یکی از مهمترين اجزاي سازنده سیستم مديريت امنيت اطلاعات، فرايند مدیریت ريسک است. مدیریت ريسک به سازمان ها اين امکان را مي دهد که نقاط ضعف و تهديدات امنيتي خود را شناسايي و متناسب با ريسک هاي تعيين شده، روش مناسب جهت مقابله با آنها را اتخاذ نمايند. اما چگونه می توان برنامه ریزی کاملی جهت پیاده سازی فرایند مدیریت ریسک انجام داد و چه راهکارهایی برای انجام صحیح این فرایند وجود دارد؟ در این مقاله به پاسخ این سوال پرداخته و استاندارد ISO/IEC 27005:2011 را که به همین منظور تدوین شده است، معرفی خواهیم نمود.
هدف از استاندارد ISO/IEC 27005، فراهم سازی دستورالعملهایی جهت مدیریت ریسک امنیت اطلاعات میباشد. این استاندارد کلیه مفاهیم بیان شده در استاندارد ISO 27001 را پشتیبانی مینماید و جهت کمک به پیاده سازی رضایت بخش امنیت اطلاعات براساس رویکرد مدیریت ریسک طراحی شده است.
این استاندارد به ارائه یک فرآیند سیتماتیک، منظم و دقیق جهت تحلیل ریسک و ایجاد طرح برخورد با ریسک میپردازد.
مدیریت ریسک امنیت اطلاعات، شامل مراحل زیر است:
در ادامه به تشریح هر یک از موارد فوق خواهیم پرداخت.
1.زمینه سازی
در این مرحله زمینه داخلی و خارجی مدیریت ریسک امنیت اطلاعات پایهگذاری میشود که شامل تنظیم معیارهای بنیـادی برای مدیریت ریسک امنیت اطلاعات است. موارد زیر در این مرحله مد نظر قرار میگیرد:
تعیین رویكرد و روش مدیریت ریسک
تعیین معیارهای ارزیابی ریسک
تعیین معیارهای پیامد
تعیین معیارهای پذیرش ریسک
تعریف محدوده و قلمرو مدیریت ریسک امنیت اطلاعات
سازماندهی
2.شناسایی ریسک
هدف از شناسایی ریسک، تعیین عواملی است كه میتوانند علت زیان بالقوه باشند و اینکه چگونه، کجا و چرا زیان ممکن است رخ دهد. گامهای زیر در شناسایی ریسک وجود دارند:
شناسایی و ارزش گذاری داراییها
شناسایی تهدیدات
شناسایی کنترلهای موجود
شناسایی آسیبپذیریها
شناسایی پیامدها
3.تحلیل ریسک
تحلیل ریسک با توجه به سطح جزئیات مورد نظر، میزان حیاتی بودن داراییها، گستره آسیبپذیریهای شناخته شده و نیز رخدادهای دربرگیرنده سازمان انجام میشود. روش تحلیل ریسک میتواند كمی و یا كیفی و یا تلفیقی از هر دو باشد. این مرحله شامل گامهای زیر است:
ارزیابی پیامدها
ارزشیابی احتمال رخداد
تعیین سطح ریسک
4.ارزیابی ریسک
در این مرحله سطوح ریسک با معیار ارزیایی ریسک و معیار پذیرش آن، مقایسه میشود.
5.مقابله با ریسک
در این مرحله کنترل هایی جهت مقابله با ریسک امنیت اطلاعات انتخاب میشوند. بهمنظور مقابله با ریسک چهار رویكرد وجود دارد كه عبارتند از:
اصلاح ریسک
حفظ ریسک
اجتناب از ریسک
انتقال (اشتراك) ریسک
6.پذیرش ریسک امنیت اطلاعات
در این مرحله تصمیمگیری در خصوص پذیرش ریسک امنیت اطلاعات صورت میگیرد. باید توجه داشته كه تصمیمات مرتبط با پذیرش ریسک و نیز مسئولیت تصمیم گیری باید به طور رسمی ثبت شود.
7.تبادل اطلاعات و رایزنی ریسک
اطلاعات مرتبط با ریسک باید بر اساس سطوح مناسب دسترسی در سازمان مبادله و یا مابین تصمیمگیران و سایر ذینفعان به اشتراك گذاشته شود.
8.پایش و بازنگری ریسک
ریسک و دیگر مؤلفه های درگیر در فرایند مدیریت ریسک امنیت اطلاعات (مانند ارزش دارایی ها، پیامدها، تهدیدها، آسیب پذیری ها، احتمال وقوع) بهمنظور شناسایی تغییرات محتمل در سازمان و برای حفظ صحت و دقت ارزیابیهای صورت گرفته در طول زمان باید مورد پایش و بازنگری قرار گیرند.
در این مقاله استاندارد مدیریت ریسک امنیت اطلاعات به اختصار معرفی و مراحل مختلف فرایند مدیریت ریسک مطرح گردید، جهت دانلود و مطالعه متن کامل استاندارد و نیز مشاهده سایر استانداردهای مرتبط به دانشستان آشنا ایمن مراجعه فرمایید.همچنین برای کسب اطلاعات بیشتر به مقاله مراحل مدیریت ریسک امنیت اطلاعات و استراتژی های برخورد با ریسک رجوع شود.