ارزیابی ریسک به عنوان یکی از اصلی ترین الزامات ISMS محسوب می شود. استخراج و ارزیابی آسیب پذیری های فنی که عمدتا از فرآیند تست نفوذپذیری منتج می شوند نیز سهم عمده ای را در این بخش در اختیار دارد. با توجه به تنوع رویکردهای ارزیابی ریسک های فنی و فرآیندی، یکی از دغدغه مدیران در این خصوص این است که تست نفوذپذیری چگونه باید انجام شود و نتایج آن چگونه با نتایج فرآیند مدیریت ریسک یکپارچه شود. در این مقاله ابتدا کلیات فرآیند مدیریت ریسک تشریح شده و قید خواهد شد که در هر گام، چگونه خروجی تست نفوذپذیری در نتایج مدیریت ریسک ادغام خواهد شد.
نویسنده: محسن دهقان
دسته بندی: مدیریت ریسک
استاندارد ISO/IEC 27005:2018 به عنوان یک استاندارد پرکاربرد در زمینه انجام مدیریت ریسک در سازمانها و شرکتهای دارای سیستم مدیریت امنیت اطلاعات شناخته می شود. نسخه قبلی این استاندارد مربوط به سال 2011 می باشد که در حال حاضر نسخه جدید 2018 آن منتشر شده است. در این مقاله سعی داریم نگاهی مختصر به مهمترین تغییرات انجام شده در نسخه جدید این استاندارد داشته باشیم.
نویسنده: میثم ارجمندفر
مدیریت ریسک یکی از مهمترین چالشهای حال حاضر مدیران در سازمانها محسوب میگردد. در حال حاضر دو استاندارد ISO/IEC 27005 و ISO 31000 به عنوان 2 استاندارد رایج برای مدیریت ریسک امنیت اطلاعات وجود دارد که استاندارد ISO/IEC 27001:2013 نیز به این دو استاندارد به عنوان استانداردهای مرجع جهت مدیریت ریسک اشاره نموده است. سوالی که در اینجا پیش میآید این است که به منظور مدیریت ریسک مراجعه به کدامیک از این استانداردها میبایست در اولویت قرار گیرد؟ در این مقاله سعی داریم به بررسی این موضوع بپردازیم.
در فرآیند مدیریت ریسک امنیت اطلاعات، پس از اجرای مراحلی چون شناسایی، تحلیل و آنالیز ریسک میبایست چگونگی و استراتژی برخورد با را معین نماییم. خروجی مرحله قبل شامل سناریوهای ریسکی هستند که در محدوده قابل قبول و یا غیرقابل قبول دسته بندی می شوند. اما سوال اینجاست که با ریسک های غیرقابل قبول چه باید کرد؟ آیا سازمان باید برای تمامی آنها از طرح های کاهش ریسک استفاده نماید؟ گزینه های پیش رو چیست؟ در این مقاله به بررسی استراتژی های قابل اتخاذ برای سازمان در مواجهه با ریسک های امنیت اطلاعات در مرحله تدوین طرح مقابله با ریسک ها (RTP) و معرفی قانون 4T می پردازیم.
نویسنده: میلاد یداللهی