Управление безопасностью - Security management

Управление безопасностью идентификация организации активы (включая людей, здания, машины, системы и информационные активы ) с последующей разработкой, документированием и внедрением политик и процедур для защиты активов.

Организация использует такие процедуры управления безопасностью для классификация информации, оценка угрозы, оценка рисков, и анализ риска для выявления угроз, классификации активов и оценки уязвимостей системы.[1]

Предотвращение потерь

Предотвращение потерь сосредотачивается на том, каковы критические активы человека и как они собираются их защищать. Ключевой компонент предотвращение потерь оценивает потенциальные угрозы для успешного достижения цели. Это должно включать в себя потенциальные возможности, которые способствуют развитию объекта (зачем идти на риск, если нет положительной стороны?). Уравновесить вероятность и влияние, определить и реализовать меры по минимизации или устранению этих угроз.[2]

Управление рисками безопасности

Управление риски безопасности применяет принципы управления рисками к управлению угрозами безопасности. Он состоит из выявления угроз (или причин риска), оценки эффективности существующих средств контроля для противодействия этим угрозам, определения последствий (последствий) рисков, определения приоритетности рисков путем оценки вероятности и воздействия, классификации типа риска и выбора соответствующий вариант риска или реакция на риск. В 2016 году в Нидерландах был разработан универсальный стандарт управления рисками. В 2017 году он был обновлен и получил название: Стандарт универсальных систем управления безопасностью 2017.

Виды рисков

Внешний

  • Стратегический: конкуренция и потребительский спрос.
  • Оперативный: правила, поставщики и контракт.
  • Финансовые: Валюта и кредит.
  • Опасность: стихийные бедствия, кибернетические и внешние преступные действия.
  • Соответствие: вводятся новые нормативные или юридические требования или изменяются существующие, подвергая организацию риску несоблюдения, если не будут приняты меры для обеспечения соответствия.

Внутренний

  • Стратегическое: НИОКР.
  • Операционные: системы и процессы (H&R, Payroll).
  • Финансовые: ликвидность и денежный поток.
  • Опасность: безопасность; сотрудники и оборудование.
  • Соответствие: Конкретные или потенциальные изменения в системах, процессах, поставщиках и т. Д. Организации могут привести к несоблюдению правовых или нормативных требований.

Варианты риска

Избежание риска

В первую очередь следует рассмотреть возможность устранения криминальной возможности или избежания ее создания. Когда в результате этого действия не создаются дополнительные соображения или факторы, которые могут создать больший риск. Например, удаление всего денежного потока из розничная торговля Торговая точка исключит возможность кражи денег, но также лишит возможности вести дела.

Сокращение рисков

Следующим шагом при избежании или устранении криминальных возможностей, противоречащих способности вести бизнес, является снижение вероятности потенциальных убытков до самого низкого уровня, соответствующего функции бизнеса. В приведенном выше примере применение снижения риска может привести к тому, что у предприятия будет достаточно наличных денег только для однодневной операции.

Распространение риска

Активы, которые остаются незащищенными после применения сокращения и предотвращения, подвергаются распределению риска. Это концепция, которая ограничивает потери или потенциальные потери, подвергая преступника вероятности обнаружения и задержания до совершения преступления за счет применения освещения по периметру, зарешеченных окон и систем обнаружения вторжений. Идея состоит в том, чтобы сократить время, доступное ворам для кражи активов и скрытого побега.

Перенос риска

Двумя основными методами передачи риска являются страхование активов или повышение цен для покрытия убытков в случае преступного деяния. Вообще говоря, когда первые три шага выполнены правильно, стоимость переноса рисков намного ниже.

Принятие риска

Все остальные риски должны просто приниматься на себя бизнесом в рамках ведения бизнеса. В эти принятые убытки включены франшизы, которые были произведены в рамках страхового покрытия.

Реализации политики безопасности

Обнаружения вторжений

Контроль доступа

Физическая охрана

  • Элементы окружающей среды (например, горы, деревья и т. Д.).
  • Баррикада.
  • Охранники (вооруженный или невооруженный) с устройствами беспроводной связи (например, двустороннее радио ).
  • Охранное освещение (прожектор и др.).
  • Камеры наблюдения.
  • Детекторы движения.
  • Контейнеры IBNS для наличных денег в пути.

Процедуры

Смотрите также

использованная литература

  1. ^ «Управление рисками ИТ-безопасности с человеческим фактором». Dell.com. Получено 26 марта 2012.
  2. ^ https://losspreventionmedia.com/from-security-to-loss-prevention-to-retail-asset-protection-to-profit-enhancement/

дальнейшее чтение

  • BBC NEWS | Глубоко. BBC News - На главную. Интернет. 18 марта 2011 г. <http://news.bbc.co.uk/2/shared/spl/hi/guides/456900/456993/html/ >.
  • Раттнер, Дэниел. «Стратегия предотвращения потерь и управления рисками». Управление безопасностью. Северо-Восточный университет, Бостон. 5 марта 2010 г. Лекция.
  • Раттнер, Дэниел. "Рискованные оценки." Управление безопасностью. Северо-Восточный университет, Бостон. 15 марта 2010 г. Лекция.
  • Раттнер, Дэниел. «Внутренние и внешние угрозы». Управление безопасностью. Северо-Восточный университет, Бостон. 8 апреля. 2010. Лекция.
  • Справочник по защите активов и управлению безопасностью, POA Publishing LLC, 2003 г., стр. 358
  • ISO 31000 Управление рисками - Принципы и руководства, 2009, стр. 7
  • Стандарт универсальных систем управления безопасностью 2017 - Требования и руководство по применению, 2017, стр. 50
  • Обучение управлению безопасностью и TSCM Обучение