Najważniejszym etapem wdrożenia systemu bezpieczeństwa informacji jest opracowanie i zbudowanie mechanizmów zarządzania ryzykiem. Zgodnie z wymaganiami normy oraz własną metodyką pracy, etap rozpoczyna się od zaproponowania przez konsultantów metodyki analizy ryzyka. Dobór metodyki ma kluczowe znaczenia dla dalszego wdrożenia systemu i jego późniejszego utrzymania. Sposób realizacji analizy ryzyka powinien uwzględniać specyfikę organizacji.

Kolejnym krokiem jest przygotowanie i opracowanie klasyfikacji informacji. W zależności od istniejących w organizacji opracowań w tym względzie, wykorzystana może zostać już istniejąca klasyfikacja lub – w przypadku jej braku – opracowana zostaje nowa. Nasi konsultanci zaproponują metodykę identyfikacji informacji kluczowych, bazującą na ocenie wskaźników poufności, integralności oraz dostępności dla poszczególnych grup informacji. Wspólnie z przedstawicielami Klienta przedyskutowana i ustalona zostaje liczba kategorii ochrony informacji. Zgodnie z wymaganiami normy ISO 27001 określony zostaje sposób przetwarzania każdej z grup, a w szczególności:

sposób oznaczania informacji (zarówno w wersji papierowej jak i elektronicznej),

zasady udostępniania informacji wewnątrz organizacji,

zasady przekazywania informacji poza organizację,

zasady ochrony informacji w wersji elektronicznej (np. szyfrowanie danych),

szczególne uwarunkowania odnośnie powielania informacji.

W pracach nad klasyfikacją informacji uwzględnione zostają także wymagania prawne oraz inne wymagania, regulujące obieg i przetwarzanie informacji w organizacji. Celem opracowania klasyfikacji informacji nie jest zastąpienie ani regulowanie sposobu przetwarzania informacji niejawnych (oznaczonych jedną z klauzul zdefiniowanych w ustawie o ochronie informacji niejawnych).

Na podstawie wybranej metodyki analizy ryzyka oraz opracowanej klasyfikacji informacji przeprowadzona zostaje pierwsza ocena ryzyka. Analiza jest realizowana wspólnie przez naszych konsultantów oraz przedstawicieli Klienta i uwzględniał wyniki przeprowadzonych wcześniej audytów wstępnych. Efektem analizy jest wskazanie poziomów ryzyka dla poszczególnych grup informacji przetwarzanych w organizacji, a także wskazanie najważniejszych obszarów doskonalenia.

Analiza ryzyka uzupełniona jest analizą ciągłości działania (BIA), której celem jest wskazanie najważniejszych zagrożeń dla ciągłości funkcjonowania organizacji. Podstawą do przeprowadzenia analizy powinna być identyfikacja wymagań zewnętrznych (przepisy prawa, regulacje organów administracji publicznej, umowy z klientami i dostawcami) oraz wewnętrznych (zasady korporacyjne, własne procedury i instrukcje) w zakresie krytyczności realizowanych procesów biznesowych. Dla każdego procesu zdefiniowane zostają odpowiednie wagi, w efekcie czego zbudowany zostaje ranking procesów i zagrożeń dla zdolności ich realizowania.

Finalnym etapem budowy mechanizmów zarządzania ryzykiem jest opracowanie planu minimalizacji ryzyka. Dokument ten omawia czynności, jakie powinny zostać zrealizowane w celu utrzymania lub zwiększenia realizowanego poziomu bezpieczeństwa. Propozycje zmian mogą dotyczyć zarówno nowych mechanizmów organizacyjnych, czyli zasad postępowania takich jak procedury czy instrukcje, jak również zabezpieczeń technicznych lub informatycznych. W planie minimalizacji ryzyka zamieszczona zostaje także informacja o ewentualnych nakładach finansowych i czasowych potrzebnych do realizacji poszczególnych zadań.