مقایسه استاندارد ISO/IEC 27005 و استاندارد ISO 31000 در حوزه مدیریت ریسک

مدیریت ریسک یکی از مهم‌ترین چالش‌های حال حاضر مدیران در سازمان‌ها محسوب می‌گردد. در حال حاضر دو استاندارد ISO/IEC 27005 و ISO 31000 به عنوان 2 استاندارد رایج برای مدیریت ریسک امنیت اطلاعات وجود دارد که استاندارد ISO/IEC 27001:2013 نیز به این دو استاندارد به عنوان استاندارد‌های مرجع جهت مدیریت ریسک اشاره نموده است. سوالی که در اینجا پیش‌ می‌آید این است که به منظور مدیریت ریسک مراجعه به کدامیک از این استاندارد‌ها می‌بایست در اولویت قرار گیرد؟ در این مقاله سعی داریم به بررسی این موضوع بپردازیم.

قبل از بررسی وجه تمایز این دو استاندارد این نکته لازم به ذکر است که در بررسی نسخه‌های قدیمی از استاندارد  ISO/IEC 27001 نظیر نسخه 2005 مشاهده می‌نماییم که به استاندارد ISO 31000 هیچ‌گونه اشاره‌ای نشده است اما در نسخه 2013 استاندارد ISO/IEC 27001 در 2 بخش به استاندارد ISO 31000 به شرح ذیل اشاره می گردد:

• در بند 4.1 از متن استاندارد به عنوان یک نکته بیان می‌نماید که یک سازمان جهت شناخت فضای سازمان و جهت تعیین مسائل داخلی و خارجی اثرگذار بر روی فضای سازمان می تواند از بند 5.3 از استاندارد ISO 31000 استفاده نماید. درواقع بند 5.3.2 و 5.3.3 از این استاندارد می‌تواند به عنوان راهنمای ارزشمندی جهت تعیین ذی‌نفعان داخلی و خارجی مورد استفاده قرار گیرد
• در بند 6.1.3 از متن استاندارد به عنوان یک نکته بیان می‌نماید که فرآیند ارزیابی و مقابله با ریسک امنیت اطلاعات در استاندارد ISO 27001:2013 با اصول و راهنمایی های کلان موجود در استاندارد ISO 31000 منطبق می باشد. بنابراین استاندارد ISO 27001 ملزم نمی‌نماید که حتماً جهت پیاده سازی فرآیند ارزیابی و مقابله با ریسک از استاندارد ISO 31000 استفاده نماییم

وجه تمایز دو استاندارد ISO/IEC 27005 و استاندارد ISO 31000  

همانطور که از عنوان استاندارد ISO/IEC 27005 مشخص است این استاندارد از زیرمجموعه(سری) استاندارد‌های خانواده ISO 27000 Series محسوب می‌گردد که در مقاله‌ای با عنوان بررسی الزامات مدیریت ریسک امنیت اطلاعات بر اساس استاندارد ISO/IEC 27005:2011  به تشریح درخصوص این استاندارد و کلیات آن اشاره شده است. در واقع چارچوب استاندارد ISO/IEC 27005  مبتنی بر شناسایی دارایی‌ها، آسیب‌پذیری‌ها و تهدیدات جهت ارزیابی و محاسبه ریسک می‌باشد که رفع آنها از طریق مجموعه‌ای از کنترل‌های مقابله‌ای برنامه‌ریزی می گردد.

در مقابل استاندارد ISO 31000 یک دستورالعمل کلی را برای انواع حوزه‌های مدیریت ریسک (به عنوان مثال، امور مالی، مهندسی، کسب‌وکار و غیره) فراهم می کند. اگرچه اغلب سازمانها ممکن است روش متداولی برای مدیریت ریسک ها را در اختیار داشته باشند، اما این استاندارد مجموعه‌ای از اصول و قواعد را تعریف می‌کند که به منظور اطمینان از اثربخشی مدیریت ریسک در کلیه بخش‌های سازمان می‌تواند مورد استفاده قرار گیرد. نکته دیگر در مورد این استاندارد استفاده از چرخه PDCA  جهت طراحی، ایجاد، پیاده‌سازی و بهبود فرآیند مدیریت ریسک به منظور ایجاد استراتژی و برنامه‌ریزی‌های بلندمدت و سیاست‌گذاری و فرهنگ‌سازی در حوزه مدیریت ریسک می‌باشد. لذا استفاده از استاندارد ISO 31000  به منظور مدیریت استراتژیک کلیه ریسک‌های سازمان که شامل ریسک‌های امنیت اطلاعات نیز می باشد مفید خواهد بود.

همچنین براساس نگاه کلان در استاندارد ISO 31000 ، سازمانها می‌توانند زمینه‌های لازم را جهت شناسایی و تجزیه و تحلیل ریسک را ایجاد نمایند و پس از پیش‌بینی ریسک‌ها و سپس تجزیه و تحلیل آنها ارزیابی نمایند که آیا سازمان با یک خطر استراتژیک مواجه است یا خیر و اینکه می‌توانند با یک رویکرد استراتژیک ریسک‌های بالقوه و بالفعل را اصلاح نمایند یا خیر؟. این رویکرد موجب می‌شود در یک پیش‌بینی بلند مدت کلیه‌ ریسک‌ها سازمان در کلیه واحدها و فرآیندهای سازمانی شناسایی و برنامه‌ریزی گردد.

در چه شرایطی نیاز است که به استاندارد ISO 31000 مراجعه نماییم؟

استاندارد ISO 31000 علاوه بر رهنمودهایی که برای شناسایی زمینه های داخلی و خارجی در نظر گرفته است، بزرگترین ارزش آن در ارائه یک چارچوب برای مدیریت انواع ریسک‌های موجود در سطح شرکت و فراتر از امنیت اطلاعات می باشد؛ این استاندارد می‌تواند به شما کمک کند مدیریت ریسک را در برخی از مسائل سازمانی درک نمایید.

لذا از آنجایی‌که ISO 31000 در خصوص نحوه مدیریت ریسک به‌صورت استراتژیک و جامع می‌باشد، می‌توانید این استاندارد را به‌عنوان یک چارچوب عالی برای مدیریت ریسک سازمانی (ERM) Enterprise Risk Management در نظر بگیرید.