پارامترهای ارزیابی ریسک موثر برای ISO 27001
ارزیابی ریسک مربوط به امنیت اطلاعات برای سازمان ها ضروری است تا تهدیدات و خطرات مختلف برای داده های حیاتی خود را درک کنند و زیرساخت های آن ها چه چیزی یا چه کسانی هستند یا میتوانند در معرض آن قرار گیرند. این یک گام اساسی است که باید در هنگام توسعه یک سیستم مدیریت امنیت اطلاعات در نظر گرفته می شود.
در این مقاله به ارزیابی ریسک موثر برای ISO 27001 خواهیم پرداخت. سازمان ها در هر نوع و اندازه ای اطلاعاتی را که برای آنها و مشتریانشان ارزشمند است جمع آوری، ذخیره، پردازش و انتقال می دهند. حفظ این اطلاعات برای محافظت در برابر تهدیدات عمدی و تصادفی حیاتی است. پذیرش ISO/IEC 27001 به سازمان ها کمک می کند تا این اطلاعات را ایمن نگه دارند.
ISO/IEC 27001 یک استاندارد بین المللی برای مدیریت امنیت اطلاعات است که الزامات اتخاذ یک سیستم مدیریت ریسک و فرآیند بررسی و تأیید کنترل های امنیتی در یک سازمان را شرح میدهد. این استاندارد به سازمان ها کمک می کند تا اطمینان حاصل کنند که فرآیندهای آنها مطابق با تعهدات قانونی و قراردادی است و در راستای هدف نهایی امنیت کار می کنند.
ارزیابی ریسک بخشی جدایی ناپذیر از استاندارد ISO/IEC 27001 است زیرا به سازمان ها کمک می کند تا آسیب پذیری ها را در فرآیندهای امنیت اطلاعات خود تعیین، تجزیه و تحلیل و ارزیابی کنند. در این مقاله ایران گواه اهمیت ارزیابی ریسک و مراحل یک ارزیابی ریسک موثر ISO/IEC 27001 را پوشش میدهند.
ارزیابی ریسک موثر برای ISO 27001
ارزیابی ریسک مربوط به امنیت اطلاعات برای سازمان ها ضروری است تا تهدیدات و خطرات مختلف برای داده های حیاتی خود را درک کنند و زیرساخت های آن ها چه چیزی یا چه کسانی هستند یا میتوانند در معرض آن قرار گیرندرا بررسی و برطرف نمایند. این یک گام اساسی است که باید در هنگام توسعه یک سیستم مدیریت امنیت اطلاعات در نظر گرفته شود، زیرا این یک پایه قوی برای برنامه امنیتی سازمان است.
فرآیند ارزیابی ریسک به شناسایی تهدیدها کمک می کند و بیشتر به کاهش خطرات مختلف حوادثی که می توانند بر عملیات یک سازمان تأثیر بگذارند کمک می کند. فرآیند انجام ارزیابی های منظم ریسک کمک میکند تا تمرکز سازمان به سمت حیاتی ترین و در معرض خطرترین حوزه های زیرساخت سازمان هدایت شود و نقاط ضعف در کجا قرار دارند. در زیر مراحل ارزیابی ریسک موثر ISO/IEC 27001 برای کمک به سازمان شما آورده شده است.
چارچوب ارزیابی ریسک
استاندارد ISO/IEC 27001 (بند 6.1.2) از سازمان ها می خواهد که فرآیند ارزیابی ریسک را تعریف و اعمال کنند که عینی است، خطرات امنیت اطلاعات و صاحبان آنها را شناسایی می کند، ریسک ها را تجزیه و تحلیل و ارزیابی می کند و نتایج سازگار و قابل مقایسه ارائه می دهد. سازمانها باید رویکردی را اتخاذ کنند که الزامات امنیتی اصلی را از نظر الزامات قانونی و قراردادی مورد توجه قرار دهد. سازمان ها باید رویکرد خود را بر اساس پارامترهای زیر برای ایجاد یک چارچوب ارزیابی ریسک قوی تنظیم کنند.
پارامترهای ریسک عبارتند از:
- مقیاس ریسک که بر اساس احتمال وقوع یک حادثه (تکرار وقوع) و میزان تأثیر (زیان مالی، آسیب شهرت، اختلال در عملیات) است که ممکن است حادثه بر سازمان داشته باشد.
- ریسک پذیری که سطح قابل قبول ریسکی را که سازمان می تواند در برابر آن مقاومت کند را تعیین می کند.
