#تقسیم_بندی_مدلهای_کسب_و_کار_جزئی
#پایگاه_جامع_مدیریار
نوعی از تقسیمبندی مدلهای کسب و کار، تقسیم بندی دارایی هایی است که فروخته میشوند. ۴ نوع دارایی شناخته شده وجود دارد:
⓵ #دارایی_های_مالی :
شامل وجوه نقد و دارایی های دیگر مانند سهام، اعتبارات و بیمه میشود که به مالک حق داشتن وجوه نقدی را در آینده می دهند.
⓶ #دارایی_های_فیزیکی :
شامل دارایی های ثابت مانند خانه، کامپیوتر، ماشین آلات و غیره و از طرفی دارایی های متغیر مانند غذا، لباس، کاغذ و غیره می شود.
⓷ #دارایی_های_نامشهود :
شامل حقوق انتزاعی قانونی مانند حق اختراع، کپی رایت، علائم به ثبت رسیده و اسرار محرمانه و همچنین دارایی های نامشهود دیگر مانند دانش، سابقه خوب و برند یک شرکت می شود.
⓸ #دارایی_های_انسانی :
شامل زمان و تلاش افراد می شود. مسلم است که افراد دارایی به معنی حسابداری آن نیستند و قابل خرید، فروش و معامله نمی باشند اما زمان آنها (و دانش آنها) میتواند به اجاره داده شود.
جدول هریک از انواع مدل های کسب و کار عمومی را نشان میدهد که با هرکدام از این دارایی ها بکار برده شده اند که منجر به بوجود آمدن ۱۶ مدل کسب و کار جزئی شده است.
@modiryar
#پایگاه_جامع_مدیریار
نوعی از تقسیمبندی مدلهای کسب و کار، تقسیم بندی دارایی هایی است که فروخته میشوند. ۴ نوع دارایی شناخته شده وجود دارد:
⓵ #دارایی_های_مالی :
شامل وجوه نقد و دارایی های دیگر مانند سهام، اعتبارات و بیمه میشود که به مالک حق داشتن وجوه نقدی را در آینده می دهند.
⓶ #دارایی_های_فیزیکی :
شامل دارایی های ثابت مانند خانه، کامپیوتر، ماشین آلات و غیره و از طرفی دارایی های متغیر مانند غذا، لباس، کاغذ و غیره می شود.
⓷ #دارایی_های_نامشهود :
شامل حقوق انتزاعی قانونی مانند حق اختراع، کپی رایت، علائم به ثبت رسیده و اسرار محرمانه و همچنین دارایی های نامشهود دیگر مانند دانش، سابقه خوب و برند یک شرکت می شود.
⓸ #دارایی_های_انسانی :
شامل زمان و تلاش افراد می شود. مسلم است که افراد دارایی به معنی حسابداری آن نیستند و قابل خرید، فروش و معامله نمی باشند اما زمان آنها (و دانش آنها) میتواند به اجاره داده شود.
جدول هریک از انواع مدل های کسب و کار عمومی را نشان میدهد که با هرکدام از این دارایی ها بکار برده شده اند که منجر به بوجود آمدن ۱۶ مدل کسب و کار جزئی شده است.
@modiryar
مدیریار | Modiryar
Photo
✍ اجزاء مدیریت داده از دیدگاه سیامامآی
✅ با وجود سرمایهگذاریهای سنگین و طولانیمدت در #مدیریت_داده، مسائل مربوط به داده در بسیاری از سازمانها در حال رشد است. یک دلیل این امر، آن است که داده به طور سنتی تنها به عنوان یک جنبه از پروژههای فناوری شناخته شده و به عنوان یک دارایی سازمانی به آن نگاه نمیشود.
