مدیریت ریسک امنیت اطلاعات

مدیریت ریسک امنیت اطلاعات

فرآیند شناسایی، ارزیابی و کنترل تهدیدات به منظور محافظت از دارایی‌‌ها و درآمد سازمان مدیریت ریسک امنیت اطلاعات نامیده می‌شود.‌ این فرآیند می‌بایست با فرهنگ سازمان و مدیریت مخاطرات‌ سازمان متناسب  و هم‌راستا باشد.

مدیریت ریسک اگر به‌درستی در سازمان صورت پذیرد، می‌تواند با کنترل وقایع آینده، از خطرات احتمالی پیش‌گیری نماید و موجب صرفه‌جویی در هزینه و محافظت از‌ آینده و اعتبار سازمان گردد.

به بیانی دیگر، مدیریت ریسک‌ آن‌چه را قابل رخ دادن است و پیامدهای ممکن را تحلیل می‌کند و سپس راجع به آن چه باید انجام شود و زمان آن، تصمیم‌گیری می‌کند تا ریسک‌ها به میزان قابل پذیرشی کاهش یابند.

مدیریت ریسک‌ امنیت اطلاعات همواره بخشی جدانشدنی از تمامی اقدامات مدیریت امنیت اطلاعات می‌باشد و همچنین در پیاده‌سازی و بهره‌‌برداری مداوم سیستم مدیریت امنیت اطلاعات (ISMS) به‌کار می‌رود.

این فرآیند می‌بایست به صورت مستمری باشد به طوریکه زمینه درونی و بیرونی سازمان را در نظر گرفته و بر این اساس، ریسک‌ها را ارزیابی نماید و با استفاده از برنامه اجرای توصیه‌ها و تصمیمات ریسک‌های بالاتر از توان تحمل سازمان را برطرف نماید.

جهت انجام فرآیند مدیریت ریسک استانداردهای متفاوتی وجود دارد که در اینجا یک نمونه از آن‌ها ذکر شده است:

مدیریت ریسک‌ امنیت اطلاعات

مدیریت ریسک‌های امنیت اطلاعات، به منظور شناسایی، تحلیل یا آنالیز و سنجش ریسک انجام می‌گردد، پس از انجام این مراحل در یک دسته کلان‌تر با عنوان ارزیابی ریسک، به چگونگی و استراتژی برخورد با ریسک‌های شناسایی شده پرداخته شده و پاسخ به خطرات احتمالی امنیت اطلاعات سازمان صورت می‌پذیرد.

خروجی حاصل از مرحله ارزیابی ریسک شامل سناریوهای ریسکی هستند که در محدوده‌های متفاوتی نظیر قابل‌قبول و یا غیرقابل قبول برای سازمان دسته‌بندی می‌شوند. برای ریسک‌های غیر قابل‌قبول ۴ رویکرد اصلی که در ادامه به تشریح آن‌ها می‌پردازیم، در پیش‌روی سازمان وجود دارد.

در این مرحله سازمان می بایست استراتژی و برنامه خود برای برخورد و مقابله با ریسک‌های پذیرش نشده را تعیین نماید. مهم‌ترین خروجی این بخش طرح مقابله با ریسک (RTP) می‌باشد که در آن سازمان ضمن اولویت‌بندی ریسک‌ها، هر یک از اقدامات مدنظر خود را به منظور مقابله با آن‌ها تشریح می‌نماید.

مدیریت ریسک امنیت اطلاعات به موارد زیر کمک می‌کند:

شناسایی و ارزیابی ریسک

درک احتمال ریسک و عواقب آن برای کسب و کار

ایجاد دستور اولویت‌دهی برای کاهش ریسک

مشارکت ذی‌نفعان در تصمیمات مدیریت ریسک

اثربخشی نظارت بر کاهش ریسک

آگاهی کارکنان از خطرات و اقدامات انجام شده برای کاهش آن‌ها.

مدیریت ریسک‌ها امنیت اطلاعات، باید شامل موارد زیر باشد:

شناسایی ریسک‌ها

ارزیابی ریسک‌ها، بر حسب پیامدهای‌شان برای کسب و کار و احتمال وقوع آن‌ها

گفتمان و درک در مورد احتمال و پیامدهای ریسک‌ها

تعیین اولویت‌ها برای کاهش ریسک

تعیین اولویت‌ها برای اقدامات کاهش وقوع ریسک

دخیل کردن ذی‌نفعان در اخذ تصمیمات مدیریت ریسک‌ها و آگاهی رساندن به آن‌ها از وضعیت مدیریت ریسک‌ها

اثربخشی پایش مقابله با ریسک

پایش و بررسی منظم ریسک‌ها و فرآیند مدیریت ریسک‌

جمع‌آوری اطلاعات به‌منظور بهبود رویکرد ریسک‌

آموزش به مدیران و کارکنان در رابطه با ریسک‌ها و اقدامات کاهش ریسک‌

توجه: فرآیند مدیریت ریسک‌ امنیت اطلاعات را می‌توان به کل سازمان و یا به بخش‌هایی از سازمان تعمیم داد.