Questo documento fornisce una panoramica coerente degli standard pubblicati che affrontano aspetti della gestione del rischio e successivamente descrivere metodologie e strumenti che possono essere utilizzati per conformarsi o implementare tali standard
The European Union Agency for Cybersecurity, ENISA, is the Union’s agency dedicated to achieving a high common level of cybersecurity across Europe. Established in 2004 and strengthened by the EU Cybersecurity Act, the European Union Agency for Cybersecurity contributes to EU cyber policy, enhances the trustworthiness of ICT products, services and processes with cybersecurity certification schemes, cooperates with Member States and EU bodies, and helps Europe prepare for the cyber challenges of tomorrow. Through knowledge sharing, capacity building and awareness raising, the Agency works together with its key stakeholders to strengthen trust in the connected economy, to boost resilience of the Union’s infrastructure and, ultimately, to keep Europe’s society and citizens digitally secure. More information about ENISA and its work can be found here: www.enisa.europa.eu.
Questa analisi si basa su un inventario completo e compilato di standard nell’area della gestione del rischio di sicurezza informatica e sulle metodologie relative agli standard.
Questa pubblicazione fornisce una guida alle istituzioni, agli organi e alle agenzie dell’UE sulla disponibilità di standard e metodologie rilevanti per la gestione del rischio di cibersicurezza e delinea le possibili lacune in questi ambiti, consentendo alle istituzioni, agli organi e alle agenzie dell’UE pertinenti di avviare attività per colmare queste lacune in al fine di attuare ulteriormente le politiche di sicurezza informatica derivanti dalla normativa.
Inoltre, questa pubblicazione può essere utilizzata anche dalle organizzazioni come una libreria di standard e metodologie di gestione del rischio per il loro sforzo di implementare la gestione del rischio all’interno della loro organizzazione o nei loro sviluppi di schemi di certificazione della sicurezza informatica.
Gli standard sono sviluppati e definiti attraverso un processo di condivisione delle conoscenze e costruzione del consenso tra esperti tecnici nominati dalle parti interessate e da altri stakeholder. Quando si tratta di sviluppare e stabilire standard, esiste una grande varietà di attori. Naturalmente, c’è concorrenza tra questi attori, ma collaborano anche in molti casi, in particolare quando c’è un interesse comune.
Gli standard sono volontari, il che significa che non vi è alcun obbligo legale automatico di applicarli. Tuttavia, leggi e regolamenti possono fare riferimento a standard e persino rendere obbligatorio il loro rispetto. Il presente documento si propone anche di fornire una breve introduzione ai principali attori quando si parla di standard nell’area della gestione del rischio, introducendo le principali caratteristiche delle diverse tipologie di documenti pubblicati da tali attori e introducendo l’inventario degli Standard di Gestione del Rischio presentato nella Annesso A.
Per aiutare questo pubblico mirato a comprendere il processo di gestione del rischio e gli standard associati, questo documento è strutturato in capitoli che coprono le aree rilevanti.
Sulla base dell’analisi fornita nella sezione 5 e facendo una distinzione tra standard di gestione del rischio e metodologie di gestione del rischio, proponiamo nella sezione 6 una serie di raccomandazioni sull’uso degli standard di gestione del rischio per vari gruppi di parti interessate: decisori dell’UE, SDO europei, e la stessa ENISA
L’articolo Risk Management proviene da Portale Consulenti Sicurezza qualità ambiente bandi.