✅ بنابراین، اعتقاد بر این بوده که استفاده معمول از آن و تلاشها برای ایجاد پایگاههای داده، برای #پاسخگویی به مسائل مرتبط با داده کافی است. سازمانها بایستی استراتژیهای دادهای ایجاد کنند که با واقعیتهای دنیای امروز منطبق باشد و اطمینان حاصل کنند که تمام منابع دادهای به آسانی و به طور کارآمد، مورد استفاده قرار گیرند، به اشتراک گذاشته شوند و جابهجا گردند.
✅ یک استراتژی داده از مدیریت شدن دادهها و استفاده از آنها به عنوان یک #دارایی اطمینان حاصل میکند و اهدافی را در پروژهها تعیین میکند که استفاده مؤثر و کارآمد از داده را تضمین مینماید. یک استراتژی داده، روشها، اقدامات و فرآیندهای مشترکی را تعیین میکند که مدیریت، استفاده و بهاشتراکگذاری داده در سراسر سازمان را به روشی تکرارپذیر ممکن میسازد.
✅ یک #استراتژی_داده، در واقع نقشهراهی را تعیین میکند تا این فعالیتها را در حوزههای مختلف #مدیریت داده همراستا سازد؛ به نحوی که یکدیگر را کامل کرده تا به منافع بزرگتری دست یابند.
#پایگاه_جامع_مدیریار
www.modiryar.com
@modiryar
✅ با وجود سرمایهگذاریهای سنگین و طولانیمدت در #مدیریت_داده، مسائل مربوط به داده در بسیاری از سازمانها در حال رشد است. یک دلیل این امر، آن است که داده به طور سنتی تنها به عنوان یک جنبه از پروژههای فناوری شناخته شده و به عنوان یک دارایی سازمانی به آن نگاه نمیشود.
✅ بنابراین، اعتقاد بر این بوده که استفاده معمول از آن و تلاشها برای ایجاد پایگاههای داده، برای #پاسخگویی به مسائل مرتبط با داده کافی است. سازمانها بایستی استراتژیهای دادهای ایجاد کنند که با واقعیتهای دنیای امروز منطبق باشد و اطمینان حاصل کنند که تمام منابع دادهای به آسانی و به طور کارآمد، مورد استفاده قرار گیرند، به اشتراک گذاشته شوند و جابهجا گردند.
✅ یک استراتژی داده از مدیریت شدن دادهها و استفاده از آنها به عنوان یک #دارایی اطمینان حاصل میکند و اهدافی را در پروژهها تعیین میکند که استفاده مؤثر و کارآمد از داده را تضمین مینماید. یک استراتژی داده، روشها، اقدامات و فرآیندهای مشترکی را تعیین میکند که مدیریت، استفاده و بهاشتراکگذاری داده در سراسر سازمان را به روشی تکرارپذیر ممکن میسازد.
✅ یک #استراتژی_داده، در واقع نقشهراهی را تعیین میکند تا این فعالیتها را در حوزههای مختلف #مدیریت داده همراستا سازد؛ به نحوی که یکدیگر را کامل کرده تا به منافع بزرگتری دست یابند.
#پایگاه_جامع_مدیریار
www.modiryar.com
@modiryar
✍ چهار ویژگی منحصر به فرد داده
1⃣ تمام شدنی نیست
بیشترین ارزش از #داده نه درزمان استفاده بلکه در زمان استفاده مجدد از آن حاصل می شود
2⃣ در طول زمان تنزل نمی یابد
درصورت نگهداری درست #دارایی_های_دیجیتال، بر خلاف سایر دارایی های سازمان تنزل نمی یابند
3⃣ با دوام است
قادر به تولید جریانی از #محصولات و سرویس ها در طول زمان است
4⃣ راهبردی است
#دارایی_های_داده باید برای نیل به آینده نگهداری شوند. بدون دارایی های راهبردی آینده سازمان به خطر می افتد.
