ایزو ۲۷۰۰۵ – استاندارد بین المللی مدیریت ریسک امنیت اطلاعات
ایزو ۲۷۰۰۵ یک استاندارد جهانی است که روش تحلیل خطر امنیت اطلاعات را طبق مفاد ایزو ۲۷۰۰۱ توضیح میدهد. این استاندارد با عنوان دقیق ” ISO/IEC 27005– فناوری اطلاعات – تکنیکهای امنیتی – مدیریت ریسک امنیت اطلاعات” در وبسایت ISO ذکر شده است. کمیسیون الکتروتکنیک بینالمللی (IEC) و سازمان استاندارد بینالمللی (ISO) این استاندارد را پرداختهاند. این استاندارد بطور مشخص، از امنیت اطلاعات بر اساس استراتژی مدیریت خطر پشتیبانی میکند.
ایزو ۲۷۰۰۵ چگونه تعریف میشود؟
ایزو ۲۷۰۰۵ یا استاندارد مدیریت خطر امنیت اطلاعاتی، با توجه به رهنمودهای موجود در ISO/IEC 27001 و ISO/IEC 27002 ساخته شده است. این استاندارد اولین بار در ژوئن ۲۰۰۸ با عنوان کوتاه ISO/IEC 27005:2008 منتشر گردید. سپس در سالهای ۲۰۱۱ و ۲۰۱۸ تجدید نظر شد و بهروز شد.
محتوای ایزو ۲۷۰۰۵ در فصلهای شش تا دوازده یک رویکرد مدیریت خطر سیستمهای اطلاعاتی را ارائه میدهد. فصل هفتم به خصوص بر تحلیل خطر تمرکز دارد که جزء الزامات یک راهبرد مناسب امنیت سایبری است. فصل هشتم بر ارزیابی خطر متمرکز است و فصل نهم تا دوازدهم روش پیادهسازی راهکار درمان خطر و روش پیگیری آن را توضیح میدهد.”
چه افرادی از این استاندارد استفاده میکنند؟
سازمان بینالمللی استاندارد، ایزو ۲۷۰۰۵ را به شرکتها و مؤسسات عمومی مانند «سازمانهای دولتی» و سازمانهای غیرانتفاعی توصیه میکند. در عمل، این استاندارد امنیت اطلاعات را برای تضمین محرمانه بودن دادهها و در دسترس بودن و یکپارچگی داراییهای اطلاعاتی و کلیدی یک سازمان به کار میبرد و برای تمام ساختارهایی طراحی شده است که تحت تأثیر خطرات سایبری و افزایش مداوم دادهها قرار میگیرند.
چگونه استاندارد ایزو ۲۷۰۰۵ کار میکند؟
این استاندارد بینالمللی شامل بیش از ۲۰ صفحه از رویکردهای مدیریت ریسک امنیت اطلاعات است. با این حال، این مفاهیم کلی را از طریق چهار مرحله اصلی پشتیبانی میکند:
زمینهسازی مدیریت ریسک:
در این مرحله، محل شروع و پایان مدیریت ریسک تعیین میشود و معیارهای ارزیابی تنظیم میشوند که شامل شناسایی داراییهایی است که توسط خطرات سایبری تهدید میشوند و تعیین آستانههایی است که بالاتر از آنها باید با خطرات مقابله شود.
ارزیابی ریسک:
در طول این مرحله، عناصر در معرض خطر شناسایی میشوند و تهدیدات و آسیبپذیریهای مرتبط با آنها مشخص میشوند. استاندارد ایزو ۲۷۰۰۵ از شما خواستار است که تهدیدها و تأثیرات آنها را با نیازهای امنیتی ساختار خود هماهنگ کنید و با استفاده از معیارهای ارزیابی اولیه که در مرحله اول تعریف کردهاید، اولویتبندی را انجام دهید.
استراتژی درمان ریسک:
ساختار شما باید اهداف امنیت فناوری اطلاعات را تعیین کرده و نتایج مرحله دوم را در نظر بگیرد. پس از تعیین این اهداف، میتوانید مشخصات خود را پیشنویس کنید که به طراحی اقدامات درمانی کمک میکند. با استفاده از استاندارد ایزو ۲۷۰۰۵، باید اثرات ریسک را با هزینه درمان آن مقایسه کنید و بر اساس نوع مقابله خود با ریسک، رویکردی را انتخاب کنید. بر اساس نتایج این ارزیابی و سطح ریسک، چهار گزینه در اختیار دارید:
– اجتناب: اگر عواقب بروز ریسک بسیار بالا باشد، باید به هر قیمتی از آن اجتناب کنید و ممکن است لازم باشد فعالیتهایی را که احتمالاً باعث وقوع آن ریسک میشود، متوقف کنید.
