सूचना सुरक्षा जोखिम मूल्यांकन उद्यम प्रबंधन प्रथाओं का एक अनिवार्य हिस्सा है जो जोखिम स्वीकृति और संगठन के लिए प्रासंगिक लक्ष्यों के लिए तत्वों के खिलाफ जोखिमों की पहचान, परिमाण और प्राथमिकता प्रदान करता है।
जोखिम प्रबंधन एक ऐसी प्रक्रिया को परिभाषित करता है जिसमें उन घटनाओं की पहचान, प्रबंधन और उन्मूलन या कमी शामिल है जो सूचना प्रणाली के संसाधनों को नकारात्मक रूप से प्रभावित कर सकते हैं ताकि सुरक्षा जोखिमों को कम किया जा सके जो संभावित रूप से एक स्वीकार्य मूल्य के अधीन सूचना प्रणाली को प्रभावित करने की क्षमता रखते हैं। सुरक्षा परिभाषित करता है जिसमें जोखिम विश्लेषण, "लागत-प्रभावशीलता" पैरामीटर का विश्लेषण, और सुरक्षा उपप्रणाली का चयन, निर्माण और परीक्षण, और सुरक्षा के सभी तत्वों का अध्ययन शामिल है।
एक सुरक्षा जोखिम मूल्यांकन (या एसआरए) एक ऐसा आकलन है जिसमें कंपनी में जोखिमों को पहचानना, तकनीक और यह जांचने की प्रक्रिया है कि सुरक्षा खतरों से बचाव के लिए नियंत्रण मौजूद हैं। सुरक्षा जोखिम आकलन आम तौर पर भुगतान कार्ड सुरक्षा के लिए पीसीआई-डीएसएस मानकों सहित अनुपालन मानकों द्वारा आवश्यक होते हैं।
सुरक्षा जोखिम आकलन एक सुरक्षा मूल्यांकनकर्ता द्वारा कार्यान्वित किया जाता है जो जोखिम के क्षेत्रों को पहचानने के लिए कंपनी सिस्टम के सभी तत्वों की गणना करेगा। ये एक सिस्टम की तरह सरल हो सकते हैं जो कमजोर पासवर्ड को सक्षम बनाता है, या असुरक्षित व्यावसायिक प्रक्रियाओं सहित अधिक जटिल समस्याएं हो सकती हैं। संभावित जोखिमों को पहचानने के लिए काम करते समय मूल्यांकनकर्ता आम तौर पर एचआर नीतियों से लेकर फ़ायरवॉल कॉन्फ़िगरेशन तक सब कुछ की समीक्षा करेगा।
उदाहरण के लिए, खोज चरण के दौरान एक मूल्यांकनकर्ता किसी भी संवेदनशील डेटा, एक संपत्ति वाले सभी डेटाबेस को पहचान लेगा। वह डेटाबेस इंटरनेट से जुड़ा है, एक भेद्यता। यह उस संपत्ति की रक्षा कर सकता है, इसके लिए एक नियंत्रण होना आवश्यक है, और इस मामले में यह एक फ़ायरवॉल होगा।
एक सुरक्षा जोखिम मूल्यांकन कंपनी में कुछ महत्वपूर्ण संपत्तियों, कमजोरियों और नियंत्रणों की पहचान करता है ताकि यह सुनिश्चित किया जा सके कि कुछ जोखिमों को ठीक से कम किया गया है। कंपनी को सुरक्षा जोखिमों से बचाने के लिए सुरक्षा जोखिम मूल्यांकन महत्वपूर्ण है।
एक सुरक्षा जोखिम मूल्यांकन पर्यावरण में मौजूद जोखिमों के ब्लूप्रिंट के साथ हमारा समर्थन करता है और प्रत्येक मुद्दा कितना महत्वपूर्ण है, इस बारे में महत्वपूर्ण जानकारी प्रदान करता है। यह समझना हो सकता है कि सुरक्षा को बढ़ाते समय कहां से शुरू किया जाए जो हमें आपके आईटी संसाधनों और बजट को अधिकतम करने, समय और धन की बचत करने की अनुमति देता है।
सुरक्षा जोखिम आकलन कंपनी की गहन गणना है, या यह एक निश्चित आईटी परियोजना या यहां तक कि एक कंपनी विभाग भी हो सकता है। मूल्यांकन के दौरान, इसका उद्देश्य बुरे लोगों के सामने आने वाली समस्याओं और सुरक्षा खामियों को खोजना है।
मूल्यांकन प्रक्रिया को कमजोरियों को देखते हुए सिस्टम और लोगों की समीक्षा और परीक्षण करना चाहिए। जैसा कि उन्हें खोजा जाता है, उन्हें इस आधार पर रैंक किया जाता है कि वे कंपनी के लिए कितने बड़े जोखिम वाले हैं। परिणामी दस्तावेज़ उन प्रणालियों की पहचान करेगा जो अच्छी तरह से काम कर रही हैं और ठीक से सुरक्षित हैं, और जिन्हें समस्या है। सुरक्षा जोखिम मूल्यांकन में आम तौर पर निश्चित तकनीकी परिणाम होंगे, जैसे नेटवर्क स्कैनिंग परिणाम या फ़ायरवॉल कॉन्फ़िगरेशन परिणाम।