#پایگاه_جامع_مدیریار
www.modiryar.com
@modiryar
1⃣ تمام شدنی نیست
بیشترین ارزش از #داده نه درزمان استفاده بلکه در زمان استفاده مجدد از آن حاصل می شود
2⃣ در طول زمان تنزل نمی یابد
درصورت نگهداری درست #دارایی_های_دیجیتال، بر خلاف سایر دارایی های سازمان تنزل نمی یابند
3⃣ با دوام است
قادر به تولید جریانی از #محصولات و سرویس ها در طول زمان است
4⃣ راهبردی است
#دارایی_های_داده باید برای نیل به آینده نگهداری شوند. بدون دارایی های راهبردی آینده سازمان به خطر می افتد.
#پایگاه_جامع_مدیریار
www.modiryar.com
@modiryar
مدیریار | Modiryar
✍ مدل بلوغ دیجیتال #مدل_مفهومی #مدل_مدیریت #پایگاه_جامع_مدیریار www.modiryar.com @modiryar
✍ مدل بلوغ دیجیتال
▪#مدل_بلوغ_دیجیتال (Digital Maturity Model) که به اختصار DMM نامیده میشود با شناسایی شکافهای موجود، به تعیین مناطق کلیدی تمرکز و تعریف نقطه شروع کمک میکند.
▪#مدل_بلوغ دیجیتال در سازمان یا شرکت مطابق تصویری که در ادامه آورده میشود، قابل ترسیم است. در این مدل سه بُعد و مولفه اصلی مطرح است:
✅ سطح بلوغ شرکت:
▪در این مدل سه موقعیت برای شرکت در نظر گرفته شده که شامل #دارایی_دیجیتال، تجربه دیجیتال و تحول دیجیتال است. در سطح دارایی دیجیتال، اسناد و ارتباطات مختلف بهتدریج از کاغذی و حالت سنتی به محتوای دیجیتال تغییر خواهد کرد.
▪اکثر شرکتها درحال حاضر در مرحله دوم تجربه دیجیتال هستند. در این مرحله، به ارائه قابلیت و راهکارهای دیجیتالی برای بیمهشدگان، نمایندگان و #کارکنان توجه خواهد شد. مرحله نهایی تحول دیجیتال است.
▪تعداد کمی از شرکتهادر #سطح_بین_الملل در این مرحله هستند، زیرا این سطح از بلوغ به یک ساختار کاملا دیجیتالی اشاره دارد که میتواند بهسرعت به فرصتهای بازار پاسخ دهد، محصولات جدید تولید کند، مدل کسبوکار جدید راهاندازی و در حوزههای فناوری سرمایهگذاری کند.
✅ تمرکز اولیه تغییر شکل دیجیتالی (محورهای X-Y):
▪#مدل_بلوغ_دیجیتال_ماتریسی است که از تقاطع دو محور افقی و عمودی ایجاد میشود. در محور افقی (محور x) بهمنظور تدوین استراتژیها و برنامهها به عوامل درونی سازمان از جمله افزایش کارایی، کاهش هزینهها، رعایت مقررات و اجرای مؤثر تعهدات توجه شده است.
▪در سالهای اخیر، شرکتهابیشتر روی #تجربه_مشتری (محور y) متمرکز شدهاند و برای هدایت استراتژیها و برنامهها، دیدگاهی برون سازمانی دارند. سؤالی که در اینجا مطرح میشود این است که کدام رویکرد و نگرش مؤثرتر است؟ بهترین رویکرد، یافتن تعادل مناسب بین تجربه مشتری و جهتگیریهای تجربه عملیاتی کسبوکار است.
✅ استراتژی دگرگونی:
▪چهار ربع ایجادشده در این ماتریس ۲×۲ نشاندهنده چهار رویکردی است که توسط شرکتهای بیمه اتخاذ میشود. بهمنظور تحقق هر یک از رویکردهای موجود میبایست پروژههایی را #طراحی، تدوین و پیادهسازی کرد.
▪#تحول_مبتنی_بر_مشتری (ربع بالا سمت چپ ماتریس) پروژههای دیجیتالی را در اولویت کاری خود قرار میدهد که قابلیتهای جدیدی را برای مشتریان و شبکه فروش محصولات و خدمات خود فراهم کند.
