بررسی الزامات مدیریت ریسک امنیت اطلاعات بر اساس استاندارد ISO/IEC 27005:2011

  • نویسنده: سارا رحیمی
  • تاریخ انتشار: سه‌شنبه ، ۲۷ تیر ماه ۹۶
  • تعداد بازدید: 3085
  • تعداد نظرها: 0
  • دسته بندی: مدیریت ریسک

یکی از مهمترين اجزاي سازنده سیستم مديريت امنيت اطلاعات، فرايند مدیریت ريسک است. مدیریت ريسک به سازمان ها اين امکان را مي دهد که نقاط ضعف و تهديدات امنيتي خود را شناسايي و متناسب با ريسک هاي تعيين شده، روش مناسب جهت مقابله با آنها را اتخاذ نمايند. اما چگونه می توان برنامه ریزی کاملی جهت پیاده سازی فرایند مدیریت ریسک انجام داد و چه راهکارهایی برای انجام صحیح این فرایند وجود دارد؟ در این مقاله به پاسخ این سوال پرداخته و استاندارد ISO/IEC 27005:2011 را که به همین منظور تدوین شده است، معرفی خواهیم نمود.

هدف از استاندارد ISO/IEC 27005، فراهم ­سازی دستورالعمل­هایی جهت مدیریت ریسک امنیت اطلاعات می­باشد. این استاندارد کلیه مفاهیم بیان ­شده در استاندارد ISO 27001 را پشتیبانی می­نماید و جهت کمک به پیاده­ سازی رضایت بخش امنیت اطلاعات براساس رویکرد مدیریت ریسک طراحی شده است.

این استاندارد به ارائه یک فرآیند سیتماتیک، منظم و دقیق جهت تحلیل ریسک و ایجاد طرح برخورد با ریسک می­پردازد.

مدیریت ریسک امنیت اطلاعات، شامل مراحل زیر است:

  1. زمینه‌سازی
  2. شناسایی ریسک
  3. تحلیل ریسک
  4. ارزیابی ریسک
  5. مقابله با ریسک
  6. پذیرش ریسک
  7. تبادل اطلاعات و رایزنی ریسک
  8. پایش و بازنگری ریسک

در ادامه به تشریح هر یک از موارد فوق خواهیم پرداخت.

 

1.زمینه ‌سازی

در این مرحله زمینه داخلی و خارجی مدیریت ریسک امنیت اطلاعات پایه‌گذاری می‌شود که شامل تنظیم معیارهای بنیـادی برای مدیریت ریسک امنیت اطلاعات است. موارد زیر در این مرحله مد نظر قرار می‌گیرد:

    تعیین رویكرد و روش مدیریت ریسک

    تعیین معیارهای ارزیابی ریسک

    تعیین معیارهای پیامد

    تعیین معیارهای پذیرش ریسک

    تعریف محدوده و قلمرو مدیریت ریسک امنیت اطلاعات

    سازماندهی

 

2.شناسایی ریسک

هدف از شناسایی ریسک، تعیین عواملی است كه می‌توانند علت زیان بالقوه باشند و اینکه چگونه، کجا و چرا زیان ممکن است رخ دهد. گام‌های زیر در شناسایی ریسک وجود دارند:

    شناسایی و ارزش گذاری دارایی‌ها

    شناسایی تهدیدات

    شناسایی کنترل‌های موجود

   شناسایی آسیب‌پذیری‌ها

    شناسایی پیامدها       

 

3.تحلیل ریسک

تحلیل ریسک با توجه به سطح جزئیات مورد نظر، میزان حیاتی بودن دارایی‌ها، گستره آسیب‌پذیری‌های شناخته شده و نیز رخدادهای دربرگیرنده سازمان انجام می‌شود. روش تحلیل ریسک می‌تواند كمی و یا كیفی و یا تلفیقی از هر دو باشد. این مرحله شامل گام‌های زیر است:

    ارزیابی پیامدها

    ارزشیابی احتمال رخداد

    تعیین سطح ریسک

 

4.ارزیابی ریسک

در این مرحله سطوح ریسک با معیار ارزیایی ریسک و معیار پذیرش آن، مقایسه می‌شود.

 

5.مقابله با ریسک

در این مرحله کنترل هایی جهت مقابله با ریسک امنیت اطلاعات انتخاب می‌شوند. به‌منظور مقابله با ریسک چهار رویكرد وجود دارد كه عبارتند از:

اصلاح ریسک

حفظ ریسک

اجتناب از ریسک

انتقال (اشتراك) ریسک

 

6.پذیرش ریسک امنیت اطلاعات

در این مرحله تصمیم‌گیری در خصوص پذیرش ریسک امنیت اطلاعات صورت می‌گیرد. باید توجه داشته كه تصمیمات مرتبط با پذیرش ریسک و نیز مسئولیت تصمیم گیری باید به طور رسمی ثبت شود.

 

7.تبادل اطلاعات و رایزنی ریسک

اطلاعات مرتبط با ریسک باید بر اساس سطوح مناسب دسترسی در سازمان مبادله و یا مابین تصمیم‌گیران و سایر ذی‌نفعان به اشتراك گذاشته شود.

 

8.پایش و بازنگری ریسک

ریسک و دیگر مؤلفه های درگیر در فرایند مدیریت ریسک امنیت اطلاعات (مانند ارزش دارایی­ ها، پیامدها، تهدیدها، آسیب پذیری ها، احتمال وقوع) به‌منظور شناسایی تغییرات محتمل در سازمان و برای حفظ صحت و دقت ارزیابی‌های صورت گرفته در طول زمان باید مورد پایش و بازنگری قرار گیرند.

در این مقاله استاندارد مدیریت ریسک امنیت اطلاعات به اختصار معرفی و مراحل مختلف فرایند مدیریت ریسک مطرح گردید، جهت دانلود و مطالعه متن کامل استاندارد و نیز مشاهده سایر استانداردهای مرتبط به دانشستان آشنا ایمن مراجعه فرمایید.همچنین برای کسب اطلاعات بیشتر به مقاله مراحل مدیریت ریسک امنیت اطلاعات و استراتژی های برخورد با ریسک رجوع شود.

نویسنده: سارا رحیمی دسته بندی: مدیریت ریسک