نتیجه جستجوی عبارت 'تحلیل ریسک'
Generic placeholder image
یکپارچه‌سازی خروجی تست نفوذپذیری با فرآیند مدیریت ریسک امنیت اطلاعات

ارزیابی ریسک به عنوان یکی از اصلی ترین الزامات ISMS محسوب می شود. استخراج و ارزیابی آسیب پذیری های فنی که عمدتا از فرآیند تست نفوذپذیری منتج می شوند نیز سهم عمده ای را در این بخش در اختیار دارد. با توجه به تنوع رویکردهای ارزیابی ریسک های فنی و فرآیندی، یکی از دغدغه مدیران در این خصوص این است که تست نفوذپذیری چگونه باید انجام شود و نتایج آن چگونه با نتایج فرآیند مدیریت ریسک یکپارچه شود. در این مقاله ابتدا کلیات فرآیند مدیریت ریسک تشریح شده و قید خواهد شد که در هر گام، چگونه خروجی تست نفوذپذیری در نتایج مدیریت ریسک ادغام خواهد شد.

نویسنده: محسن دهقان

دسته بندی: مدیریت ریسک

Generic placeholder image
تفاوت بین مراکز NOC و SOC

در برابر فضای تهدیدی سایبری امروز، تمامی شرکتها و سازمانها باید در حفظ عملکرد آنلاین و سیاستهای خود در برابر فعالیتهای مخرب به صورت فعال عمل نمایند. بهترین راه برای انجام این کار سازماندهی و ایجاد تیم هایی است که عهده دار این وظایف هستند یعنی NOC و SOC. هر دو این واحدها در دنیای کسب و کار مدرن نسبتاً متداول شده اند، اما هنوز هم سردرگمی در مورد اینکه نقش های خاص آنها چیست و تفاوتهای هر کدام از آنها چگونه است، وجود دارد. در این مقاله به تفاوتهای این مراکز می پردازیم و مرز عملکرد هر کدام از آنها را بیان می کنیم.

نویسنده: احمد آسنجرانی

دسته بندی: زیرساخت

Generic placeholder image
مقایسه استاندارد ISO/IEC 27005 و استاندارد ISO 31000 در حوزه مدیریت ریسک

مدیریت ریسک یکی از مهم‌ترین چالش‌های حال حاضر مدیران در سازمان‌ها محسوب می‌گردد. در حال حاضر دو استاندارد ISO/IEC 27005 و ISO 31000 به عنوان 2 استاندارد رایج برای مدیریت ریسک امنیت اطلاعات وجود دارد که استاندارد ISO/IEC 27001:2013 نیز به این دو استاندارد به عنوان استاندارد‌های مرجع جهت مدیریت ریسک اشاره نموده است. سوالی که در اینجا پیش‌ می‌آید این است که به منظور مدیریت ریسک مراجعه به کدامیک از این استاندارد‌ها می‌بایست در اولویت قرار گیرد؟ در این مقاله سعی داریم به بررسی این موضوع بپردازیم.

نویسنده: میثم ارجمندفر

دسته بندی: مدیریت ریسک

Generic placeholder image
مراحل مدیریت ریسک امنیت اطلاعات و استراتژیهای برخورد؛ قانون 4T

در فرآیند مدیریت ریسک امنیت اطلاعات، پس از اجرای مراحلی چون شناسایی، تحلیل و آنالیز ریسک می‌بایست چگونگی و استراتژی برخورد با را معین نماییم. خروجی مرحله قبل شامل سناریوهای ریسکی هستند که در محدوده قابل قبول و یا غیرقابل قبول دسته بندی می شوند. اما سوال اینجاست که با ریسک های غیرقابل قبول چه باید کرد؟ آیا سازمان باید برای تمامی آنها از طرح های کاهش ریسک استفاده نماید؟ گزینه های پیش رو چیست؟ در این مقاله به بررسی استراتژی های قابل اتخاذ برای سازمان در مواجهه با ریسک های امنیت اطلاعات در مرحله تدوین طرح مقابله با ریسک ها (RTP) و معرفی قانون 4T می پردازیم.

نویسنده: میلاد یداللهی

دسته بندی: مدیریت ریسک

Generic placeholder image
بررسی الزامات مدیریت ریسک امنیت اطلاعات بر اساس استاندارد ISO/IEC 27005:2011

یکی از مهمترين اجزای سازنده سیستم مديريت امنيت اطلاعات، فرايند مدیریت ريسک است. مدیریت ريسک به سازمان ها اين امکان را می دهد که نقاط ضعف و تهديدات امنيتی خود را شناسايی نمايند و متناسب با ريسک هاي تعيين شده، روش مناسب جهت مقابله با آنها را اتخاذ نمايند. اما چگونه می توان برنامه ریزی کاملی جهت پیاده سازی فرایند مدیریت ریسک انجام داد و چه راهکارهایی برای انجام صحیح این فرایند وجود دارد؟ در این مقاله به پاسخ این سوال پرداخته و استاندارد ISO/IEC 27005:2011 را که به همین منظور تدوین شده است، معرفی خواهیم نمود.

نویسنده: سارا رحیمی

دسته بندی: مدیریت ریسک

Generic placeholder image
بررسی مؤلفه‌های ارزش‌گذاری دارایی‌ها در مدیریت ریسک امنیت اطلاعات

مدیریت ریسک امنیت اطلاعات که زیربنای سیستم مدیریت امنیت اطلاعات(ISMS) به‌ شمار می‌رود، فرایندی است برای درک ریسک‌های بالقوه و برنامه‌ریزی به‌منظور از بین بردن، کاهش اثر یا بهره‌برداری از این ریسک‌ها! فرایند مدیریت ریسک شامل سه گام اساسی شناسایی ریسک، ارزیابی ریسک و برنامه‌ریزی کاهش ریسک است و در گام نخست آن، می‌بایست شناخت دارایی‌های اطلاعاتی سازمان، تعیین مالک هر دارایی و نیز ارزش‌گذاری دارایی‌های اطلاعاتی صورت گیرد.

نویسنده: سارا رحیمی

دسته بندی: مدیریت ریسک