✅ نتیجه:
▪یک #تحول مبتنی بر عملیات اجرایی (ربع پایین سمت راست ماتریس) بر تقویت زیرساخت با سیستمهای اصلی مدرن، هوش تجاری و فناوریهایی که عملیات داخلی را بهبود میبخشد، تمرکز دارد.
▪ربع بالا سمت راست ماتریس «تحول مبتنی بر نوآوری» نامیده میشود و به پیشرفت در تمام سه بخش دیگر بستگی دارد. در این زمینه، شرکتها از پلتفرمهای دیجیتال، فناوریهای تحولآفرین و حتی اضافهکردن بازوی فناوری (Partnership) برای ایجاد #خلاقیت و تحول استفاده میکنند.
▪پروژههایی که با #هدف_تحول در کسبوکار تعریف خواهد شد در این سه ربع ماتریس قرار دارند. فعالیتهای موجود در ربع کسبوکار نیز مهم تلقی میشوند. درواقع، این فعالیتها پایهای برای طراحی و پیادهسازی سایر قابلیتهای تحولآفرین به شمار میآیند.
#مدل_مفهومی
#مدل_مدیریت
#پایگاه_جامع_مدیریار
www.modiryar.com
@modiryar
▪#مدل_بلوغ_دیجیتال (Digital Maturity Model) که به اختصار DMM نامیده میشود با شناسایی شکافهای موجود، به تعیین مناطق کلیدی تمرکز و تعریف نقطه شروع کمک میکند.
▪#مدل_بلوغ دیجیتال در سازمان یا شرکت مطابق تصویری که در ادامه آورده میشود، قابل ترسیم است. در این مدل سه بُعد و مولفه اصلی مطرح است:
✅ سطح بلوغ شرکت:
▪در این مدل سه موقعیت برای شرکت در نظر گرفته شده که شامل #دارایی_دیجیتال، تجربه دیجیتال و تحول دیجیتال است. در سطح دارایی دیجیتال، اسناد و ارتباطات مختلف بهتدریج از کاغذی و حالت سنتی به محتوای دیجیتال تغییر خواهد کرد.
▪اکثر شرکتها درحال حاضر در مرحله دوم تجربه دیجیتال هستند. در این مرحله، به ارائه قابلیت و راهکارهای دیجیتالی برای بیمهشدگان، نمایندگان و #کارکنان توجه خواهد شد. مرحله نهایی تحول دیجیتال است.
▪تعداد کمی از شرکتهادر #سطح_بین_الملل در این مرحله هستند، زیرا این سطح از بلوغ به یک ساختار کاملا دیجیتالی اشاره دارد که میتواند بهسرعت به فرصتهای بازار پاسخ دهد، محصولات جدید تولید کند، مدل کسبوکار جدید راهاندازی و در حوزههای فناوری سرمایهگذاری کند.
✅ تمرکز اولیه تغییر شکل دیجیتالی (محورهای X-Y):
▪#مدل_بلوغ_دیجیتال_ماتریسی است که از تقاطع دو محور افقی و عمودی ایجاد میشود. در محور افقی (محور x) بهمنظور تدوین استراتژیها و برنامهها به عوامل درونی سازمان از جمله افزایش کارایی، کاهش هزینهها، رعایت مقررات و اجرای مؤثر تعهدات توجه شده است.
▪در سالهای اخیر، شرکتهابیشتر روی #تجربه_مشتری (محور y) متمرکز شدهاند و برای هدایت استراتژیها و برنامهها، دیدگاهی برون سازمانی دارند. سؤالی که در اینجا مطرح میشود این است که کدام رویکرد و نگرش مؤثرتر است؟ بهترین رویکرد، یافتن تعادل مناسب بین تجربه مشتری و جهتگیریهای تجربه عملیاتی کسبوکار است.
