Risk management in information resources security management system

Sve veća važnost informacijskih sustava u poslovnim subjektima (tvrtkama) zahtjeva pažljivo procjenjivanje ranjivosti sustava i utjecaja mogućih neželjenih događaja na poslovanje tvrtke (prije svega financijski gubitak). Vezano uz ovaj problem tvrtke implementiraju sustave upravljanja sigurnošću informacija (ISMS – Information Security Management System) kako bi rizik neželjenih događaja svele na prihvatljivu mjeru. Upravljanje rizikom (RM - Risk Management) je ključni dio sustava, a predstavlja proces u kojem se definiraju čimbenici koji mogu neželjeno utjecati na očuvanje povjerljivosti, cjelovitosti i raspoloživosti informacija. Upravljanje rizikom je složen proces koji se sastoji od više faza, a čiji je cilj svođenje rizika na prihvatljivu mjeru. Radom su prikazani osnovni elementi sustava upravljanja sigurnošću informacija te sam proces uspostave sustava. U radu je obrađeno nekoliko metoda procjene rizika uz prikaz njihovih prednosti i mana. Primjerom (dokumentacijom) iz prakse prezentiran je model uspostave sustava upravljanja sigurnošću informacija.Because information systems are more important for companies every day, companies must assess vulnerabilities of system and impact of unwanted events on companies (especially financial impact). Regarding that issue companies implement ISMS (Information Security Management System) to reduce risk to acceptable level. Very important prerequisite, which precede implementation of ISMS is recognition of data (information) as asset (value) owned by company. RM (Risk Management) is key element of system, representing process in which key factors which can affect conservation of confidentiality, integrity and availability of information are defined. Risk management is complex process consisting of many fazes, with goal to reduce risk to acceptable level. Work presents basic elements of ISMS and process of implementation of ISMS. In this work, several methods of risk assessment are elaborated and their advantages and disadvantages are presented. Example (documentation) from practice presents model of implementation of Information Security Management System