مدیریت ریسک یکی از مهمترین چالشهای حال حاضر مدیران در سازمانها محسوب میگردد. در حال حاضر دو استاندارد ISO/IEC 27005 و ISO 31000 به عنوان 2 استاندارد رایج برای مدیریت ریسک امنیت اطلاعات وجود دارد که استاندارد ISO/IEC 27001:2013 نیز به این دو استاندارد به عنوان استانداردهای مرجع جهت مدیریت ریسک اشاره نموده است. سوالی که در اینجا پیش میآید این است که به منظور مدیریت ریسک مراجعه به کدامیک از این استانداردها میبایست در اولویت قرار گیرد؟ در این مقاله سعی داریم به بررسی این موضوع بپردازیم.
قبل از بررسی وجه تمایز این دو استاندارد این نکته لازم به ذکر است که در بررسی نسخههای قدیمی از استاندارد ISO/IEC 27001 نظیر نسخه 2005 مشاهده مینماییم که به استاندارد ISO 31000 هیچگونه اشارهای نشده است اما در نسخه 2013 استاندارد ISO/IEC 27001 در 2 بخش به استاندارد ISO 31000 به شرح ذیل اشاره می گردد:
همانطور که از عنوان استاندارد ISO/IEC 27005 مشخص است این استاندارد از زیرمجموعه(سری) استانداردهای خانواده ISO 27000 Series محسوب میگردد که در مقالهای با عنوان بررسی الزامات مدیریت ریسک امنیت اطلاعات بر اساس استاندارد ISO/IEC 27005:2011 به تشریح درخصوص این استاندارد و کلیات آن اشاره شده است. در واقع چارچوب استاندارد ISO/IEC 27005 مبتنی بر شناسایی داراییها، آسیبپذیریها و تهدیدات جهت ارزیابی و محاسبه ریسک میباشد که رفع آنها از طریق مجموعهای از کنترلهای مقابلهای برنامهریزی می گردد.
در مقابل استاندارد ISO 31000 یک دستورالعمل کلی را برای انواع حوزههای مدیریت ریسک (به عنوان مثال، امور مالی، مهندسی، کسبوکار و غیره) فراهم می کند. اگرچه اغلب سازمانها ممکن است روش متداولی برای مدیریت ریسک ها را در اختیار داشته باشند، اما این استاندارد مجموعهای از اصول و قواعد را تعریف میکند که به منظور اطمینان از اثربخشی مدیریت ریسک در کلیه بخشهای سازمان میتواند مورد استفاده قرار گیرد. نکته دیگر در مورد این استاندارد استفاده از چرخه PDCA جهت طراحی، ایجاد، پیادهسازی و بهبود فرآیند مدیریت ریسک به منظور ایجاد استراتژی و برنامهریزیهای بلندمدت و سیاستگذاری و فرهنگسازی در حوزه مدیریت ریسک میباشد. لذا استفاده از استاندارد ISO 31000 به منظور مدیریت استراتژیک کلیه ریسکهای سازمان که شامل ریسکهای امنیت اطلاعات نیز می باشد مفید خواهد بود.
همچنین براساس نگاه کلان در استاندارد ISO 31000 ، سازمانها میتوانند زمینههای لازم را جهت شناسایی و تجزیه و تحلیل ریسک را ایجاد نمایند و پس از پیشبینی ریسکها و سپس تجزیه و تحلیل آنها ارزیابی نمایند که آیا سازمان با یک خطر استراتژیک مواجه است یا خیر و اینکه میتوانند با یک رویکرد استراتژیک ریسکهای بالقوه و بالفعل را اصلاح نمایند یا خیر؟. این رویکرد موجب میشود در یک پیشبینی بلند مدت کلیه ریسکها سازمان در کلیه واحدها و فرآیندهای سازمانی شناسایی و برنامهریزی گردد.
استاندارد ISO 31000 علاوه بر رهنمودهایی که برای شناسایی زمینه های داخلی و خارجی در نظر گرفته است، بزرگترین ارزش آن در ارائه یک چارچوب برای مدیریت انواع ریسکهای موجود در سطح شرکت و فراتر از امنیت اطلاعات می باشد؛ این استاندارد میتواند به شما کمک کند مدیریت ریسک را در برخی از مسائل سازمانی درک نمایید.
لذا از آنجاییکه ISO 31000 در خصوص نحوه مدیریت ریسک بهصورت استراتژیک و جامع میباشد، میتوانید این استاندارد را بهعنوان یک چارچوب عالی برای مدیریت ریسک سازمانی (ERM) Enterprise Risk Management در نظر بگیرید.