رویکرد اجرایی مدیریت ریسک مبتنی بر استاندارد ISO27005
با توجه به اهمیت موضوع مدیریت مخاطرات در اقدامات امنیتی سازمان، این موضوع به بخش جدایی ناپذیر در تمامی اقدامات مدیریت امنیت اطلاعات تبدیل شده است. به منظور شناسایی نیازمندی های امنیتی سازمان و پیاده سازی، استقرار و بهبود مستمر سیستم مدیریت امنیت اطلاعات(ISMS) سازمان می بایست رویکردی سیستماتیک برای مدیریت مخاطرات امنیت اطلاعات اتخاذ گردد.
خیلی از سازمان ها برای پیاده سازی و اجرایی نمودن اقدامات امنیتی دست به عملیات غیر مهندسی و غیر سیستماتیک می زنند. به عنوان نمونه بدون هیچ توجهی به نیازمندی های امنیتی سازمان و بدون هیچ عمل cost-benefit اقدام به خرید تجهیزات امنیتی می نمایند و به اصطلاح از معماری spaghetti برای رسیدن به اهداف امنیتی سازمان استفاده می نمایند. باید به این موضوع توجه داشت که نگاه به موضوعات امنیتی در دنیای کنونی می بایست به سمت و سوی نگاه مدیریتی، فرایند محور و مهندسی شده هدایت شود تا نتایج مورد انتظار و مطروحه در خط مشی امنیت اطلاعات سازمان حاصل شود. چرا که بکارگیری روش های سنتی و غیر نظام مند هر چند با هزینه های کلان و خرید تجهیزات گران قیمت توام باشد؛ به هیچ وجه نمی تواند ضامن تامین امنیت اطلاعات سازمان باشد.
معمولا موضوع امنیت که مطرح می شود، غالب افراد به یاد قفل، محدودیت و عدم دسترسی می افتند. در صورتی که موضوع امنیت بسیار گسترده تر و فراتر از مباحث گفته شده است. استقرار امنیت در سازمان با رویکرد فرایندگرا منجر به تداوم کسب و کار و خدمت رسانی سازمان خواهد شد و این مهم را از طریق فرایند بهبود مستمر تضمین می نماید.
نگاه مدیریتی و فرایند محور امنیت، ابعاد گسترده ای از موضوعات را دربر می گیرد؛ از برقراری امنیت در سطح دارایی های اطلاعاتی سازمان گرفته تا ارتقای آگاهی سرمایه های انسانی. لذا برای برقراری و تضمین امنیت در سازمان یا به عبارت دقیق تر افزایش ضریب امنیتی در سازمان می بایست رویکردی سیستماتیک و فرایند محور برای استقرار امنیت در سازمان اتخاذ شود. به این منظور در دهه های اخیر فعالیت های بسیار مهمی در حوزه مدیریت امنیت اطلاعات با محوریت استانداردهای مرتبط صورت گرفته است که برای آشنایی یشتر می توانید به مقاله سیستم مدیریت امنیت اطلاعات رجوع نمائید.
مطابق استاندارد ISO/IEC27001، لازم است کنترل هایی که در قلمرو ISMS قرار می گیرند، بر اساس مخاطرات انتخاب و اجرا شوند. این امر مستم اجرای فرایند مدیریت مخاطرات امنیت اطلاعات می باشد.
همان گونه که ذکر گردید؛ مهمترین بخش جدایی ناپذیر در پیاده سازی سیستم مدیریت امنیت اطلاعات، مدیریت مخاطرات می باشد. مدیریت مخاطرات امنیت اطلاعات می بایست فرایندی مستمر باشد. در طول اجرای این فرایند مستمر، زمینه های داخلی و خارجی فراهم، مخاطرات ارزیابی و در نهایت با طراحی و اجرای بیانه کاربست پذیری اقدامات لازم برای برطرف سازی مخاطرات صورت می گیرد. لذا مدیریت مخاطرات امنیت اطلاعات شامل موارد ذیل می باشد:
• فراهم سازی زمینه های داخلی و خارجی سازمان
• شناسایی مخاطرات
• تحلیل و ارزیابی مخاطرات، بر حسب پیامدهای آن ها برای کسب و کار و احتمال وقوع آن ها
• رایزنی و گفتمان در مورد احتمال و پیامدهای مخاطرات
• تعیین اولویت ها برای کاهش مخاطرات
• تعیین اولویت ها برای اقدامات کاهش تواتر و وقوع مخاطرات
• آگاهی رسانی ذینفعان در زمینه وضعیت مدیریت مخاطرات
• مشارکت گیری از ذینفعان در زمینه تصمیمات حوزه مدیریت مخاطرات
• پایش و بررسی منظم مخاطرات و فرایند مدیریت مخاطرات
• جمع آوری اطلاعات به منظور بهبود رویکرد مدیریت مخاطرات
• آموزش و افزایش آگاهی مدیران و کارکنان در زمینه مخاطرات و اقدامات لازم در جهت تقلیل مخاطرات امنیتی
فرایند مدیریت مخاطرات در تصویر ذیل بیان شده است:
کتاب سیستم مدیریت امنیت اطلاعات
مدیریت ,امنیت ,سازمان ,مخاطرات ,اطلاعات ,های ,امنیت اطلاعات ,مدیریت مخاطرات ,مدیریت امنیت ,مدیریت مخاطرات• ,ها برای ,مخاطرات امنیت اطلاعات ,مدیریت امنیت اطلاعات ,مدیریت مخاطرات امنیت ,سیستم مدیریت امنیت
درباره این سایت