تعاریف مختلفی از ریسک بیان می شود و بطور کلی می توان ریسک را یک تابع احتمالی یک ضعف بالقوه خاص از یک منبع تهدیدی مشخص و نیز تاثیر نتیجه ی رویدادهای مغایر در سازمان دانست . ارزیابی ریسک اولین دستور العمل و یکی از مهم ترین فرآیند های مدیریت ریسک می باشد و ارزیابی ریسک به منظور مشخص نمودن خطرات احتمالی و ریسک های مرتبط می باشد و خروجی این فرایند به تشخیص دستگاه های کنترلی مناسب جهت کاستن یا حذف ریسک می باشد .نه گام برای این فرایند در نظر گرفته شده است که در هر گام ورودی و خروجی داریم که در ادامه این نه گام را بیان می نماییم :

گام اول : تعیین مشخصات سیستم قدم اول می باشد که ورودی ما در این مرحله داده هایی چون سخت افزار ، نرم افزار ، تعاملات سیستم ، داده ها و اطلاعات ، افراد و ماموریت سیستم می باشد که بطور کلی می توان ورودی را در محیط اطراف جستجو نمود . نتیجه یا خروجی این گام تعیین و مشخص نمودن مرز سیستم ، ماموریت و عملکرد سیستم ، اهمیت سیستم و داده ها و حساسیت سیستم و داده ها می باشد .

گام دوم : شناسایی تهدیدات می باشد که هدف از این گام شناسایی منابع تهدید و یا تهدیدات بالقوه می باشد . منابع تهدید می توانند طبیعی ، انسانی و محیطی باشند و این منبع در سازمان ممکن است تروریست ها و جاسوسان صنعتی و یا حتی افراد خود سازمان ( افراد ناراضی ، بدخواه و متقلب ) باشند .

گام سوم : شناسایی آسیب پذیری ( نقاط ضعف ) ، در این قدم نقاط ضعف را شناسایی می نمایند که در درون خود سازمان است و ورودی ها گزارشات ارزیابی های قبلی ریسک و سایر گزارشات و مدارک و نیازمندی ها میباشد و خوروجی این مرحله لیستی از آسیب پذیری های سیستم می باشد که می تواند توسط منابع تهدیدی بالقوه بکار گرفته شود .

گام چهارم : تجزیه و تحلیل کنترل های انجام گرفته یا طراحی شده جهت اجرا می باشد و همانطور که از تعریف مشخص است ورودی همان کنترلهای فعلی و جاری و تحت طراحی می باشد و خروجی این گام نیز لیستی از کنترل های جاری یا تحت طراحی می باشد که برای حداقل کردن آسیب پذیری ها یا نقاط ضعف بکار برده می شود .

گام پنجم : تعیین سطح و میزان احتمال از اینکه یک نقطه ضعف در داخل ساختار محیطی تهدید مرتبط توانایی صدمه زدن داشته باشد و ورودی ها در این مرحله انگیزه منبع تهدیدی ، قابلیت تهدیدی ، ماهیت آسیب پذیری ، کنترل های احتمالی می باشد و خروجی هم میزان برآورد شده احتمال می باشد .

گام ششم : تجزیه و تحلیل اثر مغایر حاصل شده از استفاده موفقیت آمیز یک تهدید از یک آسیب پذیری می باشد و ورودی ها تجزیه و تحلیل تاثیر ماموریت و ارزیابی حساسیت سرمایه و اهمیت و حساسیت داده ها می باشد و خروجی این گام تعیین میزان اثر می باشد .

گام هفتم : تعیین سطح ریسک می باشد و ورودی ها احتمال بهره گیری تهدید از یک آسیب پذیری ، میزان اهمیت تاثیر و کفایت کنترل های فعلی و طراحی شده می باشد و می توان جدول درجه بندی ریسک و یک ماتریس تعیین سطح ریسک را تشکیل داد .

گام هشتم : در این مرحله کنترل های لازم و مناسب فراهم شده و راه حل های جایگزین برای کاهش ریسک پیدا می شود

گام نهم : گزارش ارزیابی ریسک که تهدیدات و آسیب پذیری ها را شرح داده و ریسک را اندازه گیری نموده و توصیه هایی برای اجرای کنترل ها ارائه می دهد .

نوشته شده در تاریخ جمعه 25 فروردین 1391    | توسط: محمد خلیفه پور    | طبقه بندی: مطالب مدیریتی و جالب،     | نظرات()