ایزو ۲۷۰۰۵ – استاندارد بین المللی مدیریت ریسک امنیت اطلاعات

ایزو ۲۷۰۰۵ یک استاندارد جهانی است که روش تحلیل خطر امنیت اطلاعات را طبق مفاد ایزو ۲۷۰۰۱ توضیح می‌دهد. این استاندارد با عنوان دقیق ” ISO/IEC 27005– فناوری اطلاعات – تکنیک‌های امنیتی – مدیریت ریسک امنیت اطلاعات” در وب‌سایت ISO ذکر شده است. کمیسیون الکتروتکنیک بین‌المللی (IEC) و سازمان استاندارد بین‌المللی (ISO) این استاندارد را پرداخته‌اند. این استاندارد بطور مشخص، از امنیت اطلاعات بر اساس استراتژی مدیریت خطر پشتیبانی می‌کند.

فهرست محتوا

ایزو ۲۷۰۰۵ چگونه تعریف می‌شود؟
چه افرادی از این استاندارد استفاده می‌کنند؟
چگونه استاندارد ایزو ۲۷۰۰۵ کار می‌کند؟
پذیرش ریسک
مزایای روش مدیریت ریسک ISO 27005
چرا سازمان‌ها باید استاندارد ISO 27005 را اخذ کنند؟
جمع‌بندی

ایزو ۲۷۰۰۵ چگونه تعریف می‌شود؟

ایزو ۲۷۰۰۵ یا استاندارد مدیریت خطر امنیت اطلاعاتی، با توجه به رهنمودهای موجود در ISO/IEC 27001 و ISO/IEC 27002 ساخته شده است. این استاندارد اولین بار در ژوئن ۲۰۰۸ با عنوان کوتاه ISO/IEC 27005:2008 منتشر گردید. سپس در سال‌های ۲۰۱۱ و ۲۰۱۸ تجدید نظر شد و به‌روز شد.

محتوای ایزو ۲۷۰۰۵ در فصل‌های شش تا دوازده یک رویکرد مدیریت خطر سیستم‌های اطلاعاتی را ارائه می‌دهد. فصل هفتم به خصوص بر تحلیل خطر تمرکز دارد که جزء الزامات یک راهبرد مناسب امنیت سایبری است. فصل هشتم بر ارزیابی خطر متمرکز است و فصل نهم تا دوازدهم روش پیاده‌سازی راهکار درمان خطر و روش پیگیری آن را توضیح می‌دهد.”

چه افرادی از این استاندارد استفاده می‌کنند؟

سازمان بین‌المللی استاندارد، ایزو ۲۷۰۰۵ را به شرکت‌ها و مؤسسات عمومی مانند «سازمان‌های دولتی» و سازمان‌های غیرانتفاعی توصیه می‌کند. در عمل، این استاندارد امنیت اطلاعات را برای تضمین محرمانه بودن داده‌ها و در دسترس بودن و یکپارچگی دارایی‌های اطلاعاتی و کلیدی یک سازمان به کار می‌برد و برای تمام ساختارهایی طراحی شده است که تحت تأثیر خطرات سایبری و افزایش مداوم داده‌ها قرار می‌گیرند.

چگونه استاندارد ایزو ۲۷۰۰۵ کار می‌کند؟

این استاندارد بین‌المللی شامل بیش از ۲۰ صفحه از رویکردهای مدیریت ریسک امنیت اطلاعات است. با این حال، این مفاهیم کلی را از طریق چهار مرحله اصلی پشتیبانی می‌کند:

زمینه‌سازی مدیریت ریسک:

در این مرحله، محل شروع و پایان مدیریت ریسک تعیین می‌شود و معیارهای ارزیابی تنظیم می‌شوند که شامل شناسایی دارایی‌هایی است که توسط خطرات سایبری تهدید می‌شوند و تعیین آستانه‌هایی است که بالاتر از آن‌ها باید با خطرات مقابله شود.

ارزیابی ریسک:

در طول این مرحله، عناصر در معرض خطر شناسایی می‌شوند و تهدیدات و آسیب‌پذیری‌های مرتبط با آنها مشخص می‌شوند. استاندارد ایزو ۲۷۰۰۵ از شما خواستار است که تهدیدها و تأثیرات آنها را با نیازهای امنیتی ساختار خود هماهنگ کنید و با استفاده از معیارهای ارزیابی اولیه که در مرحله اول تعریف کرده‌اید، اولویت‌بندی را انجام دهید.

استراتژی درمان ریسک:

ساختار شما باید اهداف امنیت فناوری اطلاعات را تعیین کرده و نتایج مرحله دوم را در نظر بگیرد. پس از تعیین این اهداف، می‌توانید مشخصات خود را پیش‌نویس کنید که به طراحی اقدامات درمانی کمک می‌کند. با استفاده از استاندارد ایزو ۲۷۰۰۵، باید اثرات ریسک را با هزینه درمان آن مقایسه کنید و بر اساس نوع مقابله خود با ریسک، رویکردی را انتخاب کنید. بر اساس نتایج این ارزیابی و سطح ریسک، چهار گزینه در اختیار دارید:

– اجتناب: اگر عواقب بروز ریسک بسیار بالا باشد، باید به هر قیمتی از آن اجتناب کنید و ممکن است لازم باشد فعالیت‌هایی را که احتمالاً باعث وقوع آن ریسک می‌شود، متوقف کنید.

