تبلیغات
"/> "/> آفرینش پویا - مطالب ابر مدیریت ریسك

کلیدهایی برای موفقیت مدیریت ریسک

شرکت و سازمان شما باید یک برنامه مدون برای مدیریت ریسک داشته باشد و برای موفق بودن این برنامه باید بر یک سری موارد تکیه نمود که ما این موارد را در ارتباط با مدیریت ریسک فناوری اطلاعات در سازمان بیان می نماییم و در سایر موارد نیز مشابه می باشد .

1 – تعهد مدیریت ارشد

2 – حمایت و مشارکت کامل تیم فناوری اطلاعات

3 – صلاحیت تیم ارزیابی ریسک که باید در بکار بردن روش ارزیابی ریسک برای یک سیستم و مکان خاص تخصص داشته باشد ، ریسک های ماموریتی را شناسایی نماید و حفاظت موثر که با نیازهای سازمان جور در بیاید را تامین نماید

4 – آگاهی و همکاری اعضای جامعه کاربری ، کسانیکه راهکار ها را دنبال می نمایند و از کنترل های اجرا شده برای حفاضت و صیانت ماموریت سازمانشان تبعیت می نمایند

5 – ارزیابی و براورد مداوم ریسک های مرتبط با فناوری اطلاعات

نوشته شده در تاریخ دوشنبه 28 فروردین 1391    | توسط: محمد خلیفه پور    | طبقه بندی: مطالب مدیریتی و جالب،     | نظرات()

ارزیابی ریسک

تعاریف مختلفی از ریسک بیان می شود و بطور کلی می توان ریسک را یک تابع احتمالی یک ضعف بالقوه خاص از یک منبع تهدیدی مشخص و نیز تاثیر نتیجه ی رویدادهای مغایر در سازمان دانست . ارزیابی ریسک اولین دستور العمل و یکی از مهم ترین فرآیند های مدیریت ریسک می باشد و ارزیابی ریسک به منظور مشخص نمودن خطرات احتمالی و ریسک های مرتبط می باشد و خروجی این فرایند به تشخیص دستگاه های کنترلی مناسب جهت کاستن یا حذف ریسک می باشد .نه گام برای این فرایند در نظر گرفته شده است که در هر گام ورودی و خروجی داریم که در ادامه این نه گام را بیان می نماییم :

گام اول : تعیین مشخصات سیستم قدم اول می باشد که ورودی ما در این مرحله داده هایی چون سخت افزار ، نرم افزار ، تعاملات سیستم ، داده ها و اطلاعات ، افراد و ماموریت سیستم می باشد که بطور کلی می توان ورودی را در محیط اطراف جستجو نمود . نتیجه یا خروجی این گام تعیین و مشخص نمودن مرز سیستم ، ماموریت و عملکرد سیستم ، اهمیت سیستم و داده ها و حساسیت سیستم و داده ها می باشد .

گام دوم : شناسایی تهدیدات می باشد که هدف از این گام شناسایی منابع تهدید و یا تهدیدات بالقوه می باشد . منابع تهدید می توانند طبیعی ، انسانی و محیطی باشند و این منبع در سازمان ممکن است تروریست ها و جاسوسان صنعتی و یا حتی افراد خود سازمان ( افراد ناراضی ، بدخواه و متقلب ) باشند .

گام سوم : شناسایی آسیب پذیری ( نقاط ضعف ) ، در این قدم نقاط ضعف را شناسایی می نمایند که در درون خود سازمان است و ورودی ها گزارشات ارزیابی های قبلی ریسک و سایر گزارشات و مدارک و نیازمندی ها میباشد و خوروجی این مرحله لیستی از آسیب پذیری های سیستم می باشد که می تواند توسط منابع تهدیدی بالقوه بکار گرفته شود .

گام چهارم : تجزیه و تحلیل کنترل های انجام گرفته یا طراحی شده جهت اجرا می باشد و همانطور که از تعریف مشخص است ورودی همان کنترلهای فعلی و جاری و تحت طراحی می باشد و خروجی این گام نیز لیستی از کنترل های جاری یا تحت طراحی می باشد که برای حداقل کردن آسیب پذیری ها یا نقاط ضعف بکار برده می شود .

