) هدف و دامنه کاربرد
هدف از تدوین استاندارد ISO/IEC 27005:2011، تعیین راهنمایی برای مدیریت مخاطرات امنیت اطلاعات است.
این استاندارد مفاهیم کلی مشخص شده در استاندارد ISO/IEC 27001 را پوشش میدهد و برای کمک به پیادهسازی مطلوب امنیت اطلاعات براساس رویکرد مدیریت مخاطرات طراحی شده است.
مدیریت مخاطرات امنیت اطلاعات، شامل مراحل زیر است:
- زمینهسازی
- شناسایی مخاطره
- تحلیل مخاطره
- ارزیابی مخاطره
- مقابله با مخاطره
- پذیرش مخاطره
- تبادل اطلاعات و رایزنی مخاطره
- پایش و بازنگری مخاطره
1) زمینهسازی
در این مرحله زمینه داخلی و خارجی مدیریت مخاطرات امنیت اطلاعات پایهگذاری میشود که شامل تنظیم معیارهای بنیـادی برای مدیریت مخاطرات امنیت اطلاعات است. موارد زیر در این مرحله مد نظر قرار میگیرد:
- تعیین رویکرد و روش مدیریت مخاطرات
- تعیین معیارهای ارزیابی مخاطره
- تعیین معیارهای پیامد
- تعیین معیارهای پذیرش مخاطره
- تعریف محدوده و قلمرو مدیریت مخاطرات امنیت اطلاعات
- سازماندهی
2) شناسایی مخاطره
هدف از شناسایی مخاطره، تعیین عواملی است که میتوانند علت زیان بالقوه باشند و اینکه چگونه، کجا و چرا زیان ممکن است رخ دهد. گامهای زیر در شناسایی مخاطره وجود دارند:
- شناسایی داراییها
- شناسایی تهدیدات
- شناسایی کنترلهای موجود
- شناسایی آسیبپذیریها
- شناسایی پیامدها
3) تحلیل مخاطره
تحلیل مخاطره با توجه به سطح جزئیات مورد نظر، میزان حیاتی بودن داراییها، گستره آسیبپذیریهای شناخته شده و نیز رخدادهای دربرگیرنده سازمان انجام میشود. روش تحلیل مخاطره میتواند کمی و یا کیفی و یا تلفیقی از هر دو باشد. این مرحله شامل گامهای زیر است:
- ارزیابی پیامدها
- ارزشیابی احتمال رخداد
- تعیین سطح مخاطره
4) ارزیابی مخاطره
در این مرحله سطوح مخاطره با معیار ارزیایی مخاطره و معیار پذیرش آن، مقایسه میشود.
5) مقابله با مخاطره
در این مرحله کنترلهایی جهت مقابله با مخاطرات امنیت اطلاعات انتخاب میشوند. بهمنظور مقابله با مخاطرات چهار رویکرد وجود دارد که عبارتند از:
اصلاح مخاطره
حفظ مخاطره
اجتناب از مخاطره
انتقال (اشتراک) مخاطره
6) پذیرش مخاطره امنیت اطلاعات
در این مرحله تصمیمگیری در خصوص پذیرش مخاطرات امنیت اطلاعات صورت میگیرد. باید توجه داشته که تصمیمات مرتبط با پذیرش مخاطرات و نیز مسئولیت تصمیم گیری باید به طور رسمی ثبت شود.
7) تبادل اطلاعات و رایزنی مخاطره
اطلاعات مرتبط با مخاطرات باید بر اساس سطوح مناسب دسترسی در سازمان مبادله و یا مابین تصمیمگیران و سایر ذینفعان به اشتراک گذاشته شود.
8) پایش و بازنگری مخاطره
مخاطرات و دیگر مؤلفه های درگیر در فرایند مدیریت مخاطرات امنیت اطلاعات (مانند ارزش دارایی ها، پیامدها، تهدیدها، آسیب پذیریها، احتمال وقوع) بهمنظور شناسایی تغییرات محتمل در سازمان و برای حفظ صحت و دقت ارزیابیهای صورت گرفته در طول زمان باید مورد پایش و بازنگری قرار گیرند.