- ریسک مبتنی بر سناریو که رویدادهای احتمالی را تعیین می کند که ممکن است بر امنیت دارایی ها تأثیر بگذارد.
- ارزیابی ریسک مبتنی بر دارایی (یا مبتنی بر فرآیند) که دارایی های حیاتی (سوابق داده های شخصی، داده های مالی و داده های پزشکی) را که ممکن است در معرض خطرات مختلف قرار گیرند، تعیین میکند.
همانطور که در بند 6.1.1 تعریف شده است، هنگام برنامه ریزی سیستم مدیریت امنیت اطلاعات خود، باید خطرات و فرصت های مربوط به سیستم مدیریت را مورد توجه قرار داد تا اطمینان حاصل شود که می توان به نتایج مورد نظر آن دست یافت. خطرات و فرصت ها نیز باید مورد توجه قرار گیرد تا سیستم بتواند از اثرات نامطلوب جلوگیری یا کاهش دهد و امکان بهبود مستمر را فراهم کند.
به عنوان یک سازمان، شما باید فرآیندی برای رسیدگی مداوم به برنامه ها و اقدامات خود برای شناسایی، ارزیابی و درمان این خطرات و فرصت ها داشته باشید، و اینکه چگونه به عنوان یک سازمان آنها را در سیستم مدیریت امنیت اطلاعات خود و فرآیندهای آن ادغام و پیاده سازی کنید. و همچنین صاحبان فرآیندی که از این وظایف دفاع خواهند کرد. همانطور که توسط ISMS گفته شده است، “به سادگی این به معنای مستند کردن فرآیند برای شناسایی، ارزیابی و درمان ریسک است، سپس نشان می دهد که در عمل با مدیریت هر ریسک کار می کند.”
شناسایی ریسک ها
شناسایی ریسک مهمترین بخش ارزیابی ریسک است. شناسایی ریسک معمولاً شامل تعیین دارایی های حیاتی است که نیاز به حفاظت دارند، یک تهدید احتمالی که ممکن است بر عملیات تجاری تأثیر بگذارد، و آسیب پذیری در فرآیند کسب وکار یا مدیریت دارایی یا کنترل های امنیتی که ممکن است منجر به حادثه ای شود که سازمان را تحت تأثیر قرار دهد.
رویکرد مبتنی بر دارایی در مقابل رویکرد مبتنی بر ریسک برای ارزیابی ریسک
رویکرد مبتنی بر ریسک روشی سیستماتیک است که تهدیدات پیش روی سازمان را شناسایی، ارزیابی و اولویت بندی می کند. این یک روش قابل تنظیم است که به کسب و کار امکان می دهد برنامه امنیت سایبری خود را با نیازهای سازمانی خاص و آسیب پذیری های عملیاتی تنظیم کند. با استفاده از رویکرد مبتنی بر ریسک برای ارزیابی ریسک، سازمان ها از ریسک برای متعادل کردن عملکرد عملیاتی دارایی ها در برابر هزینه چرخه عمر دارایی استفاده میکنند.
رویکرد مبتنی بر دارایی از سازمان ها میخواهد تا ارزیابی ریسک انجام دهند تا مشخص کنند نقاط ضعف شما کجا هستند، احتمال بهره برداری از این ضعف ها چقدر است و تأثیری که هر کدام ایجاد میکنند.
ارزیاب ریسک باید ریسک های بالقوه ای را که ممکن است محرمانه بودن، یکپارچگی یا در دسترس بودن دارایی ها را به خطر بیندازد شناسایی کند و تأثیر سازمان را تجزیه و تحلیل کند. سازمان شما باید تعیین کند که کدام رویکرد برای سازمان شما بهتر کار می کند و به چه منابعی برای اطمینان از موفقیت آن نیاز دارید. این فرآیند ارزیابی ریسک باید در سازمان شما مستمر و سازگار باشد.
تجزیه و تحلیل ریسک ها
تجزیه و تحلیل ریسک شامل درک و تعیین روشی است که ممکن است یک حادثه رخ دهد و بر تجارت شما تأثیر بگذارد. این شامل شناسایی راه های احتمالی است که در آن آسیب پذیریهای شناسایی شده از فرآیند رویکرد مبتنی بر ریسک دارایی شما میتواند به صورت داخلی یا خارجی مورد بهره برداری قرار گیرد. تجزیه و تحلیل همچنین باید شامل ارزیابی احتمال وقوع حادثه و سطح تأثیری که بر تجارت خواهد داشت باشد.
