روش اجرایی مدیریت مخاطرات در ایزو 27001

چرا روش اجرایی مدیریت مخاطرات در ایزو 27001 مهم است؟

مدیریت مخاطرات چیست؟

این روش در چه سازمان هایی کاربرد دارد؟

آیا مدیریت مخاطرات از روش های الزامی ایزو 27001 می باشد؟

مدیریت مخاطرات چیست؟

در بررسی روش اجرایی مدیریت مخاطرات در ایزو 27001 ، ابتدا باید بدانیم مدیریت مخاطرات به چه معنی است؟

مخاطرات در واقع هر گونه موضوعی است که در حوزه امنیت اطلاعات مشکل یا مخاطره ای ایجاد کند .

هدف از مدیریت مخاطرات تشريح نحوه شناسايي و ارزيابي مخاطرات امنيت اطلاعات مي باشد.

همانطور که قبلا گفتیم این فرآیند اجرایی مانند سایر فرایندها دارای ورودی و خروجی می باشد.

ورودي ها :

اطلاعات مربوط به دارايي هاي اطلاعاتي شامل سرويس های نهايی کاربران، نرم افزارها، سخت افزارها و …

الزامات استاندارد امنيت اطلاعات و  الزامات قانوني و سازماني

سوابق ارزيابي قبل

گزارش شش ماهه وقايع امنيت اطلاعات

سوابق مربوط به اقدامات اصلاحي و پيشگيرانه

خروجي ها :

برنامه اجرايي کاهش مخاطرات

همچنین مسئولیت اجرای این فرآیند با رئيس واحد  ICT می باشد.

ارزیابی مخاطرات در چه حالت هایی انجام میگردد؟

در سه حالت فرايند ارزيابي مخاطرات امنيت اطلاعات انجام  مي شود :

تغييرات اساسي در کسب و کار شرکت :

در صورت ايجاد چنين تغييراتي، ارزش دارايي هاي اطلاعاتي شرکت تغيير خواهد نمود.

بنابراين نياز به انجام فرايند ارزيابي مخاطرات امنيت اطلاعات خواهد بود.

تغييرات اساسي در زير ساخت ICT شرکت :

اضافه شدن يک سرويس اطلاعاتي جديد و يا هر نوع تغيير ديگري که به موجب آن امکانات ابزارهاي فراهم آوري امنيت اطلاعات، افزايش يا کاهش عمده بيابد.

در بازه هاي يک ساله.

دارايي هايي که در اين بخش شناسايي مي شوند شامل  موارد زير هستند :

فيزيکي

نرم افزاري

داده اي

سرويس هاي اطلاعاتي

مکان ها

این روش در سازمان های دولتی و خصوصی شامل :

بانک ها

بیمارستان ها

سازمان های نطامی و اطلاعاتی

و….

اجرایی میگردد.

اولویت های راهکار کاهش مخاطرات

راهکارهاي کاهش مخاطرات، جهت کاهش مخاطراتي که بالاتر از سطح قابل مخاطره ي سازمان قرار دارند استخراج مي شوند.

به اين منظور  راهکارهايی که کاربست پذير نيستند از ليست خارج شده و در مورد ساير راهکارها تصميم گيری می شود.

اجرايي كاهش مخاطرات شامل پياده سازی و بهبود در کارايی راهکارهای قابل پياده سازي يا آنهايي است كه نياز به بازنگري دارند.

اولويت بندي اين راهکارها بر اساس پارامترهاي زير صورت مي گيرد:

سادگي و پيچيدگي پياده‌سازي راهکار کاهش مخاطرات

ميزان اثربخشي راهکار پيشنهادي

نتيجه حاصل از پياده‌سازي راهکار (اثر راهکار)

تعداد تهديد‌هايي که راهکار پوشش مي‌دهد

نوع راهکار (کاهش دهنده تهديد، کاهش دهنده آسيب‌پذيري، کشف، بازيابي…)

ميزان مخاطرات مرتبط با هر دارايي که براي آن راهکار پيشنهاد گرد.

تهیه و تدوین مدیریت مخاطرات

جهت تهیه و تدوین روش اجرایی مدیریت مخاطرات با کارشناسان ماهران باتاب فردا در تماس باشید.