– انتقال: ساختار شما ریسک را با یک شخص ثالث (مانند بیمه یا پیمانکار فرعی امنیت سایبری) به اشتراک می‌گذارد تا حداقل بتواند از نظر مالی در برابر خطرات محافظت شود.

– کاهش: اقداماتی را برای کاهش تأثیر یا احتمال وقوع یک خطر طراحی می‌کنید تا آن را قابل‌تحمل‌تر کنید.

– حفاظت: خطر به عنوان قابل‌تحمل در نظر گرفته می‌شود و به‌اندازه کافی تهدید نیست. ساختار شما تصمیم می‌گیرد تا قبل از وقوع حادثه، به آن رسیدگی نکند.”

پذیرش ریسک

استراتژی درمان ریسک و خطرات باقیمانده باید از مرحله پذیرش عبور کنند؛ به این معنی که کل برنامه درمان باید توسط مدیریت ارشد تأیید شود. در طول این مرحله، رؤسای بخش‌ها ممکن است هزینه‌های پیشگیری و درمانی را که فکر می‌کنند خیلی بالاست رد کنند و ترجیح دهند برخی از ریسک‌ها را قبول کنند.

متدولوژی ایزو ۲۷۰۰۵ از نظر تئوری در اینجا به پایان می‌رسد؛ با این حال، باید به‌خاطر داشته باشید که تمام فعالیت‌هایی که سازمان شما در طول این فرآیند انجام داده است، می‌تواند به عنوان بخشی از یک روند نظارت و بازبینی مورد استفاده قرار گیرد. سناریوهایی که تصور کرده‌اید، تجزیه و تحلیل ریسکی که انجام داده‌اید و استراتژی‌های درمانی که تنظیم کرده‌اید، در قالب یک سابقه از خطرات شناسایی شده ثبت می‌شوند. هر زمان که تهدیدها مجدداً ظاهر می‌شوند یا با خطرات جدیدی مواجه می‌شوید، می‌توانید از تجربیات خود در مراحل قبلی بهره ببرید.

مزایای روش مدیریت ریسک ISO 27005

این استاندارد مدیریت ریسک سایبری دارای چندین مزیت است که یکی از مهم‌ترین آنها سازگاری با انواع ساختارها است. سازمان شما می‌تواند با روش‌های مختلفی از مزایای استاندارد ISO/IEC 27005 بهره‌مند شود. به‌عنوان مثال:

– امکان استفاده از این روش به‌تنهایی و بدون نیاز به پیش‌نیازهای قبلی.

– توسعه مهارت‌های تیم شما در مدیریت ساختاریافته ریسک سایبری.

– شناسایی و ارزیابی نقاط ضعف و تهدیدهای مختلف سیستم.

– بهره‌برداری از یک سیستم مدیریت امنیت اطلاعات (ISMS) قابل انعطاف.

– قابلیت تنظیم برای انواع سازمان‌ها با ساختارهای مختلف.

– افزایش اعتماد ذی‌نفعان به سازمان شما.”

چرا سازمان‌ها باید استاندارد ISO 27005 را اخذ کنند؟

بر خلاف سایر استانداردهای رایج مدیریت ریسک که یک رویکرد ثابت را برای تمام سازمان‌ها تعیین می‌کنند، استاندارد ایزو ۲۷۰۰۵ با ماهیت انعطاف‌پذیری خود به سازمان‌ها اجازه می‌دهد تا رویکرد خود را برای ارزیابی ریسک بر اساس اهداف تجاری خاص خود انتخاب کنند. این رویکرد ثابت کمک می‌کند تا اطمینان حاصل کنید که قبل از شروع هر فعالیت مرتبط با مدیریت ریسک، تمام اطلاعات مورد نیاز را در اختیار دارید. استاندارد ایزو ۲۷۰۰۵ از یک ساختار ساده و قابل تکرار پیروی می‌کند که بندهای اصلی آن در چهار بخش زیر سازمان‌دهی شده است:

1. ورودی: اطلاعات مورد نیاز برای انجام یک فعالیت

2. عمل: خود فعالیت اصلی

3. راهنمای پیاده‌سازی: جزئیات و راهنمایی‌های مربوط به فعالیت

4. خروجی: اطلاعات تولید شده توسط فعالیت

جمع‌بندی

استاندارد ایزو ۲۷۰۰۵ از یک منطق پیروی می‌کند که به روش PDCA (طرح، انجام، بررسی، عمل) برای بهبود مستمر است اشاره دارد. ابتدا خطرات سایبری را شناسایی و ارزیابی می‌کنید، سپس برنامه‌ریزی استراتژیک برای کاهش ریسک‌های مرتبط را انجام می‌دهید. در نهایت، بررسی عملکرد صورت می‌گیرد تا مطمئن شوید که برنامه‌های برنامه‌ریزی شده به درستی اجرا می‌شود و با بررسی عملکرد، از بهبود استراتژی درمان ریسک خود اطمینان حاصل کنید.”