✅ استراتژی دگرگونی:
▪چهار ربع ایجادشده در این ماتریس ۲×۲ نشاندهنده چهار رویکردی است که توسط شرکتهای بیمه اتخاذ میشود. بهمنظور تحقق هر یک از رویکردهای موجود میبایست پروژههایی را #طراحی، تدوین و پیادهسازی کرد.
▪#تحول_مبتنی_بر_مشتری (ربع بالا سمت چپ ماتریس) پروژههای دیجیتالی را در اولویت کاری خود قرار میدهد که قابلیتهای جدیدی را برای مشتریان و شبکه فروش محصولات و خدمات خود فراهم کند.
✅ نتیجه:
▪یک #تحول مبتنی بر عملیات اجرایی (ربع پایین سمت راست ماتریس) بر تقویت زیرساخت با سیستمهای اصلی مدرن، هوش تجاری و فناوریهایی که عملیات داخلی را بهبود میبخشد، تمرکز دارد.
▪ربع بالا سمت راست ماتریس «تحول مبتنی بر نوآوری» نامیده میشود و به پیشرفت در تمام سه بخش دیگر بستگی دارد. در این زمینه، شرکتها از پلتفرمهای دیجیتال، فناوریهای تحولآفرین و حتی اضافهکردن بازوی فناوری (Partnership) برای ایجاد #خلاقیت و تحول استفاده میکنند.
▪پروژههایی که با #هدف_تحول در کسبوکار تعریف خواهد شد در این سه ربع ماتریس قرار دارند. فعالیتهای موجود در ربع کسبوکار نیز مهم تلقی میشوند. درواقع، این فعالیتها پایهای برای طراحی و پیادهسازی سایر قابلیتهای تحولآفرین به شمار میآیند.
#مدل_مفهومی
#مدل_مدیریت
#پایگاه_جامع_مدیریار
www.modiryar.com
@modiryar
✍ مدیریت دارایی های سرویس کسب و کار
✅ دو نوع #دارایی_سرویس وجود دارد:
1⃣ #منابع:
▪منظور ورودی های تولید مستقیم یک سرویس است.
▪شامل: سرمایه مالی، زیرساخت، نرم افزار، اطلاعات و نیروی انسانی
2⃣ #توانمندی_ها:
▪منظور قابلیت ها و توانایی های سرویس دهنده است.
▪شامل: مدیریت، سازمان، فرایند، دانش و نیروی انسانی
✅ سرویسهای IT معمولا از یک مجموعه component های مجزا تشکیل شده اند، مانند سرورها، نرم افزار و میان افزار و #اطلاعات_پیکربندی مخصوص به خود.
✅ #مدیریت_پیکربندی و دارایی ITIL یا به اختصار SACM در مورد برنامه ریزی دقیق و مدیریت روابط و ویژگی های تمام این اجزاء (components) در سراسر هریک از سرویسهای زیرساخت شما میباشد.
✅ به بیان دیگر، SACM ترکیبی از دو فرآیند مهم است:
▪#مدیریت_دارایی که اشاره به دارایی هایی دارد که شما از آنها برای ارائه سرویسهای IT استفاده میکنید.
▪#مدیریت_پیکربندی که پیکربندی و ارتباط بین اجزاء مختلف (components) سرویسهای متفاوت IT را پیگیری میکند.
#پایگاه_جامع_مدیریار
www.modiryar.com
@modiryar
✅ دو نوع #دارایی_سرویس وجود دارد:
1⃣ #منابع:
▪منظور ورودی های تولید مستقیم یک سرویس است.
▪شامل: سرمایه مالی، زیرساخت، نرم افزار، اطلاعات و نیروی انسانی
2⃣ #توانمندی_ها:
▪منظور قابلیت ها و توانایی های سرویس دهنده است.