گام پنجم : تعیین سطح و میزان احتمال از اینکه یک نقطه ضعف در داخل ساختار محیطی تهدید مرتبط توانایی صدمه زدن داشته باشد و ورودی ها در این مرحله انگیزه منبع تهدیدی ، قابلیت تهدیدی ، ماهیت آسیب پذیری ، کنترل های احتمالی می باشد و خروجی هم میزان برآورد شده احتمال می باشد .

گام ششم : تجزیه و تحلیل اثر مغایر حاصل شده از استفاده موفقیت آمیز یک تهدید از یک آسیب پذیری می باشد و ورودی ها تجزیه و تحلیل تاثیر ماموریت و ارزیابی حساسیت سرمایه و اهمیت و حساسیت داده ها می باشد و خروجی این گام تعیین میزان اثر می باشد .

گام هفتم : تعیین سطح ریسک می باشد و ورودی ها احتمال بهره گیری تهدید از یک آسیب پذیری ، میزان اهمیت تاثیر و کفایت کنترل های فعلی و طراحی شده می باشد و می توان جدول درجه بندی ریسک و یک ماتریس تعیین سطح ریسک را تشکیل داد .

گام هشتم : در این مرحله کنترل های لازم و مناسب فراهم شده و راه حل های جایگزین برای کاهش ریسک پیدا می شود

گام نهم : گزارش ارزیابی ریسک که تهدیدات و آسیب پذیری ها را شرح داده و ریسک را اندازه گیری نموده و توصیه هایی برای اجرای کنترل ها ارائه می دهد .

نوشته شده در تاریخ جمعه 25 فروردین 1391    | توسط: محمد خلیفه پور    | طبقه بندی: مطالب مدیریتی و جالب،     | نظرات()

فرآیند کاهش ریسک

کاهش ریسک یکی از فرایند های مدیریت ریسک می باشد و با این دلیل که در اکثر مواقع حذف ریسک معمولا غیر عملی یا تقریبا غیر ممکن است ، این وظیفه ی مدیریت ارشد و مدیران اجرایی و عملیاتی می باشد که از روشهای کم هزینه در اجرای کنترل های مناسب و ایده آل برای کتهش ریسک استفاده نمایند تا ریسک به سطح قابل قبول با حداقل تاثیر مغایر بر روی منابع و ماموریت سازمان برسد . کاهش ریسک یک روش سیستماتیک می باشد و برای کاهش ریسک می بایست از میان گزینه های زیر یکی را انتخاب نمود :

1 – قبول کردن ریسک : برای قبول کردن ریسک بالقوه و ادامه عملکرد سیستم یا اعمال کنترل ها برای پایین بردن ریسک تا سطح قابل قبول

2 – پرهیز از ریسک : اجتناب از ریسک توسط حذف علت ریسک و یا نتیجه آن

3 – محدودسازی ریسک : محدود کردن ریسک با اجرای کنترل ها که اثر تهدید محتمل از یک آسیب پذیری را حداقل می نماید

4 – برنامه ریزی برای ریسک : مدیریت ریسک با فراهم نمودن برنامه کاهش ریسک که کنترل ها را الویت بندی و اجرا و نگهداری می نماید

5 – جستجو و اعلام : پایین آوردن خسارات ریسک توسط اعلام آسیب پذیری یا نقص و جستجو برای کنترل ها به منظور بر طرف کردن آسیب پذیری

6 – انتقال ریسک : انتقال ریسک توسط استفاده از گزینه های دیگر در جهت جبران خسارات مانند بیمه کردن

توجه به این نکته ضروری می باشد که انتخاب گزینه مناسب باید با در نظر گرفتن اهداف و ماموریت سازمان باشد .  

نوشته شده در تاریخ جمعه 25 فروردین 1391    | توسط: محمد خلیفه پور    | طبقه بندی: مطالب مدیریتی و جالب،     | نظرات()