همچنین ریسک ها باید بر اساس اینکه آیا سازمان کنترل های امنیتی پایه را برای رسیدگی موثر به ریسک های شناسایی شده در اختیار دارد یا خیر، تجزیه و تحلیل شود.
سازمان ها باید کنترل های موجود را برای تقویت اقدامات امنیتی شناسایی کنند. این باید بیشتر شامل ارزیابی کنترل های فعلی برای تعیین اینکه آیا آنها به درستی کار میکنند یا باید توسط کنترل های اضافی جایگزین، اصلاح یا پشتیبانی شوند، باشد.
ارزیابی ریسک ها
خطر(های) شناسایی و تجزیه و تحلیل شده اکنون باید بر اساس شدت آنها ارزیابی و رتبه بندی شوند. این ارزیابی باید شامل رتبه بندی سطح ریسک در مقیاس کم، متوسط به بالا یا مقیاس داخلی شما باشد که برای سازمان شما منطقی است. درجه بندی ریسک ذاتاً ذهنی است و باید استاندارد یا بر اساس معیارهای مشخصی برای ثبات در سیستم مدیریت شما باشد.
ارزیابی ریسک همچنین به تشخیص اینکه آیا ریسک در “سطوح قابل قبول” ریسک قرار دارد یا خیر کمک می کند. بر اساس رتبه بندی ریسک، سازمان باید ریسک های دارای بالاترین رتبه را شناسایی کند و منابع خود را بر این اساس اولویت بندی کند تا خطرات را بر اساس سطح شدت آنها برطرف کند. با این کار، سازمان باید تأثیر ریسک بر کسب و کار داخلی و خارجی و تأثیر آن را نیز ارزیابی کند.
مدیریت ریسک و راه های کاهش آن
پس از طبقه بندی ریسک های شناسایی، تجزیه و تحلیل و ارزیابی شده، سازمان باید یک تصمیم آگاهانه مبتنی بر تحقیق برای کاهش ریسک اتخاذ کند. به طور کلی، پاسخ به پرداختن به ریسک های شناسایی شده به چهار دسته طبقه بندی می شود. این شامل:
- اصلاحی که شامل اجرای کنترل های امنیتی است.
- حفظ ریسک یعنی پذیرش اینکه ریسک در سطوح قابل قبول قرار می گیرد.
- اجتناب از خطر با تغییر شرایطی که باعث احتمال خطر می شود.
- ریسک را با یک شرکت بیمه یا با شخص ثالثی که برای مدیریت ریسک مجهز است به اشتراک بگذارید
سازمان باید کنترل های فعلی موجود و کنترلهایی را که باید برای کاهش و/یا کاهش خطر ایجاد شود، شناسایی کند.
بررسی و نظارت
یک سازمان باید به طور مداوم سیستم مدیریت امنیت اطلاعات (ISMS) را بررسی، به روز رسانی و بهبود بخشد تا اطمینان حاصل شود که کنترل های اضافه شده یا در محل کارآمد هستند، به درستی ایجاد می شوند و همانطور که در نظر گرفته شده کار می کنند. فرآیند ارزیابی ریسک باید به طور مداوم تکرار شود تا اطمینان حاصل شود که سازمان شما تمام تغییرات و چشم انداز تهدید دائماً در حال تحول را در نظر گرفته است. این فرآیند شناسایی، تجزیه و تحلیل، ارزیابی و نظارت باید به عنوان فرصتی برای بهبود مستمر ISMS و اجرای کنترلی که می تواند خطرات در حال تحول را برطرف کند، در نظر گرفته شود.
سخن پایانی در مورد پارامترهای ارزیابی ریسک موثر برای ISO 27001
ارزیابی ریسک یک فرآیند مداوم است و باید به صورت مداوم و مداوم انجام شود تا اطمینان حاصل شود که سازمان شما خطرات تهدیدات داخلی و خارجی را برای امنیت اطلاعات شما کاهش، حذف و کنترل می کند. ارزیابی مجدد کنترل ها و ریسک های امنیتی به طور منظم میتواند به کسب وکارها کمک کند منابع را بر این اساس اختصاص دهند و تهدیدهای احتمالی را به طور دورهای برطرف کنند. علاوه بر این، ارزیابی ریسک به کسب وکارها کمک میکند تا تصمیمی آگاهانه برای ایجاد اقدامات امنیتی قوی و نتایج پیشرونده برای کسب وکار بگیرند.