▪شامل: مدیریت، سازمان، فرایند، دانش و نیروی انسانی
✅ سرویسهای IT معمولا از یک مجموعه component های مجزا تشکیل شده اند، مانند سرورها، نرم افزار و میان افزار و #اطلاعات_پیکربندی مخصوص به خود.
✅ #مدیریت_پیکربندی و دارایی ITIL یا به اختصار SACM در مورد برنامه ریزی دقیق و مدیریت روابط و ویژگی های تمام این اجزاء (components) در سراسر هریک از سرویسهای زیرساخت شما میباشد.
✅ به بیان دیگر، SACM ترکیبی از دو فرآیند مهم است:
▪#مدیریت_دارایی که اشاره به دارایی هایی دارد که شما از آنها برای ارائه سرویسهای IT استفاده میکنید.
▪#مدیریت_پیکربندی که پیکربندی و ارتباط بین اجزاء مختلف (components) سرویسهای متفاوت IT را پیگیری میکند.
#پایگاه_جامع_مدیریار
www.modiryar.com
@modiryar
مدیریار | Modiryar
✍ فرآیند مدیریت ریسک ISO 27005 #پایگاه_جامع_مدیریار www.modiryar.com @modiryar
✍ فرآیند مدیریت ریسک ISO 27005
✅ اگرچه ISO 27005 هیچ روش خاصی برای #مدیریت_ریسک مشخص نمیکند، اما بر فرآیند پیوسته مدیریت ریسک اطلاعات مبتنی بر اجزاء کلیدی زیر دلالت دارد:
▪زمینهسازی
▪شناسایی ریسک
▪تحلیل ریسک
▪ارزشیابی ریسک
▪واکنش به ریسک
▪پذیرش ریسک
▪ارتباط و مشاوره
▪نظارت و بازبینی ریسک
🔴 #زمینه_سازی:
✅ #چارچوب_مدیریت_ریسک معیارهایی را برای نحوه شناسایی ریسکها، مسئولیت مالکیت ریسک، تأثیر ریسکها بر محرمانه بودن، صحت و در دسترس بودن اطلاعات و نحوه محاسبه تأثیر و احتمال ریسک تعیین میکند.
✅ در این مرحله زمینه داخلی و خارجی مدیریت #ریسک امنیت اطلاعات پایهگذاری میشود که شامل تنظیم معیارهای بنیادی برای مدیریت ریسک امنیت اطلاعات است. موارد زیر در این مرحله مد نظر قرار میگیرد:
▪تعیین رویكرد و روش مدیریت ریسک
▪تعیین معیارهای ارزیابی ریسک
▪تعیین معیارهای پیامد
▪تعیین معیارهای پذیرش ریسک
▪تعریف محدوده و قلمرو مدیریت ریسک امنیت اطلاعات
▪سازماندهی
🔴 #شناسایی_ریسک:
فرآیند شناسایی ریسک مبتنی بر #دارایی را که شامل پنج مرحله کلیدی زیر است، در این مرحله انجام میگردد:
▪گردآوری داراییهای اطلاعاتی
▪شناسایی تهدیدها و آسیب پذیریهای قابل اعمال برای هر دارایی
▪تعیین ارزش تاثیر و احتمال بر اساس معیارهای ریسک
▪ارزیابی هر ریسک در برابر سطوح از پیش تعیین شده مقبولیت
▪اولویتبندی و ترتیب خطرات احتمالی
🔴 #تحلیل_ریسک
تحلیل ریسک با توجه به سطح جزئیات مورد نظر، میزان حیاتی بودن داراییها، گستره تحلیل ریسک آسیبپذیریهای شناخته شده و نیز رخدادهای دربرگیرنده سازمان انجام میشود. روش #تحلیل ریسک میتواند كمی و یا كیفی و یا تلفیقی از هر دو باشد. این مرحله شامل گامهای زیر است:
