რისკების შეფასება ერთ-ერთი მთავარი კომპონენტია ორგანიზაციის რიკების მართვის ჰოლისტიკურ პროცესში. რისკების მართვის პროცესი მოიცავს:
რისკების იდენტიფიკაციას;
რისკების შეფასებას;
რისკებზე რეაგირებას;
რისკების მონიტორინგს.
ქვემოთ გრაფიკულად არის გამოსახული ოთხი ძირითადი ნაბიჯი რისკების მართვის პროცესში - რისკების იდენტიფიკაცია, შეფასება, რეაგირება, მონიტორინგი და ინფორმაციისა და კომუნიკაციის ნაკადები. ამ კომპონენტთა ერთობლიობა უზრუნველყოფს პროცესის ეფექტურ მუშაობას.
![](http://varzia.com/uploads/files/Risk%20Management%20Geo.png)
პირველი ეტაპი რისკების მენეჯმენტში რისკების იდენტიფიკაცია და შეფასებაა. ორგანიზაციები ატარებენ რისკების შეფასებას, რათა განსაზღვრონ რა რისკები ახლავს თან მისი ძირითადი მისიის და ბიზნეს-ფუნქციების განხორციელებას, ბიზნეს-პროცესებს, პროცესების სეგმენტებს, ინფრასტრუქტურას, სერვისებს და ინფორმაციულ სისტემებს. რისკების შეფასება საფუძველია მრავალი რისკებთან დაკავშირებული გადაწყვეტილებების და აქტივობებისა, რომელიც მენეჯმენტის იერარქიის ყველა საფეხურზე მიიღება და ხორციელდება.
რისკების შეფასების ეტაპი ოთხი საფეხურისაგან შედგება:
(1) შეფასებისათვის მომზადება;
(2) შეფასების ჩატარება;
(3) შედეგების გაცნობა შესაბამისი მხარეებისათვის:
(4) შეფასების მხარდაჭერა.
თითოეული საფეხური დაყოფილია ამოცანებად, ისე, როგორც ქვემოთაა მოცემული.
![](http://varzia.com/uploads/files/Risk%20Assessment%20Process%20Geo.png)
რისკების შეფასების ჩატარება მოიცავს შემდეგ ღონისძიებებს:
- ორგანიზაციის რისკების წყაროების იდენტიფიკაცია;
- ამ წყაროებიდან მომდინარე საფრთხის შემცველი ინციდენტების იდენტიფიკაცია;
- ორგანიზაციის იმ შიდა სისუსტეების იდენტიფიკაცია, რომელიც საფრთხის შემცველი წყაროების
მიერ შეიძლება იქნას გამოყენებული. ასეთი სისუსტეების გამოვლენა სპეციფიკური
ინციდენტების ან წინასწარ შექმნილი მდგომარეობის შედეგად ხდება;
- საფრთხის წყაროების მიერ სპეციფიკური საფრთხის შემცველი მოქმედებების ინიცირების და
მათი წარმატებით განხორციელების ალბათობის შეფასება;
- სისუსტეების გამოყენების შედეგად გამოწვეული საფრთხეების გავლენის შეფასება
ორგანიზაციაზე, ადამიანებზე, სხვა ორგანიზაციებსა და ქვეყანაზე;
- სისუსტეების გამოყენების ან მათი გამოყენების მაღალი ალბათობის შედეგად შექმნილი
ინფორმაციული უსაფრთხოების რისკების განსაზღვრა.