Come già segnalato ENISA  ha predisposto un sito web pubblico dedicato alle problematiche del Risk Management e Risk Assessment
L’obiettivo del sito è di contribuire alla soluzione delle problematiche ancora irrisolte nell’area del Risk Management e fornire una road-map per lavorare insieme ad esse in ottica europea utilizzando i risultati dell’ENISA ad hoc Working Group.
Di seguito riportiamo alcuni dei contenuti del sito.

Cos’è Risk Management?

Il Risk Management è, in generale, il processo volto a bilanciare le opportunità (di business, di servizio, del mercato) con le possibili perdite ad esse collegate. Esso è parte integrale delle practice di management ed elemento essenziali della corporate governance. Il Risk Management è un processo continuo e consiste di fasi che devono essere realizzate in maniera corretta per assicurare il miglioramento e l’efficacia del processo stesso.
L’Information Security (IS) Risk Management è parte del processo globale di risk management dell’organizzazione oppure essere condotto in maniera autonoma da quest’ultimo.
Dato che l’Information Technology in generale (e l’Information Security in particolare), si devono confrontare con una tecnologia che è sempre in evoluzione è opportunoche l’IS Risk Management sia un processo costante e continuo all’interno dell’organizzazione.

Materiali a disposizione

Il sito mette a disposizione atttraverso la sua pagina di download  la seguente documentazione:

• Deliverable:
• Risk Management - Principles and Inventories (pdf, 1.1 M)
• Templates:
• Template of RM/RA Methods (pdf, 92 K)
• Template of RM/RA Tools (pdf, 96 K)

Risk Management - Principles and Inventories – indice del documento

• 1 INTRODUCTIO 1
• 2 STRUCTURE AND TARGET GROUPS OF THIS DOCUMENT
• 3 POSITIONING RISK MANAGEMENT AND RISK ASSESSMENT
• 3.1 RISK MANAGEMENT WITHIN AN INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS)
• 3.1.1 The need for ISMS
• 3.1.2 Critical success factors for ISMS
• 3.1.3 The ISMS Framework
• 4 RISK MANAGEMENT PROCESSES
• 4.1 OVERVIEW OF THE RISK MANAGEMENT PROCESSES
• 5 THE CORPORATE RISK MANAGEMENT STRATEGY
• 5.1 RISK COMMUNICATION, RISK AWARENESS AND CONSULTING
• 5.2 DEFINITION OF SCOPE AND FRAMEWORK
• 5.2.1 Definition of external environment
• 5.2.2 Definition of internal environment
• 5.2.3 Generating the Risk Management context
• 5.2.4 Formulation of risk criteria
• 6 RISK ASSESSMENT
• 6.1 IDENTIFICATION OF RISKS
• 6.2 ANALYSIS OF RELEVANT RISKS
• 6.3 EVALUATION OF RISKS
• 7 RISK
• 7.1 IDENTIFICATION OF OPTIONS
• 7.2 DEVELOPMENT OF THE ACTION PLAN
• 7.3 APPROVAL OF THE ACTION PLAN
• 7.4 IMPLEMENTATION OF THE ACTION PLAN
• 7.5 IDENTIFICATION OF RESIDUAL RISKS
• 8 RISK ACCEPTANCE (OPTIONAL PROCESS)
• 9 MONITOR AND REVIEW
• 10 INVENTORY OF RISK MANAGEMENT / RISK ASSESSMENT METHODS
• 10.1 AUSTRIAN IT SECURITY HANDBOOK
• 10.2 CRAMM
• 10.3 DUTCH A&K ANALYSIS
• 10.4 EBIOS
• 10.5 ISF METHODS FOR RISK ASSESSMENT AND RISK MANAGEMENT
• 10.6 ISO/IEC IS 13335-2 (ISO/IEC IS 27005)
• 10.7 ISO/IEC IS 17799:2005
• 10.8 ISO/IEC IS 27001 (BS7799-2:2002)
• 10.9 IT-GRUNDSCHUTZ (IT BASELINE PROTECTION MANUAL)
• 10.10 MARION
• 10.11 MEHARI
• 10.12 OCTAVE V2.0 (AND OCTAVE-S V1.0 FOR SMALL AND MEDIUM BUSINESSES)
• 10.13 SP800-30 (NIST)
• 10.14 SYNTHETIC VIEW ON ASSESSED METHODS
• 11 INVENTORY OF RISK MANAGEMENT / RISK ASSESSMENT TOOLS
• 11.1 CALLIO
• 11.2 CASIS
• 11.3 COBRA
• 11.4 COUNTERMEASURES:
• 11.5 CRAMM
• 11.6 EBIOS:
• 11.7 GSTOOL:
• 11.8 ISAMM:
• 11.9 OCTAVE:
• 11.10 PROTEUS:
• 11.11 RA2:
• 11.12 RISKWATCH:
• 12 OPEN ISSUES – ROAD MAP FOR FURTHER ACTIVITIES IN RISK MANAGEMENT.
• 12.1 COMPARABILITY/INTEROPERABILITY OF METHODS AND TOOLS
• 12.2 IDENTIFICATION OF COMBINATIONS OF METHODS
• 12.3 GENERATION OF DEMONSTRATORS AND AWARENESS MATERIAL
• 12.4 CONTINUITY AND EMERGING RISKS
• 12.5 GENERATION OF AN INSTALLED SOFTWARE BASE
• 12.6 INTEGRATION OF RISK MANAGEMENT WITH OTHER PROCESSES/DISCIPLINES
• 12.7 PRIORITIES
• BIBLIOGRAPHY
• ANNEX I: GLOSS
• ANNEX II: STRUCTURE OF TEMPLATE FOR METHOD DESCRIPTION
• A: PRODUCT IDENTITY CARD
• B: SCOPE
• C: USERS VIEWPOINT
• ANNEX III: INVENTORY OF METHODS
• ANNEX IV: STRUCTURE OF TEMPLATE FOR TOOL DESCRIPTION
• ANNEX V: INVENTORY OF TOOLS
• ANNEX VI: STRUCTURE USED FOR THE WORK ON RISK MANAGEMENT AT ENISA

