موضوع ارزیابی ریسک امنیت اطلاعات به عنوان یکی از مهمترین فرآیندهای پیاده سازی استانداردهای GRC و به ویژه ISMS، همواره مورد توجه قرار گرفته است. در این بین بکارگیری و انتخاب یک روش و متدولوژی مناسب و درخور سازمان که بتواند با صرف کمترین زمان و انرژی، به خوبی آسیب پذیری ها و تهدیدات سازمان را تحلیل و شناسایی نماید، همواره به عنوان یکی از اصلی ترین چالش های مدیران و راهبران امنیت اطلاعات بوده است. در این مقاله سعی داریم تا با معرفی شاخص ترین متدهای ارزیابی ریسک، شما را در انتخاب یک روش مناسب یاری نماییم.
نویسنده: سعید ترکمانی
دسته بندی: مدیریت ریسک
ارزیابی ریسک به عنوان یکی از اصلی ترین الزامات ISMS محسوب می شود. استخراج و ارزیابی آسیب پذیری های فنی که عمدتا از فرآیند تست نفوذپذیری منتج می شوند نیز سهم عمده ای را در این بخش در اختیار دارد. با توجه به تنوع رویکردهای ارزیابی ریسک های فنی و فرآیندی، یکی از دغدغه مدیران در این خصوص این است که تست نفوذپذیری چگونه باید انجام شود و نتایج آن چگونه با نتایج فرآیند مدیریت ریسک یکپارچه شود. در این مقاله ابتدا کلیات فرآیند مدیریت ریسک تشریح شده و قید خواهد شد که در هر گام، چگونه خروجی تست نفوذپذیری در نتایج مدیریت ریسک ادغام خواهد شد.
نویسنده: محسن دهقان
استاندارد ISO/IEC 27005:2018 به عنوان یک استاندارد پرکاربرد در زمینه انجام مدیریت ریسک در سازمانها و شرکتهای دارای سیستم مدیریت امنیت اطلاعات شناخته می شود. نسخه قبلی این استاندارد مربوط به سال 2011 می باشد که در حال حاضر نسخه جدید 2018 آن منتشر شده است. در این مقاله سعی داریم نگاهی مختصر به مهمترین تغییرات انجام شده در نسخه جدید این استاندارد داشته باشیم.
نویسنده: میثم ارجمندفر
مدیریت ریسک یکی از مهمترین چالشهای حال حاضر مدیران در سازمانها محسوب میگردد. در حال حاضر دو استاندارد ISO/IEC 27005 و ISO 31000 به عنوان 2 استاندارد رایج برای مدیریت ریسک امنیت اطلاعات وجود دارد که استاندارد ISO/IEC 27001:2013 نیز به این دو استاندارد به عنوان استانداردهای مرجع جهت مدیریت ریسک اشاره نموده است. سوالی که در اینجا پیش میآید این است که به منظور مدیریت ریسک مراجعه به کدامیک از این استانداردها میبایست در اولویت قرار گیرد؟ در این مقاله سعی داریم به بررسی این موضوع بپردازیم.