مدیریار | Modiryar
✍ فرآیند مدیریت ریسک ISO 27005 #پایگاه_جامع_مدیریار www.modiryar.com @modiryar
✍ فرآیند مدیریت ریسک ISO 27005
✅ اگرچه ISO 27005 هیچ روش خاصی برای #مدیریت_ریسک مشخص نمیکند، اما بر فرآیند پیوسته مدیریت ریسک اطلاعات مبتنی بر اجزاء کلیدی زیر دلالت دارد:
▪زمینهسازی
▪شناسایی ریسک
▪تحلیل ریسک
▪ارزشیابی ریسک
▪واکنش به ریسک
▪پذیرش ریسک
▪ارتباط و مشاوره
▪نظارت و بازبینی ریسک
🔴 #زمینه_سازی:
✅ #چارچوب_مدیریت_ریسک معیارهایی را برای نحوه شناسایی ریسکها، مسئولیت مالکیت ریسک، تأثیر ریسکها بر محرمانه بودن، صحت و در دسترس بودن اطلاعات و نحوه محاسبه تأثیر و احتمال ریسک تعیین میکند.
✅ در این مرحله زمینه داخلی و خارجی مدیریت #ریسک امنیت اطلاعات پایهگذاری میشود که شامل تنظیم معیارهای بنیادی برای مدیریت ریسک امنیت اطلاعات است. موارد زیر در این مرحله مد نظر قرار میگیرد:
▪تعیین رویكرد و روش مدیریت ریسک
▪تعیین معیارهای ارزیابی ریسک
▪تعیین معیارهای پیامد
▪تعیین معیارهای پذیرش ریسک
▪تعریف محدوده و قلمرو مدیریت ریسک امنیت اطلاعات
▪سازماندهی
🔴 #شناسایی_ریسک:
فرآیند شناسایی ریسک مبتنی بر #دارایی را که شامل پنج مرحله کلیدی زیر است، در این مرحله انجام میگردد:
▪گردآوری داراییهای اطلاعاتی
▪شناسایی تهدیدها و آسیب پذیریهای قابل اعمال برای هر دارایی
▪تعیین ارزش تاثیر و احتمال بر اساس معیارهای ریسک
▪ارزیابی هر ریسک در برابر سطوح از پیش تعیین شده مقبولیت
▪اولویتبندی و ترتیب خطرات احتمالی
🔴 #تحلیل_ریسک
تحلیل ریسک با توجه به سطح جزئیات مورد نظر، میزان حیاتی بودن داراییها، گستره تحلیل ریسک آسیبپذیریهای شناخته شده و نیز رخدادهای دربرگیرنده سازمان انجام میشود. روش #تحلیل ریسک میتواند كمی و یا كیفی و یا تلفیقی از هر دو باشد. این مرحله شامل گامهای زیر است:
▪ارزیابی پیامدها
▪ارزشیابی احتمال رخداد
▪تعیین سطح ریسک
🔴 #ارزشیابی_ریسک
✅ در این زیر #فرآیند بر اساس معیارهای استخراج شده در زیر فرآیند تحلیل ریسک، سطح پذیرش ریسک و ریسکهای قابل پذیرش استخراج میشوند. به عبارت دیگر فعالیتهای انجام شده در این مرحله عبارتند از:
▪تعیین معیار پذیرش ریسک
▪مقایسه ریسکهای تحلیل شده با معیار پذیرش، اولویتبندی ریسکها و تعیین ریسکهای قابل پذیرش
✅ برخورد با ریسک: چهار راه برای برخورد با ریسک وجود دارد، فرآیند برخورد با ریسک در انتخاب اقدامات امنیتی به منظور،كاهش، حفظ، اجتناب و انتقال انجام میشود:
▪تغییر (اصلاح) ریسک
▪انتقال (اشتراك) ریسک
▪اجتناب از ریسک
▪حفظ ریسک
🔴 #پذیرش_ریسک
✅ در این مرحله تصمیمگیری در خصوص پذیرش ریسک امنیت اطلاعات صورت میگیرد. باید توجه داشت كه #تصمیمات مرتبط با پذیرش ریسک و نیز مسئولیت تصمیمگیری باید به طور رسمی ثبت گردد.
▪ارتباط و مشاوره در رابطه با ریسک: ارتباط موثر برای افراد مهم است. فرآیند مدیریت ریسک امنیت اطلاعات این اطمینان را میدهد که تصمیماتی که گرفته میشود بر اساس چرایی اقدامات خاصی که مورد نیاز است، میباشد. به اشتراک گذاشتن و تبادل اطلاعات در مورد ریسک همچنین توافق بین تصمیمگیرندگان و سایر ذینفعان در مورد نحوه #مدیریت_ریسک را تسهیل میکند.
✅ فعالیتهای ارتباطی با #ریسک باید به طور مداوم انجام شود و سازمانها باید برنامههای ارتباطی با ریسک را برای عملیات عادی و همچنین شرایط اضطراری تدوین کنند.
▪نظارت و بازبینی ریسک: تهدیدات ثابت نیستند و میتوانند ناگهان تغییر کنند. به تبع آن ریسکها نیز تغییر نموده و یا ایجاد میگردند، بنابراین میبایست ریسکها به طور مداوم تحت نظارت قرار گیرند تا #تغییرات در کمترین زمان ممکن شناسایی شده و ریسکهای به وجود آمده بررسی و ارزیابی گردند.
