Celem analizy ryzyka jest określenie i oszacowanie prawdopodobieństwa oraz skutków wystąpienia danego (niepożądanego) zdarzenia.
Analiza ryzyka to określone działania skierowane na obniżenie wpływu ryzyka na funkcjonowanie danego podmiotu i podejmowanie odpowiednich środków przeciwdziałania i minimalizacji ryzyka. Pozwala na określenie poziomu ryzyka w sposób jakościowy i ilościowy dzięki czemu mogą zostać przeprowadzane działania zapobiegawcze lub działania polegające na jego eliminacji.
Analiza ryzyka jest jednym z elementów procesu zarządzania ryzykiem. Wyróżnia się kilka rodzajów podejścia do analizy:
- podejście jakościowe – oparte na wiedzy i doświadczeniu ekspertów,
- podejście ilościowe – z wykorzystaniem technik analizy ryzyka,
- podejście mieszane.
Analiza ryzyka jest narzędziem wykorzystywanym m.in. do przygotowania Polityki bezpieczeństwa informacji i Systemów zarządzania bezpieczeństwem informacji. Przeprowadzana jest inwentaryzacja zasobów (aktywów informacyjnych) oraz ich właścicieli, określane są zagrożenia i podatności, oraz skutki utraty poufności, integralności i dostępności zasobów tych zasobów. Następnie odbywa się analiza i ocena zidentyfikowanych ryzyk. Na tej podstawie opracowywany jest raport z procesu szacowania ryzyka, uwzględniający wszystkie zidentyfikowane ryzyka.
Analiza ryzyka utraty informacji przeprowadzana jest w oparciu o normę PN-ISO/IEC 27005:2014. Jest wymogiem, który stawia RODO wobec wszystkich podmiotów przetwarzających dane osobowe, a także pod kątem Ustawy o krajowym systemie cyberbezpieczeństwa.
Jest także dobrą praktyką pozwalającą na stały nadzór nad możliwością wystąpienia zjawisk niepożądanych w organizacji.