گروه مدیریت ریسک
Generic placeholder image
مراحل مدیریت ریسک امنیت اطلاعات و استراتژیهای برخورد؛ قانون 4T

در فرآیند مدیریت ریسک امنیت اطلاعات، پس از اجرای مراحلی چون شناسایی، تحلیل و آنالیز ریسک می‌بایست چگونگی و استراتژی برخورد با را معین نماییم. خروجی مرحله قبل شامل سناریوهای ریسکی هستند که در محدوده قابل قبول و یا غیرقابل قبول دسته بندی می شوند. اما سوال اینجاست که با ریسک های غیرقابل قبول چه باید کرد؟ آیا سازمان باید برای تمامی آنها از طرح های کاهش ریسک استفاده نماید؟ گزینه های پیش رو چیست؟ در این مقاله به بررسی استراتژی های قابل اتخاذ برای سازمان در مواجهه با ریسک های امنیت اطلاعات در مرحله تدوین طرح مقابله با ریسک ها (RTP) و معرفی قانون 4T می پردازیم.

نویسنده: میلاد یداللهی

دسته بندی: مدیریت ریسک

Generic placeholder image
انتخاب یک رویکرد مناسب برای ارزیابی ریسک امنیت اطلاعات

هدف از هرگونه ارزیابی ریسک این است که مدیران ارشد سازمان و مالکین دارایی ها بتوانند با استفاده از بهترین اطلاعات ممکن در خصوص احتمال از دست رفتن داده ها آگاه شوند. در نتیجه، دو نکته حائز اهمیت وجود دارد، نخست آن که تصمیم گیرندگان سازمان روش ارزیابی ریسک مورد استفاده را بپذیرند و دیگر اینکه نتایج حاصل از ارزیابی ریسک به شکلی مفید و قابل استفاده، ارائه گردد. در این مقاله رویکردهای متداول ارزیابی ریسک را مورد بررسی قرار می دهیم.

نویسنده: سارا رحیمی

دسته بندی: مدیریت ریسک

Generic placeholder image
بررسی الزامات مدیریت ریسک امنیت اطلاعات بر اساس استاندارد ISO/IEC 27005:2011

یکی از مهمترين اجزای سازنده سیستم مديريت امنيت اطلاعات، فرايند مدیریت ريسک است. مدیریت ريسک به سازمان ها اين امکان را می دهد که نقاط ضعف و تهديدات امنيتی خود را شناسايی نمايند و متناسب با ريسک هاي تعيين شده، روش مناسب جهت مقابله با آنها را اتخاذ نمايند. اما چگونه می توان برنامه ریزی کاملی جهت پیاده سازی فرایند مدیریت ریسک انجام داد و چه راهکارهایی برای انجام صحیح این فرایند وجود دارد؟ در این مقاله به پاسخ این سوال پرداخته و استاندارد ISO/IEC 27005:2011 را که به همین منظور تدوین شده است، معرفی خواهیم نمود.

نویسنده: سارا رحیمی

دسته بندی: مدیریت ریسک

Generic placeholder image
تست نفوذپذیری یا پویش آسیب پذیری فنی؛ کدام‌یک الزام سیستم مدیریت امنیت اطلاعات است؟

یکی از دغدغه ها در پروژه های استقرار سیستم مدیریت امنیت اطلاعات، نحوه تعیین شرح خدمات در حوزه تست نفوذ پذیری است. اینکه آیا تست نفوذپذیری یک الزام است یا خیر، موضوع مورد سوال مدیران فناوری اطلاعات است. در این مقاله به این پرسش پاسخ داده خواهد شد.

نویسنده: امیر خوانی

دسته بندی: مدیریت ریسک