Czasopismo
Tytuł artykułu
Autorzy
Warianty tytułu
Quantitative and Qualitative Approach in It Risk Analysis in Small and Medium Enterprises
Języki publikacji
Abstrakty
Technologie informacyjne pozwalają osiągnąć organizacjom nową jakość funkcjonowania, jednocześnie rośnie stopień zdeterminowania sprawnego zarządzania od nowoczesnych, lecz bezpiecznych rozwiązań teleinformatycznych. W miarę postępu technologicznego, a szczególnie gwałtownego rozwoju Internetu, ryzyko związane z funkcjonowaniem systemów informatycznych staje się coraz bardziej powszechne i przybiera różnorodne formy. Brak odpowiedniego przygotowania na ryzyko może prowadzić firmę do upadku, stąd też właściwe reagowanie na nie stanowi często o możliwościach przetrwania i rozwoju przedsiębiorstwa. Bardzo istotna jest więc analiza ryzyka, będąca głównym procesem zarządzania ryzykiem, polegająca na identyfikacji i ocenie ryzyka. Niniejszy artykuł jest wprowadzeniem do zagadnień ryzyka informatycznego, a zwłaszcza problematyki jego ilościowej i jakościowej analizy. W artykule przedstawiono m.in. następujące metody ilościowe: model ALE (Annual Loss Expected) i wskaźniki pochodne, metodę Courtneya, model ISRAM (Information Security Risk Analysis Method). Kolejno zostały omówione również następujące metody jakościowe: FMEA (Failure Mode and Effects Analysis) i FMECA (Failure Mode and Effects Criticality Analysis), FRAP (Facilitated Risk Analysis Process) oraz popularne metodologie NIST 800-30 i CRAMM (CCTA's Risk Analysis and Management Methodology). (abstrakt oryginalny)
The risk connected with the wide application of information technologies in business grows together with the increase of organization's correlation from its customers, business partners and outsourced operations. IT risk management currently plays more and more important role in almost all aspects of contemporary organizations' functionality. It requires reliable and cyclical realization of its key task which is risk analysis. Literature of subject presents problems of risk analysis in different way, most often skipping or selectively treating the problem of quantitative methods application for the purpose of risk analysis. Quantitative and qualitative methods which are two fundamental groups of methods are applied for the analysis of risk on which assets are exposed in organizations. The article presents the issue of one of the most significant stages of risk analysis which is assessment of IT risk, especially focusing on chosen quantitative methods such as ALE (Annual Loss Expected) method, Courtney method, Fisher's method, using survey research ISRAM model (Information Security Risk Analysis Method) and other derived ratios. There are also briefly presented chosen qualitative methods - FMEA (Failure Mode and Effects Analysis) and FMECA (Failure Mode and Effects Criticality Analysis), FRAP (Facilitated Risk Analysis Process), NIST SP 800-30 method and CRAMM methodology, which can be applied in the small and medium enterprises. (original abstract)
Rocznik
Tom
Strony
326--340
Opis fizyczny
Twórcy
autor
- Uniwersytet Ekonomiczny we Wrocławiu
Bibliografia
- Białas A., Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, Wydawnictwa Naukowo-Techniczne, Warszawa 2006.
- Certus Risk Aalyzer Professional, Witryna internetowa Centrum Doskonalenia Zarządzania MERITUM: http://centrum-doskonalenia.pl/show.php?component=Text&op=ShowText&id=60.
- ISACA- Information Systems Audit and Control Association - Standard 050.050.030 - IS Auditing Guideline - Use of Risk Assessment in Audit Planning, ISACA, 2000.
- ISO/IEC TR 13335-1 Information Technology - Security techniques Guidelines for the management of IT security Part 1: Concepts and models of IT security.
- ISO/IEC TR 13335-3 Information technology - Guidelines for the management of IT Security Part 3: Techniques for the management of IT security.
- Kaczmarek T.T., Zarządzanie zdywersyfikowanym ryzykiem w świetle badań interdyscyplinarnych, Wydawnictwo Wyższej Szkoły Zarządzania i Marketingu, Warszawa 2003.
- Karabacak B., Sogukpinar I., Information security risk analysis method, "Computers&Security Magazine" 2005 no. 24 (marzec).
- Liderman K., Analiza ryzyka dla potrzeb bezpieczeństwa teleinformatycznego, "Biuletyn Instytutu Automatyki i Robotyki WAT" 2001 nr 16.
- Liderman K., Analiza ryzyka i ochrona informacji w systemach komputerowych, Wydawnictwo Naukowe PWN, Warszawa 2008.
- Polska Norma PN-I-02000 - Technika informatyczna - Zabezpieczenia w systemach informatycznych -Terminologia, Polski Komitet Normalizacyjny, 1998.
- Polska Norma PN-I-13335 - Zarządzanie zabezpieczeniami systemów informatycznych, Polski Komitet Normalizacyjny, 1999.
- Ryba M., Wielowymiarowa metodyka analizy i zarządzania ryzykiem systemów informatycznych -MIR-2M, rozprawa doktorska, 2006.
- Schechter E., Computer security strength & risk: a quantitative approach, Harvard University, Cambridge, Massachusetts, USA 2004.
- Składki i ryzyko ubezpieczeniowe. Modelowanie stochastyczne, red. W. Ostasiewicz, AE, Wrocław 2004.
- Szczepankiewicz P., Analiza ryzyka w środowisku informatycznym do celów zarządzania ryzykiem operacyjnym, Cz. 1. Wybór podejścia do analizy, "Monitor Rachunkowości i Finansów" 2006 nr 6.
- Szczepankiewicz E.I., Szczepankiewicz P., Analiza ryzyka w środowisku informatycznym do celów zarządzania ryzykiem operacyjnym, Cz. 2. Etap oszacowania ryzyka, "Monitor Rachunkowości i Finansów" 2006 nr 7.
- Wawrzyniak D., Modele oceny ryzyka informatycznego -podejścia klasyczne i możliwości ich rozwoju, [w:] Wybrane problemy elektronicznej gospodarki, red. M. Niedźwiedziński, Wyd. Marian Niedźwiedziński - CONSULTING, Łódź 2007.
Typ dokumentu
Bibliografia
Identyfikatory
Identyfikator YADDA
bwmeta1.element.ekon-element-000168030093
JavaScript jest wyłączony w Twojej przeglądarce internetowej. Włącz go, a następnie odśwież stronę, aby móc w pełni z niej korzystać.