ENISA, l'European Network and Information Security Agency, ha rilasciato un nuovo deliverable relativo al Risk Management/Risk Assessment; si tratta de "Information Package for SMEs with examples of Risk Assessment / Risk Management for two SMEs" ovvero di un manuale su come effettuare l’analisi e gestione dei rischi nelle piccole e medie aziende (medium sized enterprises: SME’s). Il volume è liberamente disponibile in formato pdf  (742 K).

ENISA Risk Management web site

Come già ricordato, ENISA ha realizzato un intero sito web dedicato al Risk Management ove è anche disponibile il documento Risk Management - Principles and Inventories (pdf, 1,1 M).

Indice del documento

• 1. Purpose and scope
• 2. Structure of the document
• 3. Guidance for the decision maker
• 3.1 What a decision maker has to consider
• 3.2 What a decision maker needs to know
• 3.3 How to proceed with information security
• 3.3.1 In-sourcing
• 3.3.2 Full outsourcing
• 3.3.3 Partial outsourcing
• 4. A simplified approach: overview
• 4.2 Working assumptions
• 4.3 A four-phase approach
• 4.3.1 Phase 1 - risk profile selection
• 4.3.2 Phase 2 - critical assets identification
• 4.3.3 Phase 3 - control cards selection
• Organizational control cards selection
• Asset-based control cards selection
• 4.3.4 Phase 4 – implementation and management
• 5. Self assessment guidelines with two examples
• Phase 2 - Identify critical assets
• Step 1. Select your organization's five most critical assets
• Step 2. Record the rationale for selecting each critical asset
• Step 3. Identify critical asset security requirements
• Phase 3 – select control cards
• Step 1. Select organization control cards
• Step 2. Select asset based controls
• Step 3. Document list of selected controls and rationale
• Phase 4 – implementation and management
• Step 1. Gap analysis
• Step 2. Create risk mitigation plans
• Step 3. Implementation, monitoring and control
• Annex A. Organizational control cards
• Annex B. Asset control cards
• Annex C. Organizational controls
• Annex D. Asset based controls
• Annex E. Simple advice
• References

IsacaRoma Newsletter link

• ENISA: raising awareness guide - Information Package
• ENISA Quarterly: pubblicato il numero di ottobre 2006
• ENISA: intervista a Jani Arnell sui "rischi emergenti"
• ENISA: Interview with Jani Arnell on Emerging Risks
  
• ENISA: Rapporto sullo spam
  
• ENISA: Workshop on Information Security Certifications – 28 novembre 2006, Atene
• ENISA: le presentazioni (ed i risultati) del Risk Management Workshop di Roma
• ENISA: Intervista al dott. Louis Marinos, Risk Management Senior Expert
• ENISA: Interview with Dr Louis Marinos, Senior Expert on Risk Management
• ENISA: la guida per costituire un CERT
• ENISA: il glossario del Risk Management (lettere S - Z)
• ENISA: il glossario del Risk Management (lettere N - R)
• ENISA: il glossario del Risk Management (lettere F - M)
• ENISA: Inventario delle metodologie di Risk Management / Risk Assessment
  
• ENISA: il glossario del Risk Management (lettere A - E)
• ENISA: il sito dedicato al Risk management ed assessment
• ENISA Risk Management Workshop, 13 ottobre 2006, Roma
  
• ENISA – Intervista ad Isabella Santa, Awareness Raising Working Group Coordinator
• ENISA: nuovi rischi e minacce per la sicurezza delle reti e delle informazioni e piano di azione per il 2008
• ENISA, l’agenzia di sicurezza europea
• Intervista ad Andrea Pirotti, Executive Director di ENISA
• La visione di ENISA
• ENISA: raccolta di informazioni sulle certificazioni di sicurezza – invito a collaborare