IsacaRoma link

Risk Management

• ENISA: il primo database europeo per il Risk Management / Risk Assessment
• ENISA Risk Management Workshop, 13 ottobre 2006, Roma
• ISACA: Standard, direttive e procedure – l’analisi dei rischi
• AESRM: i rischi della sicurezza fisica
• Sicurezza e Compliance – l’analisi dei rischi
• ISCOM: Nuova Linee Guida sulla Risk Analysis - Approfondimenti
• Corporate governance, internal auditing, risk management: è possibile un approccio low-cost?
• KPMG: nuove sfide per la sicurezza delle informazioni
• Gestione dei rischi operativi per gli intermediari finanziari
• ISCOM - L'analisi e la gestione del rischio: principi e metodi
• COSO Enterprise Risk Management Framework

ENISA

• ENISA: il primo database europeo per il Risk Management / Risk Assessment
• ENISA Risk Management Workshop, 13 ottobre 2006, Roma
  
• ENISA – Intervista ad Isabella Santa, Awareness Raising Working Group Coordinator
• ENISA: nuovi rischi e minacce per la sicurezza delle reti e delle informazioni e piano di azione per il 2008
• ENISA, l’agenzia di sicurezza europea
• Intervista ad Andrea Pirotti, Executive Director di ENISA
• La visione di ENISA
• ENISA: raccolta di informazioni sulle certificazioni di sicurezza – invito a collaborare

ENISA Quarterly

• ENISA Quarterly – Messaggio dal Direttore Esecutivo
• Guida internazionale per la protezione delle infrastrutture critiche informatizzate
• ENISA Quarterly - Come innalzare la Information Security Awareness