▪ارزیابی پیامدها
▪ارزشیابی احتمال رخداد
▪تعیین سطح ریسک
🔴 #ارزشیابی_ریسک
✅ در این زیر #فرآیند بر اساس معیارهای استخراج شده در زیر فرآیند تحلیل ریسک، سطح پذیرش ریسک و ریسکهای قابل پذیرش استخراج میشوند. به عبارت دیگر فعالیتهای انجام شده در این مرحله عبارتند از:
▪تعیین معیار پذیرش ریسک
▪مقایسه ریسکهای تحلیل شده با معیار پذیرش، اولویتبندی ریسکها و تعیین ریسکهای قابل پذیرش
✅ برخورد با ریسک: چهار راه برای برخورد با ریسک وجود دارد، فرآیند برخورد با ریسک در انتخاب اقدامات امنیتی به منظور،كاهش، حفظ، اجتناب و انتقال انجام میشود:
▪تغییر (اصلاح) ریسک
▪انتقال (اشتراك) ریسک
▪اجتناب از ریسک
▪حفظ ریسک
🔴 #پذیرش_ریسک
✅ در این مرحله تصمیمگیری در خصوص پذیرش ریسک امنیت اطلاعات صورت میگیرد. باید توجه داشت كه #تصمیمات مرتبط با پذیرش ریسک و نیز مسئولیت تصمیمگیری باید به طور رسمی ثبت گردد.
▪ارتباط و مشاوره در رابطه با ریسک: ارتباط موثر برای افراد مهم است. فرآیند مدیریت ریسک امنیت اطلاعات این اطمینان را میدهد که تصمیماتی که گرفته میشود بر اساس چرایی اقدامات خاصی که مورد نیاز است، میباشد. به اشتراک گذاشتن و تبادل اطلاعات در مورد ریسک همچنین توافق بین تصمیمگیرندگان و سایر ذینفعان در مورد نحوه #مدیریت_ریسک را تسهیل میکند.
✅ فعالیتهای ارتباطی با #ریسک باید به طور مداوم انجام شود و سازمانها باید برنامههای ارتباطی با ریسک را برای عملیات عادی و همچنین شرایط اضطراری تدوین کنند.
▪نظارت و بازبینی ریسک: تهدیدات ثابت نیستند و میتوانند ناگهان تغییر کنند. به تبع آن ریسکها نیز تغییر نموده و یا ایجاد میگردند، بنابراین میبایست ریسکها به طور مداوم تحت نظارت قرار گیرند تا #تغییرات در کمترین زمان ممکن شناسایی شده و ریسکهای به وجود آمده بررسی و ارزیابی گردند.
#پایگاه_جامع_مدیریار
www.modiryar.com
@modiryar
✅ اگرچه ISO 27005 هیچ روش خاصی برای #مدیریت_ریسک مشخص نمیکند، اما بر فرآیند پیوسته مدیریت ریسک اطلاعات مبتنی بر اجزاء کلیدی زیر دلالت دارد:
▪زمینهسازی
▪شناسایی ریسک
▪تحلیل ریسک
▪ارزشیابی ریسک
▪واکنش به ریسک
▪پذیرش ریسک
▪ارتباط و مشاوره
▪نظارت و بازبینی ریسک
🔴 #زمینه_سازی:
✅ #چارچوب_مدیریت_ریسک معیارهایی را برای نحوه شناسایی ریسکها، مسئولیت مالکیت ریسک، تأثیر ریسکها بر محرمانه بودن، صحت و در دسترس بودن اطلاعات و نحوه محاسبه تأثیر و احتمال ریسک تعیین میکند.
