مدیریار | Modiryar
843 subscribers
4.9K photos
676 videos
3 files
4.42K links
پایگاه جامع مدیریت
www.modiryar.com
مدیرمسئول
@mahdiyarahmadi
رئیس هیئت‌مدیره
@AhmadNiroomand
• اینستاگرام
https://www.instagram.com/modiryar_com
• ایتا
https://eitaa.com/modiryar
• گپ
https://gap.im/modiryar
احرازارشاد
http://t.me/itdmcbot?start=modiryar
Download Telegram
مدیریار | Modiryar
فرآیند مدیریت ریسک ISO 27005 #پایگاه_جامع_مدیریار www.modiryar.com @modiryar
فرآیند مدیریت ریسک ISO 27005

اگرچه ISO 27005 هیچ روش خاصی برای #مدیریت_ریسک مشخص نمی‌کند، اما بر فرآیند پیوسته مدیریت ریسک اطلاعات مبتنی بر اجزاء کلیدی زیر دلالت دارد:

زمینه‌سازی
شناسایی ریسک
تحلیل ریسک
ارزشیابی ریسک
واکنش به ریسک
پذیرش ریسک
ارتباط و مشاوره
نظارت و بازبینی ریسک

🔴 #زمینه‌_سازی:

#چارچوب_مدیریت_ریسک معیارهایی را برای نحوه شناسایی ریسک‌ها، مسئولیت مالکیت ریسک، تأثیر ریسک‌ها بر محرمانه بودن، صحت و در دسترس بودن اطلاعات و نحوه محاسبه تأثیر و احتمال ریسک تعیین می‌کند.

در این مرحله زمینه داخلی و خارجی مدیریت #ریسک امنیت اطلاعات پایه‌گذاری می‌شود که شامل تنظیم معیارهای بنیادی برای مدیریت ریسک امنیت اطلاعات است. موارد زیر در این مرحله مد نظر قرار می‌گیرد:

تعیین رویكرد و روش مدیریت ریسک
تعیین معیارهای ارزیابی ریسک
تعیین معیارهای پیامد
تعیین معیارهای پذیرش ریسک
تعریف محدوده و قلمرو مدیریت ریسک امنیت اطلاعات
سازماندهی

🔴 #شناسایی_ریسک:

فرآیند شناسایی ریسک مبتنی بر #دارایی را که شامل پنج مرحله کلیدی زیر است، در این مرحله انجام می‌گردد:

گردآوری دارایی‌های اطلاعاتی
شناسایی تهدیدها و آسیب پذیری‌های قابل اعمال برای هر دارایی
تعیین ارزش تاثیر و احتمال بر اساس معیارهای ریسک
ارزیابی هر ریسک در برابر سطوح از پیش تعیین شده مقبولیت
اولویت‌بندی و ترتیب خطرات احتمالی

🔴 #تحلیل_ریسک

تحلیل ریسک با توجه به سطح جزئیات مورد نظر، میزان حیاتی بودن دارایی‌ها، گستره تحلیل ریسک آسیب‌پذیری‌های شناخته شده و نیز رخدادهای دربرگیرنده سازمان انجام می‌شود. روش #تحلیل ریسک می‌تواند كمی و یا كیفی و یا تلفیقی از هر دو باشد. این مرحله شامل گام‌های زیر است:

ارزیابی پیامدها
ارزشیابی احتمال رخداد
تعیین سطح ریسک

🔴 #ارزشیابی_ریسک

در این زیر #فرآیند بر اساس معیارهای استخراج شده در زیر فرآیند تحلیل ریسک، سطح پذیرش ریسک و ریسک‌‏های قابل پذیرش استخراج می‏شوند. به عبارت دیگر فعالیت‌‏های انجام شده در این مرحله عبارتند از:

تعیین معیار پذیرش ریسک
مقایسه ریسک‌‏های تحلیل شده با معیار پذیرش، اولویت‏‌بندی ریسک‌‏ها و تعیین ریسک‏‌های قابل پذیرش

برخورد با ریسک: چهار راه برای برخورد با ریسک وجود دارد، فرآیند برخورد با ریسک در انتخاب اقدامات امنیتی به منظور،كاهش، حفظ، اجتناب و انتقال انجام می‌شود:

تغییر (اصلاح) ریسک
انتقال (اشتراك) ریسک
اجتناب از ریسک
حفظ ریسک

🔴 #پذیرش_ریسک

در این مرحله تصمیم‌گیری در خصوص پذیرش ریسک امنیت اطلاعات صورت می‌گیرد. باید توجه داشت كه #تصمیمات مرتبط با پذیرش ریسک و نیز مسئولیت تصمیم‌گیری باید به طور رسمی ثبت گردد.

ارتباط و مشاوره در رابطه با ریسک: ارتباط موثر برای افراد مهم است. فرآیند مدیریت ریسک امنیت اطلاعات این اطمینان را می‌دهد که تصمیماتی که گرفته می‌شود بر اساس چرایی اقدامات خاصی که مورد نیاز است، می‌باشد. به اشتراک گذاشتن و تبادل اطلاعات در مورد ریسک همچنین توافق بین تصمیم‌گیرندگان و سایر ذی‌نفعان در مورد نحوه #مدیریت_ریسک را تسهیل می‌کند.

فعالیت‌های ارتباطی با #ریسک باید به طور مداوم انجام شود و سازمان‌ها باید برنامه‌های ارتباطی با ریسک را برای عملیات عادی و همچنین شرایط اضطراری تدوین کنند.

نظارت و بازبینی ریسک: تهدیدات ثابت نیستند و می‌توانند ناگهان تغییر کنند. به تبع آن ریسک‌ها نیز تغییر نموده و یا ایجاد می‌گردند، بنابراین می‌بایست ریسک‌ها به طور مداوم تحت نظارت قرار گیرند تا #تغییرات در کم‌ترین زمان ممکن شناسایی شده و ریسک‌های به وجود آمده بررسی و ارزیابی گردند.

#پایگاه_جامع_مدیریار

www.modiryar.com

@modiryar