Si consiglia di prendere in considerazione i seguenti punti quando si effettua una valutazione del rischio

Valutazione dei rischi

Requisiti e obiettivi di sicurezza,
per esempio, requisiti di sistema specifici/non specifici per la funzione.

Architettura di sistema o di rete e infrastrutture,
per esempio, usando una mappa della rete e una planimetria dei componenti che mostrano come le risorse sono configurate e interconnesse

Servizi e applicazioni,
inclusi dati e protocolli, ad esempio applicazioni con dati particolarmente sensibili

Processi riguardanti l'elaborazione dei dati,
compresi i parametri di input e output, come i processi aziendali, i processi operativi del computer e i processi operativi delle applicazioni

Dipendenze tra applicazioni e processi,
per esempio, elaborazione di dati particolarmente sensibili

Valutazione dell'impatto,
per esempio, identificazione delle conseguenze in caso di perdita di dati sensibili, analisi delle minacce assistita da modelli, ecc.

Misure tecniche,
per esempio, selezione di componenti di sicurezza adeguati, come firewall, sistemi di rilevamento delle intrusioni o sistemi di controllo dell'accesso fisico e logico

Misure organizzative,
per esempio, gestione della continuità aziendale e gestione
del desaster recovery

Leggi e regolamenti governativi
relativi ai requisiti minimi di controllo della sicurezza

Politiche, procedure e linee guida documentate o informali

Per ulteriori informazioni, consultare Information Systems Audit and Control Association, ISACA (www.isaca.org)
o la corrispondente norma ISO per la gestione dei rischi nei sistemi informatici ISO 27005.

Sicurezza informatica