#پایگاه_جامع_مدیریار
www.modiryar.com
@modiryar
✅ اگرچه ISO 27005 هیچ روش خاصی برای #مدیریت_ریسک مشخص نمیکند، اما بر فرآیند پیوسته مدیریت ریسک اطلاعات مبتنی بر اجزاء کلیدی زیر دلالت دارد:
▪زمینهسازی
▪شناسایی ریسک
▪تحلیل ریسک
▪ارزشیابی ریسک
▪واکنش به ریسک
▪پذیرش ریسک
▪ارتباط و مشاوره
▪نظارت و بازبینی ریسک
🔴 #زمینه_سازی:
✅ #چارچوب_مدیریت_ریسک معیارهایی را برای نحوه شناسایی ریسکها، مسئولیت مالکیت ریسک، تأثیر ریسکها بر محرمانه بودن، صحت و در دسترس بودن اطلاعات و نحوه محاسبه تأثیر و احتمال ریسک تعیین میکند.
✅ در این مرحله زمینه داخلی و خارجی مدیریت #ریسک امنیت اطلاعات پایهگذاری میشود که شامل تنظیم معیارهای بنیادی برای مدیریت ریسک امنیت اطلاعات است. موارد زیر در این مرحله مد نظر قرار میگیرد:
▪تعیین رویكرد و روش مدیریت ریسک
▪تعیین معیارهای ارزیابی ریسک
▪تعیین معیارهای پیامد
▪تعیین معیارهای پذیرش ریسک
▪تعریف محدوده و قلمرو مدیریت ریسک امنیت اطلاعات
▪سازماندهی
🔴 #شناسایی_ریسک:
فرآیند شناسایی ریسک مبتنی بر #دارایی را که شامل پنج مرحله کلیدی زیر است، در این مرحله انجام میگردد:
▪گردآوری داراییهای اطلاعاتی
▪شناسایی تهدیدها و آسیب پذیریهای قابل اعمال برای هر دارایی
▪تعیین ارزش تاثیر و احتمال بر اساس معیارهای ریسک
▪ارزیابی هر ریسک در برابر سطوح از پیش تعیین شده مقبولیت
▪اولویتبندی و ترتیب خطرات احتمالی
🔴 #تحلیل_ریسک
تحلیل ریسک با توجه به سطح جزئیات مورد نظر، میزان حیاتی بودن داراییها، گستره تحلیل ریسک آسیبپذیریهای شناخته شده و نیز رخدادهای دربرگیرنده سازمان انجام میشود. روش #تحلیل ریسک میتواند كمی و یا كیفی و یا تلفیقی از هر دو باشد. این مرحله شامل گامهای زیر است:
▪ارزیابی پیامدها
▪ارزشیابی احتمال رخداد
▪تعیین سطح ریسک
🔴 #ارزشیابی_ریسک
✅ در این زیر #فرآیند بر اساس معیارهای استخراج شده در زیر فرآیند تحلیل ریسک، سطح پذیرش ریسک و ریسکهای قابل پذیرش استخراج میشوند. به عبارت دیگر فعالیتهای انجام شده در این مرحله عبارتند از:
▪تعیین معیار پذیرش ریسک
▪مقایسه ریسکهای تحلیل شده با معیار پذیرش، اولویتبندی ریسکها و تعیین ریسکهای قابل پذیرش
✅ برخورد با ریسک: چهار راه برای برخورد با ریسک وجود دارد، فرآیند برخورد با ریسک در انتخاب اقدامات امنیتی به منظور،كاهش، حفظ، اجتناب و انتقال انجام میشود:
▪تغییر (اصلاح) ریسک
▪انتقال (اشتراك) ریسک
▪اجتناب از ریسک
▪حفظ ریسک
🔴 #پذیرش_ریسک
✅ در این مرحله تصمیمگیری در خصوص پذیرش ریسک امنیت اطلاعات صورت میگیرد. باید توجه داشت كه #تصمیمات مرتبط با پذیرش ریسک و نیز مسئولیت تصمیمگیری باید به طور رسمی ثبت گردد.
▪ارتباط و مشاوره در رابطه با ریسک: ارتباط موثر برای افراد مهم است. فرآیند مدیریت ریسک امنیت اطلاعات این اطمینان را میدهد که تصمیماتی که گرفته میشود بر اساس چرایی اقدامات خاصی که مورد نیاز است، میباشد. به اشتراک گذاشتن و تبادل اطلاعات در مورد ریسک همچنین توافق بین تصمیمگیرندگان و سایر ذینفعان در مورد نحوه #مدیریت_ریسک را تسهیل میکند.
✅ فعالیتهای ارتباطی با #ریسک باید به طور مداوم انجام شود و سازمانها باید برنامههای ارتباطی با ریسک را برای عملیات عادی و همچنین شرایط اضطراری تدوین کنند.
▪نظارت و بازبینی ریسک: تهدیدات ثابت نیستند و میتوانند ناگهان تغییر کنند. به تبع آن ریسکها نیز تغییر نموده و یا ایجاد میگردند، بنابراین میبایست ریسکها به طور مداوم تحت نظارت قرار گیرند تا #تغییرات در کمترین زمان ممکن شناسایی شده و ریسکهای به وجود آمده بررسی و ارزیابی گردند.
#پایگاه_جامع_مدیریار
www.modiryar.com
@modiryar