✅ در این مرحله زمینه داخلی و خارجی مدیریت #ریسک امنیت اطلاعات پایهگذاری میشود که شامل تنظیم معیارهای بنیادی برای مدیریت ریسک امنیت اطلاعات است. موارد زیر در این مرحله مد نظر قرار میگیرد:
▪تعیین رویكرد و روش مدیریت ریسک
▪تعیین معیارهای ارزیابی ریسک
▪تعیین معیارهای پیامد
▪تعیین معیارهای پذیرش ریسک
▪تعریف محدوده و قلمرو مدیریت ریسک امنیت اطلاعات
▪سازماندهی
🔴 #شناسایی_ریسک:
فرآیند شناسایی ریسک مبتنی بر #دارایی را که شامل پنج مرحله کلیدی زیر است، در این مرحله انجام میگردد:
▪گردآوری داراییهای اطلاعاتی
▪شناسایی تهدیدها و آسیب پذیریهای قابل اعمال برای هر دارایی
▪تعیین ارزش تاثیر و احتمال بر اساس معیارهای ریسک
▪ارزیابی هر ریسک در برابر سطوح از پیش تعیین شده مقبولیت
▪اولویتبندی و ترتیب خطرات احتمالی
🔴 #تحلیل_ریسک
تحلیل ریسک با توجه به سطح جزئیات مورد نظر، میزان حیاتی بودن داراییها، گستره تحلیل ریسک آسیبپذیریهای شناخته شده و نیز رخدادهای دربرگیرنده سازمان انجام میشود. روش #تحلیل ریسک میتواند كمی و یا كیفی و یا تلفیقی از هر دو باشد. این مرحله شامل گامهای زیر است:
▪ارزیابی پیامدها
▪ارزشیابی احتمال رخداد
▪تعیین سطح ریسک
🔴 #ارزشیابی_ریسک
✅ در این زیر #فرآیند بر اساس معیارهای استخراج شده در زیر فرآیند تحلیل ریسک، سطح پذیرش ریسک و ریسکهای قابل پذیرش استخراج میشوند. به عبارت دیگر فعالیتهای انجام شده در این مرحله عبارتند از:
▪تعیین معیار پذیرش ریسک
▪مقایسه ریسکهای تحلیل شده با معیار پذیرش، اولویتبندی ریسکها و تعیین ریسکهای قابل پذیرش
✅ برخورد با ریسک: چهار راه برای برخورد با ریسک وجود دارد، فرآیند برخورد با ریسک در انتخاب اقدامات امنیتی به منظور،كاهش، حفظ، اجتناب و انتقال انجام میشود:
▪تغییر (اصلاح) ریسک
▪انتقال (اشتراك) ریسک
▪اجتناب از ریسک
▪حفظ ریسک
🔴 #پذیرش_ریسک
✅ در این مرحله تصمیمگیری در خصوص پذیرش ریسک امنیت اطلاعات صورت میگیرد. باید توجه داشت كه #تصمیمات مرتبط با پذیرش ریسک و نیز مسئولیت تصمیمگیری باید به طور رسمی ثبت گردد.
▪ارتباط و مشاوره در رابطه با ریسک: ارتباط موثر برای افراد مهم است. فرآیند مدیریت ریسک امنیت اطلاعات این اطمینان را میدهد که تصمیماتی که گرفته میشود بر اساس چرایی اقدامات خاصی که مورد نیاز است، میباشد. به اشتراک گذاشتن و تبادل اطلاعات در مورد ریسک همچنین توافق بین تصمیمگیرندگان و سایر ذینفعان در مورد نحوه #مدیریت_ریسک را تسهیل میکند.
✅ فعالیتهای ارتباطی با #ریسک باید به طور مداوم انجام شود و سازمانها باید برنامههای ارتباطی با ریسک را برای عملیات عادی و همچنین شرایط اضطراری تدوین کنند.
▪نظارت و بازبینی ریسک: تهدیدات ثابت نیستند و میتوانند ناگهان تغییر کنند. به تبع آن ریسکها نیز تغییر نموده و یا ایجاد میگردند، بنابراین میبایست ریسکها به طور مداوم تحت نظارت قرار گیرند تا #تغییرات در کمترین زمان ممکن شناسایی شده و ریسکهای به وجود آمده بررسی و ارزیابی گردند.
#پایگاه_جامع_مدیریار
www.modiryar.com
@modiryar