– انتقال: ساختار شما ریسک را با یک شخص ثالث (مانند بیمه یا پیمانکار فرعی امنیت سایبری) به اشتراک میگذارد تا حداقل بتواند از نظر مالی در برابر خطرات محافظت شود.
– کاهش: اقداماتی را برای کاهش تأثیر یا احتمال وقوع یک خطر طراحی میکنید تا آن را قابلتحملتر کنید.
– حفاظت: خطر به عنوان قابلتحمل در نظر گرفته میشود و بهاندازه کافی تهدید نیست. ساختار شما تصمیم میگیرد تا قبل از وقوع حادثه، به آن رسیدگی نکند.”
پذیرش ریسک
استراتژی درمان ریسک و خطرات باقیمانده باید از مرحله پذیرش عبور کنند؛ به این معنی که کل برنامه درمان باید توسط مدیریت ارشد تأیید شود. در طول این مرحله، رؤسای بخشها ممکن است هزینههای پیشگیری و درمانی را که فکر میکنند خیلی بالاست رد کنند و ترجیح دهند برخی از ریسکها را قبول کنند.
متدولوژی ایزو ۲۷۰۰۵ از نظر تئوری در اینجا به پایان میرسد؛ با این حال، باید بهخاطر داشته باشید که تمام فعالیتهایی که سازمان شما در طول این فرآیند انجام داده است، میتواند به عنوان بخشی از یک روند نظارت و بازبینی مورد استفاده قرار گیرد. سناریوهایی که تصور کردهاید، تجزیه و تحلیل ریسکی که انجام دادهاید و استراتژیهای درمانی که تنظیم کردهاید، در قالب یک سابقه از خطرات شناسایی شده ثبت میشوند. هر زمان که تهدیدها مجدداً ظاهر میشوند یا با خطرات جدیدی مواجه میشوید، میتوانید از تجربیات خود در مراحل قبلی بهره ببرید.
مزایای روش مدیریت ریسک ISO 27005
این استاندارد مدیریت ریسک سایبری دارای چندین مزیت است که یکی از مهمترین آنها سازگاری با انواع ساختارها است. سازمان شما میتواند با روشهای مختلفی از مزایای استاندارد ISO/IEC 27005 بهرهمند شود. بهعنوان مثال:
– امکان استفاده از این روش بهتنهایی و بدون نیاز به پیشنیازهای قبلی.
– توسعه مهارتهای تیم شما در مدیریت ساختاریافته ریسک سایبری.
– شناسایی و ارزیابی نقاط ضعف و تهدیدهای مختلف سیستم.
– بهرهبرداری از یک سیستم مدیریت امنیت اطلاعات (ISMS) قابل انعطاف.
– قابلیت تنظیم برای انواع سازمانها با ساختارهای مختلف.
– افزایش اعتماد ذینفعان به سازمان شما.”
چرا سازمانها باید استاندارد ISO 27005 را اخذ کنند؟
بر خلاف سایر استانداردهای رایج مدیریت ریسک که یک رویکرد ثابت را برای تمام سازمانها تعیین میکنند، استاندارد ایزو ۲۷۰۰۵ با ماهیت انعطافپذیری خود به سازمانها اجازه میدهد تا رویکرد خود را برای ارزیابی ریسک بر اساس اهداف تجاری خاص خود انتخاب کنند. این رویکرد ثابت کمک میکند تا اطمینان حاصل کنید که قبل از شروع هر فعالیت مرتبط با مدیریت ریسک، تمام اطلاعات مورد نیاز را در اختیار دارید. استاندارد ایزو ۲۷۰۰۵ از یک ساختار ساده و قابل تکرار پیروی میکند که بندهای اصلی آن در چهار بخش زیر سازماندهی شده است:
1. ورودی: اطلاعات مورد نیاز برای انجام یک فعالیت
2. عمل: خود فعالیت اصلی
3. راهنمای پیادهسازی: جزئیات و راهنماییهای مربوط به فعالیت
4. خروجی: اطلاعات تولید شده توسط فعالیت
جمعبندی
استاندارد ایزو ۲۷۰۰۵ از یک منطق پیروی میکند که به روش PDCA (طرح، انجام، بررسی، عمل) برای بهبود مستمر است اشاره دارد. ابتدا خطرات سایبری را شناسایی و ارزیابی میکنید، سپس برنامهریزی استراتژیک برای کاهش ریسکهای مرتبط را انجام میدهید. در نهایت، بررسی عملکرد صورت میگیرد تا مطمئن شوید که برنامههای برنامهریزی شده به درستی اجرا میشود و با بررسی عملکرد، از بهبود استراتژی درمان ریسک خود اطمینان حاصل کنید.”
