Published on Isacaroma Newsletter (http://www.isacaroma.it/html/newsletter)

ENISA: il sito dedicato al Risk management ed assessment

By Redazione

Creato 2006-09-30 17:48

060930-enisa-riskmng2 Come già segnalato [1] ENISA [2] ha predisposto un sito web pubblico [3] dedicato alle problematiche del Risk Management e Risk Assessment
L’obiettivo del sito è di contribuire alla soluzione delle problematiche ancora irrisolte nell’area del Risk Management e fornire una road-map per lavorare insieme ad esse in ottica europea utilizzando i risultati dell’ENISA ad hoc Working Group [4].
Di seguito riportiamo alcuni dei contenuti del sito.

Cos’è Risk Management?

Il Risk Management è, in generale, il processo volto a bilanciare le opportunità (di business, di servizio, del mercato) con le possibili perdite ad esse collegate. Esso è parte integrale delle practice di management ed elemento essenziali della corporate governance. Il Risk Management è un processo continuo e consiste di fasi che devono essere realizzate in maniera corretta per assicurare il miglioramento e l’efficacia del processo stesso.
L’Information Security (IS) Risk Management è parte del processo globale di risk management dell’organizzazione oppure essere condotto in maniera autonoma da quest’ultimo.
Dato che l’Information Technology in generale (e l’Information Security in particolare), si devono confrontare con una tecnologia che è sempre in evoluzione è opportunoche l’IS Risk Management sia un processo costante e continuo all’interno dell’organizzazione.

Materiali a disposizione

Il sito mette a disposizione atttraverso la sua pagina di download [5] la seguente documentazione:

Risk Management - Principles and Inventories (pdf [6], 1.1 M)

Template of RM/RA Methods (pdf [7], 92 K)

Template of RM/RA Tools (pdf [8], 96 K)

Risk Management - Principles and Inventories – indice del documento

1 INTRODUCTIO 1
2 STRUCTURE AND TARGET GROUPS OF THIS DOCUMENT
3 POSITIONING RISK MANAGEMENT AND RISK ASSESSMENT

3.1 RISK MANAGEMENT WITHIN AN INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS)

3.1.1 The need for ISMS
3.1.2 Critical success factors for ISMS
3.1.3 The ISMS Framework

4 RISK MANAGEMENT PROCESSES

4.1 OVERVIEW OF THE RISK MANAGEMENT PROCESSES

5 THE CORPORATE RISK MANAGEMENT STRATEGY

5.1 RISK COMMUNICATION, RISK AWARENESS AND CONSULTING

5.2 DEFINITION OF SCOPE AND FRAMEWORK

5.2.1 Definition of external environment
5.2.2 Definition of internal environment
5.2.3 Generating the Risk Management context
5.2.4 Formulation of risk criteria

6 RISK ASSESSMENT

6.1 IDENTIFICATION OF RISKS
6.2 ANALYSIS OF RELEVANT RISKS
6.3 EVALUATION OF RISKS

7 RISK

7.1 IDENTIFICATION OF OPTIONS
7.2 DEVELOPMENT OF THE ACTION PLAN
7.3 APPROVAL OF THE ACTION PLAN
7.4 IMPLEMENTATION OF THE ACTION PLAN
7.5 IDENTIFICATION OF RESIDUAL RISKS

8 RISK ACCEPTANCE (OPTIONAL PROCESS)
9 MONITOR AND REVIEW
10 INVENTORY OF RISK MANAGEMENT / RISK ASSESSMENT METHODS

10.1 AUSTRIAN IT SECURITY HANDBOOK
10.2 CRAMM
10.3 DUTCH A&K ANALYSIS
10.4 EBIOS
10.5 ISF METHODS FOR RISK ASSESSMENT AND RISK MANAGEMENT
10.6 ISO/IEC IS 13335-2 (ISO/IEC IS 27005)
10.7 ISO/IEC IS 17799:2005
10.8 ISO/IEC IS 27001 (BS7799-2:2002)
10.9 IT-GRUNDSCHUTZ (IT BASELINE PROTECTION MANUAL)
10.10 MARION
10.11 MEHARI
10.12 OCTAVE V2.0 (AND OCTAVE-S V1.0 FOR SMALL AND MEDIUM BUSINESSES)
10.13 SP800-30 (NIST)
10.14 SYNTHETIC VIEW ON ASSESSED METHODS

11 INVENTORY OF RISK MANAGEMENT / RISK ASSESSMENT TOOLS

11.1 CALLIO
11.2 CASIS
11.3 COBRA
11.4 COUNTERMEASURES:
11.5 CRAMM
11.6 EBIOS:
11.7 GSTOOL:
11.8 ISAMM:
11.9 OCTAVE:
11.10 PROTEUS:
11.11 RA2:
11.12 RISKWATCH:

12 OPEN ISSUES – ROAD MAP FOR FURTHER ACTIVITIES IN RISK MANAGEMENT.

12.1 COMPARABILITY/INTEROPERABILITY OF METHODS AND TOOLS
12.2 IDENTIFICATION OF COMBINATIONS OF METHODS
12.3 GENERATION OF DEMONSTRATORS AND AWARENESS MATERIAL
12.4 CONTINUITY AND EMERGING RISKS
12.5 GENERATION OF AN INSTALLED SOFTWARE BASE
12.6 INTEGRATION OF RISK MANAGEMENT WITH OTHER PROCESSES/DISCIPLINES
12.7 PRIORITIES

BIBLIOGRAPHY
ANNEX I: GLOSS
ANNEX II: STRUCTURE OF TEMPLATE FOR METHOD DESCRIPTION

A: PRODUCT IDENTITY CARD
B: SCOPE
C: USERS VIEWPOINT

ANNEX III: INVENTORY OF METHODS
ANNEX IV: STRUCTURE OF TEMPLATE FOR TOOL DESCRIPTION
ANNEX V: INVENTORY OF TOOLS
ANNEX VI: STRUCTURE USED FOR THE WORK ON RISK MANAGEMENT AT ENISA

IsacaRoma link

Risk Management

ENISA: il primo database europeo per il Risk Management / Risk Assessment [9]

ENISA Risk Management Workshop, 13 ottobre 2006, Roma [10]

ISACA: Standard, direttive e procedure – l’analisi dei rischi [11]

AESRM: i rischi della sicurezza fisica [12]

Sicurezza e Compliance – l’analisi dei rischi [13]

ISCOM: Nuova Linee Guida sulla Risk Analysis - Approfondimenti [14]

Corporate governance, internal auditing, risk management: è possibile un approccio low-cost? [15]

KPMG: nuove sfide per la sicurezza delle informazioni [16]

Gestione dei rischi operativi per gli intermediari finanziari [17]

ISCOM - L'analisi e la gestione del rischio: principi e metodi [18]

COSO Enterprise Risk Management Framework [19]

ENISA

ENISA: il primo database europeo per il Risk Management / Risk Assessment [20]

ENISA Risk Management Workshop, 13 ottobre 2006, Roma [21]

ENISA – Intervista ad Isabella Santa, Awareness Raising Working Group Coordinator [22]

ENISA: nuovi rischi e minacce per la sicurezza delle reti e delle informazioni e piano di azione per il 2008 [23]

ENISA, l’agenzia di sicurezza europea [24]

Intervista ad Andrea Pirotti, Executive Director di ENISA [25]

La visione di ENISA [26]

ENISA: raccolta di informazioni sulle certificazioni di sicurezza – invito a collaborare [27]

ENISA Quarterly

ENISA Quarterly – Messaggio dal Direttore Esecutivo [28]

Guida internazionale per la protezione delle infrastrutture critiche informatizzate [29]

ENISA Quarterly - Come innalzare la Information Security Awareness [30]

Source URL:
http://www.isacaroma.it/html/newsletter/node/250

Links:
[1] http://www.isacaroma.it/html/newsletter/node/249
[2] http://www.enisa.europa.eu
[3] http://www.enisa.europa.eu/rmra/rm_home.html
[4] http://www.enisa.eu.int/pages/ENISA_Working_Group_on_Risk_assessment_and_Risk_Management.htm
[5] http://www.enisa.europa.eu/rmra/downloads.html
[6] http://www.enisa.europa.eu/rmra/files/D1_Inventory_of_Methods_Risk_Management_Final.pdf
[7] http://www.enisa.europa.eu/rmra/files/method_template.pdf
[8] http://www.enisa.europa.eu/rmra/files/tool_template.pdf
[9] http://www.isacaroma.it/html/newsletter/node/249
[10] http://www.isacaroma.it/html/newsletter/node/246
[11] http://www.isacaroma.it/html/newsletter/node/238
[12] http://www.isacaroma.it/html/newsletter/node/231
[13] http://www.isacaroma.it/html/newsletter/node/225
[14] http://www.isacaroma.it/html/newsletter/node/220
[15] http://www.isacaroma.it/html/newsletter/node/170
[16] http://www.isacaroma.it/html/newsletter/node/164
[17] http://www.isacaroma.it/html/newsletter/node/148
[18] http://www.isacaroma.it/html/newsletter/node/118
[19] http://www.isacaroma.it/html/newsletter/node/12
[20] http://www.isacaroma.it/html/newsletter/node/249
[21] http://www.isacaroma.it/html/newsletter/node/246
[22] http://www.isacaroma.it/html/newsletter/node/211
[23] http://www.isacaroma.it/html/newsletter/node/156
[24] http://www.isacaroma.it/html/newsletter/node/23
[25] http://www.isacaroma.it/html/newsletter/node/17
[26] http://www.isacaroma.it/html/newsletter/node/154
[27] http://www.isacaroma.it/html/newsletter/node/190
[28] http://www.isacaroma.it/html/newsletter/node/205
[29] http://www.isacaroma.it/html/newsletter/node/204
[30] http://www.isacaroma.it/html/newsletter/node/209