जोखिम विश्लेषण विशिष्ट कार्रवाई या घटना से संबंधित जोखिमों की समीक्षा को परिभाषित करता है। जोखिम विश्लेषण का उपयोग सूचना प्रौद्योगिकी, परियोजनाओं, सुरक्षा मुद्दों और किसी अन्य घटना के लिए किया जाता है जहां मात्रात्मक और गुणात्मक आधार पर जोखिमों का विश्लेषण किया जा सकता है।
जोखिम विश्लेषण प्रक्रिया के बाद कुछ चरण इस प्रकार हैं -
-
जोखिम आकलन टीम की स्थापना करें - जोखिम मूल्यांकन टीम प्रबंधन के लिए मूल्यांकन परिणामों के संग्रह, विश्लेषण और दस्तावेजीकरण के लिए जवाबदेह होगी। यह आवश्यक है कि टीम पर गतिविधि कार्य प्रवाह के कुछ पहलुओं को परिभाषित किया जाए, जैसे मानव संसाधन, प्रशासनिक प्रक्रियाएं, स्वचालित सिस्टम और भौतिक सुरक्षा।
-
परियोजना का दायरा निर्धारित करें - मूल्यांकन टीम को मूल्यांकन परियोजना, विभाग, या मूल्यांकन की जाने वाली कार्यात्मक घटनाओं के लक्ष्यों, टीम के सदस्यों की जिम्मेदारियों, साक्षात्कार के लिए कर्मियों, उपयोग किए जाने वाले मानकों, निरीक्षण किए जाने वाले दस्तावेज़ीकरण के लक्ष्यों को शुरू में पहचानना चाहिए। और संचालन की जाँच की जानी है।
-
आकलन के दायरे में आने वाली संपत्तियों की पहचान करें - संपत्ति में शामिल हो सकते हैं, लेकिन कर्मियों, हार्डवेयर, सॉफ्टवेयर, डेटा (जैसे संवेदनशीलता और महत्वपूर्णता का वर्गीकरण), सुविधाओं और वर्तमान नियंत्रणों को परिभाषित नहीं किया जा सकता है जो उन संपत्तियों की सुरक्षा करते हैं। दायरे में निर्धारित मूल्यांकन परियोजना से संबंधित सभी संपत्तियों को पहचानने की कुंजी है।
-
संभावित हानियों को वर्गीकृत करें - यह उन नुकसानों की पहचान कर सकता है जो किसी परिसंपत्ति को किसी प्रकार की क्षति के परिणामस्वरूप हो सकते हैं। नुकसान शारीरिक क्षति, सेवा से इनकार, परिवर्तन, अनधिकृत पहुंच या प्रकटीकरण के परिणामस्वरूप हो सकते हैं। नुकसान अमूर्त हो सकते हैं, जिसमें संगठनों की विश्वसनीयता का नुकसान भी शामिल है।
-
खतरों और कमजोरियों की पहचान करें - खतरा एक ऐसी घटना, प्रक्रिया, गतिविधि या प्रक्रिया है जो किसी संपत्ति पर हमला करने के लिए भेद्यता का फायदा उठाती है। इसमें प्राकृतिक खतरे, आकस्मिक खतरे, मानवीय आकस्मिक खतरे और मानवीय दुर्भावनापूर्ण खतरे शामिल हैं। इनमें बिजली की विफलता, जैविक संदूषण या खतरनाक रासायनिक फैल, सुविधाओं के कार्य, या हार्डवेयर/सॉफ़्टवेयर विफलता, डेटा उन्मूलन या अखंडता की हानि, तोड़फोड़, या चोरी या बर्बरता शामिल हो सकते हैं।
भेद्यता एक कमजोरी है जिसका उपयोग संपत्ति पर हमला करने के लिए किया जाएगा। कमजोरियों को भौतिक सुरक्षा, पर्यावरण, सिस्टम सुरक्षा, संचार सुरक्षा, कर्मियों की सुरक्षा, योजनाओं, नीतियों, प्रक्रियाओं, प्रबंधन, समर्थन जैसे डेटा संग्रह प्रक्रिया में निम्नलिखित को संबोधित करके पहचाना जा सकता है। , आदि.
-
मौजूदा नियंत्रणों की पहचान करें - नियंत्रण ऐसे सुरक्षा उपाय हैं जो इस संभावना को कम करते हैं कि एक खतरा किसी संपत्ति पर जोरदार हमला करने के लिए एक भेद्यता का फायदा उठाएगा। यह उन सुरक्षा उपायों को पहचान सकता है जो वर्तमान में निष्पादित हैं, और वर्तमान विश्लेषण के संदर्भ में उनकी प्रभावशीलता निर्धारित कर सकते हैं।
-
डेटा का विश्लेषण करें - इस चरण में, सभी एकत्रित डेटा का उपयोग विचाराधीन संपत्तियों के वास्तविक जोखिमों को तय करने के लिए किया जाएगा। डेटा का विश्लेषण करने की एक विधि में संपत्ति का रिकॉर्ड तैयार करना और संबंधित खतरों, नुकसान के प्रकार और भेद्यता को प्रदर्शित करना शामिल है। इस डेटा के विश्लेषण में संभावित गिरावट की संभावित आवृत्ति का आकलन शामिल होना चाहिए।