An information system risk model for the risk management system of an organisation processing sensitive data
Słowa kluczowe:
risk, risk model, risk analysis, risk management system, sensitive dataAbstrakt
Objective – the focus of the paper is on the risk model of an information system where documents representing different sensitivity levels are processed in offices where IT systems and RIFD technologies are used. The model represents a multi-dimensional approach to the IT system risk analysis and to information processes processed there. Research methodology–the following methods were used: a review of the literature and of applicable legislation, a critical analysis of the analysed organisation’s sensitive resources. Outcome – the article presents a risk model and examples of risk factors related to the threats present in different phases of an IT system lifecycle, presented in manner enabling a possibly complete and explicit determination of the risk level, while retaining practical utility of the approach. Original value – the paper seeks an answer to the question: “is it possible to design a comprehensive and adequate risk assessment model for an information system, where resources representing different sensitivity levels are processed?” The model proposed in the paper has been used for developing a framework structure of a risk management system and an information system security policy for the organisation where a risk assessment exercise was performer using the model.
Downloads
Bibliografia
Bramlage J. (1997), A new paradigm for performing risk assessment, Computer Associates International, Inc., Reston VA.
Geddes G., Ratcliffe D. (2002), ITIL Process Maturity Self–Assessment & Action Plan, Pink Elephant Inc.
Hoffmann R., Kiedrowicz M., Stanik J. (2016a), Evaluation of information safety as an element of improving the organization’s safety management, „MATEC Web of Conferences”, Vol. 76, 20th International Conference on Circuits, Systems, Communications and Computers (CSCC 2016).
Hoffmann R., Kiedrowicz M., Stanik J. (2016b), Risk management system as the basic paradigm of the information security management system in an organization, „MATEC Web of Conferences”, Vol. 76, 20th International Conference on Circuits, Systems, Communications and Computers (CSCC 2016).
Kiedrowicz M. (red.) (2015), Zarządzanie informacjami wrażliwymi. Wybrane aspekty organizacyjne, prawne i techniczne ochrony informacji niejawnych, WAT, Warszawa.
Kiedrowicz M. (red.) (2017), Zarządzanie informacjami wrażliwymi. Otoczenie systemu, elementy i implementacja, WAT, Warszawa,
Kiedrowicz M., Koszela J. (2016), Modelowanie procesów biznesowych przetwarzania dokumentów wrażliwych z wykorzystaniem technologii RFID, “Roczniki Kolegium Analiz Ekonomicznych”, nr 42, SGH, Warszawa.
ISO/IEC 27005 (2014), Technika informatyczna – Techniki bezpieczeństwa – Zarządzanie ryzykiem w bezpieczeństwie informacji.
PN-ISO 31000 (2012), Zarządzanie ryzykiem.
Sikorski Cz. (1998), Projektowanie i rozwój organizacji instytucji, Polskie Wydawnictwo Ekonomiczne, Warszawa.
Stanik J., Napiórkowski J., Hoffmann R. (2016), Zarządzanie ryzykiem w systemie zarządzania bezpieczeństwem organizacji, “Zeszyty Naukowe Uniwersytetu Szczecińskiego, Ekonomiczne Problemy Usług”, nr 123, Szczecin.
Stanik J., Protasowicki T. (2015), Metodyka kształtowania ryzyka w cyklu rozwojowym systemu informatycznego, KKIO “Od procesów do oprogramowania: badania i praktyka”.
Szczepankiewicz E., Wójtowicz A. (2015), Model rejestru ryzyka w jednostkach sektora finansów publicznych, “Zeszyty Naukowe Uniwersytetu Szczecińskiego” nr 864, “Finanse, Rynki Finansowe, Ubezpieczenia”, nr 76.
Trajdos T. (1993), Matematyka, Wydawnictwa Naukowo-Techniczne, Warszawa.