eitaa logo
Modiryar | مدیریار
@modiryar
204 دنبال‌کننده
5هزار عکس
793 ویدیو
2 فایل
• پایگاه جامع مدیریت www.modiryar.com • مدیرمسئول دکتر مهدی یاراحمدی خراسانی @mahdiyarahmadi • مشاور @javadyarahmadi • اینستاگرام https://www.instagram.com/modiryar_com • تلگرام telegram.me/modiryar • احراز ارشاد http://t.me/itdmcbot?start=modi
مشاهده در ایتا
پرسش‌ها
قوانین
داغ‌ترین‌ها
چندسکویی
پیوستن
Modiryar | مدیریار
204 دنبال‌کننده
دانلود
Modiryar | مدیریار
Modiryar | مدیریار
✍ فرآیند مدیریت ریسک ISO 27005 #پایگاه_جامع_مدیریار www.modiryar.com @modiryar
فرآیند مدیریت ریسک ISO 27005 ✅ اگرچه ISO 27005 هیچ روش خاصی برای مشخص نمی‌کند، اما بر فرآیند پیوسته مدیریت ریسک اطلاعات مبتنی بر اجزاء کلیدی زیر دلالت دارد: ▪زمینه‌سازی ▪شناسایی ریسک ▪تحلیل ریسک ▪ارزشیابی ریسک ▪واکنش به ریسک ▪پذیرش ریسک ▪ارتباط و مشاوره ▪نظارت و بازبینی ریسک 🔴 : ✅ معیارهایی را برای نحوه شناسایی ریسک‌ها، مسئولیت مالکیت ریسک، تأثیر ریسک‌ها بر محرمانه بودن، صحت و در دسترس بودن اطلاعات و نحوه محاسبه تأثیر و احتمال ریسک تعیین می‌کند. ✅ در این مرحله زمینه داخلی و خارجی مدیریت امنیت اطلاعات پایه‌گذاری می‌شود که شامل تنظیم معیارهای بنیادی برای مدیریت ریسک امنیت اطلاعات است. موارد زیر در این مرحله مد نظر قرار می‌گیرد: ▪تعیین رویكرد و روش مدیریت ریسک ▪تعیین معیارهای ارزیابی ریسک ▪تعیین معیارهای پیامد ▪تعیین معیارهای پذیرش ریسک ▪تعریف محدوده و قلمرو مدیریت ریسک امنیت اطلاعات ▪سازماندهی 🔴 : فرآیند شناسایی ریسک مبتنی بر را که شامل پنج مرحله کلیدی زیر است، در این مرحله انجام می‌گردد: ▪گردآوری دارایی‌های اطلاعاتی ▪شناسایی تهدیدها و آسیب پذیری‌های قابل اعمال برای هر دارایی ▪تعیین ارزش تاثیر و احتمال بر اساس معیارهای ریسک ▪ارزیابی هر ریسک در برابر سطوح از پیش تعیین شده مقبولیت ▪اولویت‌بندی و ترتیب خطرات احتمالی 🔴 تحلیل ریسک با توجه به سطح جزئیات مورد نظر، میزان حیاتی بودن دارایی‌ها، گستره تحلیل ریسک آسیب‌پذیری‌های شناخته شده و نیز رخدادهای دربرگیرنده سازمان انجام می‌شود. روش ریسک می‌تواند كمی و یا كیفی و یا تلفیقی از هر دو باشد. این مرحله شامل گام‌های زیر است: ▪ارزیابی پیامدها ▪ارزشیابی احتمال رخداد ▪تعیین سطح ریسک 🔴 ✅ در این زیر بر اساس معیارهای استخراج شده در زیر فرآیند تحلیل ریسک، سطح پذیرش ریسک و ریسک‌‏های قابل پذیرش استخراج می‏شوند. به عبارت دیگر فعالیت‌‏های انجام شده در این مرحله عبارتند از: ▪تعیین معیار پذیرش ریسک ▪مقایسه ریسک‌‏های تحلیل شده با معیار پذیرش، اولویت‏‌بندی ریسک‌‏ها و تعیین ریسک‏‌های قابل پذیرش ✅ برخورد با ریسک: چهار راه برای برخورد با ریسک وجود دارد، فرآیند برخورد با ریسک در انتخاب اقدامات امنیتی به منظور،كاهش، حفظ، اجتناب و انتقال انجام می‌شود: ▪تغییر (اصلاح) ریسک ▪انتقال (اشتراك) ریسک ▪اجتناب از ریسک ▪حفظ ریسک 🔴 ✅ در این مرحله تصمیم‌گیری در خصوص پذیرش ریسک امنیت اطلاعات صورت می‌گیرد. باید توجه داشت كه مرتبط با پذیرش ریسک و نیز مسئولیت تصمیم‌گیری باید به طور رسمی ثبت گردد. ▪ارتباط و مشاوره در رابطه با ریسک: ارتباط موثر برای افراد مهم است. فرآیند مدیریت ریسک امنیت اطلاعات این اطمینان را می‌دهد که تصمیماتی که گرفته می‌شود بر اساس چرایی اقدامات خاصی که مورد نیاز است، می‌باشد. به اشتراک گذاشتن و تبادل اطلاعات در مورد ریسک همچنین توافق بین تصمیم‌گیرندگان و سایر ذی‌نفعان در مورد نحوه را تسهیل می‌کند. ✅ فعالیت‌های ارتباطی با باید به طور مداوم انجام شود و سازمان‌ها باید برنامه‌های ارتباطی با ریسک را برای عملیات عادی و همچنین شرایط اضطراری تدوین کنند. ▪نظارت و بازبینی ریسک: تهدیدات ثابت نیستند و می‌توانند ناگهان تغییر کنند. به تبع آن ریسک‌ها نیز تغییر نموده و یا ایجاد می‌گردند، بنابراین می‌بایست ریسک‌ها به طور مداوم تحت نظارت قرار گیرند تا در کم‌ترین زمان ممکن شناسایی شده و ریسک‌های به وجود آمده بررسی و ارزیابی گردند. www.modiryar.com @modiryar
23 مشاهده