12.11.11

Řízení informačních rizik v praxi – Miroslav Čermák

Problematika řízení informačních rizik je velmi aktuální. Je překvapující, že se mu v české literatuře věnuje poměrně málo pozornosti. O to více si cením práci Miroslava Čermáka, který se rozhodl opublikovat své desetileté praktické zkušenosti z oblasti informačních technologií, informační bezpečnosti a řízení rizik. Jádrem knihy je metodika analýzy rizik, při jejímž vývoji autor respektoval mezinárodní standardy pro řízení  informační bezpečnosti. Metodika tak poskytuje opakovaně využitelné a měřitelné výsledky.
Hlavním cílem této knihy je seznámit čtenáře s problematikou řízení informačních rizik.
Kniha rozdělena do čtyř hlavních částí: řízení rizik, analýza rizik, vyhodnocení rizik a zvládání rizik, přičemž největší důraz je kladen na analýzu rizik. Posloupnost kapitol v knize kopíruje proces řízení informačních rizik. Autor vede čtenáře krok za krokem celým tímto procesem. Po přečtení a promyšlení obsahu knihy, by měl být čtenář vybaven poznatky, nezbytnými pro úspěšné zavedení procesu řízení informačních rizik ve společnosti. Měl by být schopen provést samostatně a efektivně analýzu rizik a následně rizika správně vyhodnotit a navrhnout vhodný způsob jejich zvládání.

V první části knihy se seznámíte s pojmem řízení rizik a důvody, proč je nutné získat pro zavedení procesu řízem rizik aktivní podporu vrcholového managementu, 'jak této podpory dosáhnout, jaké argumenty při komunikaci s vrcholovým managementem použít a následně jak celý proces řízení rizik ve společnosti úspěšně zavést.
Ve druhé části, která je nejrozsáhlejší, se seznámíte s možnými přístupy k provedení analýzy rizik a budete konfrontováni s výhodami a nevýhodami interně a externě prováděných analýz rizik, kvantitativními a kvalitativními metodami používanými při analýze rizik. Dozvíte se, jak efektivně a s minimálními náklady provést identifikaci a kvantifikaci aktiv, hrozeb a zranitelností.
Ve třetí části, která se věnuje vyhodnocení rizik, se seznámíte s metodikou výpočtu výsledného rizika a s vhodnými způsoby, jak tyto výsledky interpretovat a prezentovat. Značná pozornost je také věnována volbě vhodných opatření vedoucích ke snížení rizika.
Ve Čtvrté části se dozvíte, jaké jsou možné způsoby zvládání rizik a kdy je vhodné jednotlivé způsoby pro jejich zvládání použít, jak by měla vypadat závěrečná zpráva z analýzy rizik a co by měl obsahovat plán zvládání rizik. Metodika analýzy rizik, tak jak je prezentována v této knize, je plně v souladu s mezinárodními standardy pro řízení informační bezpečnosti a poskytuje 
opakovatelné a měřitelné výsledky.
Přístup autora k tématu je velmi praktický, výklad je srozumitelný, teoretická část odpovídá potřebám pochopení základů řízení rizik, kniha je stručná, přesto obsahuje mnoho cenných rad a doporučení, které ocení nejen specialisté z oblasti informačních systémů, ale i management organizací.