რისკების შეფასება ერთ-ერთი მთავარი კომპონენტია ორგანიზაციის რიკების მართვის ჰოლისტიკურ პროცესში. რისკების მართვის პროცესი მოიცავს:
რისკების იდენტიფიკაციას;
რისკების შეფასებას;
რისკებზე რეაგირებას;
რისკების მონიტორინგს.
ქვემოთ გრაფიკულად არის გამოსახული ოთხი ძირითადი ნაბიჯი რისკების მართვის პროცესში - რისკების იდენტიფიკაცია, შეფასება, რეაგირება, მონიტორინგი და ინფორმაციისა და კომუნიკაციის ნაკადები. ამ კომპონენტთა ერთობლიობა უზრუნველყოფს პროცესის ეფექტურ მუშაობას.
პირველი ეტაპი რისკების მენეჯმენტში რისკების იდენტიფიკაცია და შეფასებაა. ორგანიზაციები ატარებენ რისკების შეფასებას, რათა განსაზღვრონ რა რისკები ახლავს თან მისი ძირითადი მისიის და ბიზნეს-ფუნქციების განხორციელებას, ბიზნეს-პროცესებს, პროცესების სეგმენტებს, ინფრასტრუქტურას, სერვისებს და ინფორმაციულ სისტემებს. რისკების შეფასება საფუძველია მრავალი რისკებთან დაკავშირებული გადაწყვეტილებების და აქტივობებისა, რომელიც მენეჯმენტის იერარქიის ყველა საფეხურზე მიიღება და ხორციელდება.
რისკების შეფასების ეტაპი ოთხი საფეხურისაგან შედგება:
(1) შეფასებისათვის მომზადება;
(2) შეფასების ჩატარება;
(3) შედეგების გაცნობა შესაბამისი მხარეებისათვის:
(4) შეფასების მხარდაჭერა.
თითოეული საფეხური დაყოფილია ამოცანებად, ისე, როგორც ქვემოთაა მოცემული.
რისკების შეფასების ჩატარება მოიცავს შემდეგ ღონისძიებებს:
- ორგანიზაციის რისკების წყაროების იდენტიფიკაცია;
- ამ წყაროებიდან მომდინარე საფრთხის შემცველი ინციდენტების იდენტიფიკაცია;
- ორგანიზაციის იმ შიდა სისუსტეების იდენტიფიკაცია, რომელიც საფრთხის შემცველი წყაროების
მიერ შეიძლება იქნას გამოყენებული. ასეთი სისუსტეების გამოვლენა სპეციფიკური
ინციდენტების ან წინასწარ შექმნილი მდგომარეობის შედეგად ხდება;
- საფრთხის წყაროების მიერ სპეციფიკური საფრთხის შემცველი მოქმედებების ინიცირების და
მათი წარმატებით განხორციელების ალბათობის შეფასება;
- სისუსტეების გამოყენების შედეგად გამოწვეული საფრთხეების გავლენის შეფასება
ორგანიზაციაზე, ადამიანებზე, სხვა ორგანიზაციებსა და ქვეყანაზე;
- სისუსტეების გამოყენების ან მათი გამოყენების მაღალი ალბათობის შედეგად შექმნილი
ინფორმაციული უსაფრთხოების რისკების განსაზღვრა.