گروه مدیریت ریسک
Generic placeholder image
بررسی تغییرات ISO 27005:2018، نسخه جدید استاندارد مدیریت ریسک

استاندارد ISO/IEC 27005:2018 به عنوان یک استاندارد پرکاربرد در زمینه انجام مدیریت ریسک در سازمان‌ها و شرکت‌های دارای سیستم مدیریت امنیت اطلاعات شناخته می شود. نسخه قبلی این استاندارد مربوط به سال 2011 می باشد که در حال حاضر نسخه جدید 2018 آن منتشر شده است. در این مقاله سعی داریم نگاهی مختصر به مهم‌ترین تغییرات انجام شده در نسخه جدید این استاندارد داشته باشیم.

نویسنده: میثم ارجمندفر

دسته بندی: مدیریت ریسک

Generic placeholder image
مقایسه استاندارد ISO/IEC 27005 و استاندارد ISO 31000 در حوزه مدیریت ریسک

مدیریت ریسک یکی از مهم‌ترین چالش‌های حال حاضر مدیران در سازمان‌ها محسوب می‌گردد. در حال حاضر دو استاندارد ISO/IEC 27005 و ISO 31000 به عنوان 2 استاندارد رایج برای مدیریت ریسک امنیت اطلاعات وجود دارد که استاندارد ISO/IEC 27001:2013 نیز به این دو استاندارد به عنوان استاندارد‌های مرجع جهت مدیریت ریسک اشاره نموده است. سوالی که در اینجا پیش‌ می‌آید این است که به منظور مدیریت ریسک مراجعه به کدامیک از این استاندارد‌ها می‌بایست در اولویت قرار گیرد؟ در این مقاله سعی داریم به بررسی این موضوع بپردازیم.

نویسنده: میثم ارجمندفر

دسته بندی: مدیریت ریسک

Generic placeholder image
مراحل مدیریت ریسک امنیت اطلاعات و استراتژیهای برخورد؛ قانون 4T

در فرآیند مدیریت ریسک امنیت اطلاعات، پس از اجرای مراحلی چون شناسایی، تحلیل و آنالیز ریسک می‌بایست چگونگی و استراتژی برخورد با را معین نماییم. خروجی مرحله قبل شامل سناریوهای ریسکی هستند که در محدوده قابل قبول و یا غیرقابل قبول دسته بندی می شوند. اما سوال اینجاست که با ریسک های غیرقابل قبول چه باید کرد؟ آیا سازمان باید برای تمامی آنها از طرح های کاهش ریسک استفاده نماید؟ گزینه های پیش رو چیست؟ در این مقاله به بررسی استراتژی های قابل اتخاذ برای سازمان در مواجهه با ریسک های امنیت اطلاعات در مرحله تدوین طرح مقابله با ریسک ها (RTP) و معرفی قانون 4T می پردازیم.

نویسنده: میلاد یداللهی

دسته بندی: مدیریت ریسک

Generic placeholder image
انتخاب یک رویکرد مناسب برای ارزیابی ریسک امنیت اطلاعات

هدف از هرگونه ارزیابی ریسک این است که مدیران ارشد سازمان و مالکین دارایی ها بتوانند با استفاده از بهترین اطلاعات ممکن در خصوص احتمال از دست رفتن داده ها آگاه شوند. در نتیجه، دو نکته حائز اهمیت وجود دارد، نخست آن که تصمیم گیرندگان سازمان روش ارزیابی ریسک مورد استفاده را بپذیرند و دیگر اینکه نتایج حاصل از ارزیابی ریسک به شکلی مفید و قابل استفاده، ارائه گردد. در این مقاله رویکردهای متداول ارزیابی ریسک را مورد بررسی قرار می دهیم.

نویسنده: سارا رحیمی

دسته بندی: مدیریت ریسک