nastavitve piškotkov
Obvezni piškotki
Ti piškotki so bistvenega pomena, da vam omogočajo uporabo spletne strani.
Analitični piškotki
Ti piškotki zbirajo informacije o tem, kako se obiskovalci vedejo na spletni strani z namenom izboljšanja funkcionalnosti spletne strani.
Trženjski/oglasni piškotki
Tovrstne piškotke najpogosteje uporabljajo oglaševalska in družabna omrežja (tretje strani) z namenom, da vam prikažejo bolj ciljane oglase.