استاندارد ISO/IEC 27005:2018 به عنوان یک استاندارد پرکاربرد در زمینه انجام مدیریت ریسک در سازمانها و شرکتهای دارای سیستم مدیریت امنیت اطلاعات شناخته می شود. نسخه قبلی این استاندارد مربوط به سال 2011 می باشد که در حال حاضر نسخه جدید 2018 آن منتشر شده است. در این مقاله سعی داریم نگاهی مختصر به مهمترین تغییرات انجام شده در نسخه جدید این استاندارد داشته باشیم.
نویسنده: میثم ارجمندفر
دسته بندی: مدیریت ریسک
مدیریت ریسک یکی از مهمترین چالشهای حال حاضر مدیران در سازمانها محسوب میگردد. در حال حاضر دو استاندارد ISO/IEC 27005 و ISO 31000 به عنوان 2 استاندارد رایج برای مدیریت ریسک امنیت اطلاعات وجود دارد که استاندارد ISO/IEC 27001:2013 نیز به این دو استاندارد به عنوان استانداردهای مرجع جهت مدیریت ریسک اشاره نموده است. سوالی که در اینجا پیش میآید این است که به منظور مدیریت ریسک مراجعه به کدامیک از این استانداردها میبایست در اولویت قرار گیرد؟ در این مقاله سعی داریم به بررسی این موضوع بپردازیم.
در فرآیند مدیریت ریسک امنیت اطلاعات، پس از اجرای مراحلی چون شناسایی، تحلیل و آنالیز ریسک میبایست چگونگی و استراتژی برخورد با را معین نماییم. خروجی مرحله قبل شامل سناریوهای ریسکی هستند که در محدوده قابل قبول و یا غیرقابل قبول دسته بندی می شوند. اما سوال اینجاست که با ریسک های غیرقابل قبول چه باید کرد؟ آیا سازمان باید برای تمامی آنها از طرح های کاهش ریسک استفاده نماید؟ گزینه های پیش رو چیست؟ در این مقاله به بررسی استراتژی های قابل اتخاذ برای سازمان در مواجهه با ریسک های امنیت اطلاعات در مرحله تدوین طرح مقابله با ریسک ها (RTP) و معرفی قانون 4T می پردازیم.
نویسنده: میلاد یداللهی
هدف از هرگونه ارزیابی ریسک این است که مدیران ارشد سازمان و مالکین دارایی ها بتوانند با استفاده از بهترین اطلاعات ممکن در خصوص احتمال از دست رفتن داده ها آگاه شوند. در نتیجه، دو نکته حائز اهمیت وجود دارد، نخست آن که تصمیم گیرندگان سازمان روش ارزیابی ریسک مورد استفاده را بپذیرند و دیگر اینکه نتایج حاصل از ارزیابی ریسک به شکلی مفید و قابل استفاده، ارائه گردد. در این مقاله رویکردهای متداول ارزیابی ریسک را مورد بررسی قرار می دهیم.
نویسنده: سارا رحیمی