✍ خاصیت چرخه‌ای بودن فرآیند مدیریت ریسک امنیت اطلاعات ✅ #فرآیند_مدیریت_ریسک_امنیت_اطلاعات از پنج گام تشکیل شده که دو گام اصلی آن ارزیابی ریسک و مقابله با ریسک هستند. اما، سه‌گام بعدی یعنی ارتباط، پایش و بازنگری ریسک نیز از اجزای جدایی‌ناپذیر این فرآیند به‌شمار می‌آیند. ✅ نکته حائز اهمیت در گام‌های فرآیند مدیریت ریسک امنیت اطلاعات خاصیت چرخه‌ای بودن آنها است. این نشان‌دهنده یک‌مرحله‌ای نبودن این فرآیند است. لذا، #بهبود_مستمر از ویژگی‌های آن است. 🔴 برای روشن‌تر شدن مطلب در ادامه، شرح مختصری از هر گام ارائه می‌شود. 🔺گام اول: 🔻ارزیابی ریسک (Risk Assessment) کلیه فعالیت‌های مربوط به فرآیند مدیریت ریسک امنیت اطلاعات از این گام آغاز می‌شوند که خود شامل دو مرحله است: 1⃣ تحلیل ریسک (Risk Analysis) عنوان #تحلیل_ریسک را می‌توان در یک عبارت خلاصه کرد: استفاده نظام‌مند از اطلاعات برای شناسایی و تخمین ریسک (Risk Estimation). در واقع، تمام فعالیت‌های مربوط به شناسایی، دسته‌بندی و ارزش‌گذاری دارایی‌های اطلاعاتی و نیز شناسایی سناریوهای ریسک، که معمولاً حاصل نگاشت آسیب‌پذیری‌ها و تهدیدات هستند، را می‌توان در این مرحله گنجاند. 2⃣ سنجش ریسک (Risk Evaluation) #سنجش_ریسک فرآیندی است که کمک می‌کند میزان اهمیت ریسک مذکور را برای سازمان تعیین کنیم. اما چگونه؟ از مقایسه ریسک تخمین زده‌شده، خروجی مرحله قبل، با معیارهای ریسک سازمان. در واقع، برای اینکه متوجه شویم سازمان چگونه به نتایج حاصل از محاسبات و تحلیل ریسک می‌نگرد، باید ابتدا مشخص کنیم که چه معیار یا معیارهایی برای پذیرفتن یا نپذیرفتن ریسک وجود دارند. 🔺گام دوم: 🔻مقابله با ریسک (Risk Treatment) در این گام، #سازمان باید تعیین کند که چه راهبرد و برنامه‌ای برای مواجهه یا مقابله با ریسک‌های پذیرفته‌نشده دارد. مهم‌ترین خروجی این بخش، طرح مقابله با ریسک (RTP) است. در این طرح، سازمان ضمن اولویت‌بندی ریسک‌ها، هر یک از اقدامات مدنظر خود را برای مقابله با ریسک‌ها تشریح می‌کند. 🔺گام سوم: 🔻ارتباط ریسک (Risk Communication) در همه مراحل فرآیند مدیریت ریسک #امنیت_اطلاعات، همواره باید ارتباطات را، در حکم عاملی مهم، درنظر داشت. یعنی، در هریک از مراحل این فرآیند، باید ارتباط موثری میان دست‌اندرکاران ریسک، مشاوران، مدیران ارشد، مالکان دارایی، مالکان ریسک و یا سایر ذی‌نفعان برقرار شود. 🔺گام چهارم: 🔻پایش و کنترل ریسک (Risk Control & Monitoring) در این گام، بیش‌ترین تمرکز بر روی کنترل و پیگیری طرح‌های مقابله با #ریسک است. پس در نگاه اول، باید مطمئن شد که اقدامات درنظر گرفته‌شده با زمان‌بندی تعیین‌شده هم‌خوانی دارند. نیز، باید میزان کاهش ریسک را بر مبنای انتظارات اولیه پایش کرد. ✅ چنان‌که پیش‌تر اشاره شد، نگاه پروژه‌ای به #مدیریت_ریسک، در حکم فرآیندی که یک نقطه شروع و یک نقطه پایان دارد، درست نیست؛ خاصیت چرخه‌ای این فرآیند نشان‌دهنده یک‌مرحله‌ای نبودن آن و بهبود مستمر از ویژگی‌های آن است. ✅ اقدامات لازم در #فرآیند_مدیریت_ریسک باید در بازه‌های زمانی معینی تکرار شوند و از نتایج و تجاربی که در هر مرحله به‌دست می‌آید، در نقش ورودی و بازخورد، در مرحله جدید استفاده شود. نیز، باید بازه‌های مورد نظر برای بازنگری ریسک، با توجه به شرایط سازمان درنظر گرفته شوند و حداکثر یک‌ساله باشند. #مدل_مفهومی #مدل_مدیریت #پایگاه_جامع_مدیریار www.modiryar.com @modiryar

✍ سیستم امنیت اطلاعات 🔴 امنیت اطلاعات ✅ #محفاظت_اطلاعات و به حداقل رساندن دسترسی غیر مجاز به آنها میباشد. امنیت اطلاعات حفاظت از محرمانگی ، تمامیت و دسترس پذیری اطلاعات است. سایر ویژگی ها از قبیل اصالت ، قابلیت جوابگویی ، اعتبار ، انکار ناپذیری و قابلیت اطمینان اطلاعات نیز از ویژگی های امنیت اطلاعات میباشد. 🔴 مدیریت امنیت اطلاعات ✅ #مدیریت_امنیت_اطلاعات بخشی از مدیریت اطلاعات است که وظیفه آن تعیین اهداف ، امنیت و بررسی موانع رسیدن به این اهداف و ارائه راهکارهای لازم میباشد. 🔴 سیستم مدیریت امنیت اطلاعات ISMS ✅ قطعاً ISMS بخشی از سیستم مدیریت کلی و سراسری در یک سازمان است که بر پایه ی رویکرد مخاطرات کسب و کار قرار داشته و هدف آن پایه گذاری، پیاده سازی، بهره برداری، نظارت، بازبینی، نگهداری و بهبود امنیت اطلاعات است. ✅ #سیستم_مدیریت_امنیت_اطلاعات در مجموع یک رویکرد نظام مند به مدیریت اطلاعات حساس به منظور محافظت از آن هاست. #امنیت_اطلاعات چیزی فراتر از نصب یک دیواره ی آتش ساده یا عقد قرارداد با یک شرکت امنیتی است. ✅ در چنین رویکردی بسیار مهم است که فعالیت های گوناگون امنیتی را با هدفی مشترک به منظور رسیدن به یک سطح بهینه از حفاظت همراستا کنیم. #پایگاه_جامع_مدیریار www.modiryar.com @modiryar