مدیریت ریسک چیست و ارزیابی ریسک چیست
چکیده
بررسی عوامل و تشخیص نقاط حادثه خیز و خطرآفرین در واحدهای اطلاعاتی سازمانها به منظور پیشگیری از بروز حوادث از اهمیت ویژه ای برخوردار است. ریسک در پروژه رویدادها یا وضعیتهای ممکن الوقوعی هستند که در صورت وقوع، بصورت پیامدهای منفی یا مثبت بر اهداف پروژه مؤثر می باشد. هر یک از این رویدادها یا وضعیتها، دارای علل مشخص و نتایج و پیامدهای قابل تشخیص هستند. پیامدهای این رویدادها مستقیماً در زمان، هزینه و کیفیت پروژه مؤثر می باشد. بنابراین شناسایی ریسک و تعیین میزان پیامدهای مثبت و منفی آن بر اهداف پروژه از اهمیت خاصی برخوردار است.
مقدمه
امروزه شرکتها مواجه با افزایش پیچیدگی و عدم قطعیتی هستند که مدیریت ریسکهای تخصصی و کسب و کار را مشکل تر می نماید. تلورانسهای شکست در مدیریت ریسک از سوی جامعه و سهامداران کاهش یافته اند. قوانین و مقررات نیز به نوبه خود الزامات سخت گیرانه تری را مطرح می نمایند. شکست در مدیریت این ریسکها میتواند مهلک باشد؛ حفظ یکپارچگی و کنترل روز به روز بحرانی تر می گردد. پس چرامی بایست به ریسک توجه کنیم .همه برنامهها کاملاً مساوی نیستند دو برنامه باROI مشابه، هزینههای مشابه و مباحث مشابه ممکن است از نظر ویژگی ریسک با هم متفاوت باشند.ارزیابی ریسک این اجازه را به شما می دهد که تفاوت بین برنامهها را مد نظر بگیرید.
فرآیند Risk Assessment یا ارزیابی ریسک اولین فاز از مجموعه فعالیتهای مدیریت ریسک است. این فرآیند حیاتی جایگاه ویژه ای در سیستم مدیریت امنیت اطلاعات (ISMS) دارد. در واقع تست نفوذ پذیری ((Penetration Testingg) که از فعالیتهای مهم نفوذ گران است، جزیی از فرآیند ارزیابی ریسک به شمار میآید.
ارزیابی ریسک برای پاسخ به سوالات زیر انجام میشود: -اگر یک ریسک خاص اتفاق بیافتد چقدر آسیب در پی خواهد داشت؟ – احتمال وقوع هر ریسک چقدر است؟ – کنترل هر ریسک چقدر هزینه دارد، آیا مقرون به صرفه است یا نه؟
مهمترین فایده ارزیابی ریسک، کمک به تصمیم گیری صحیح برای انتخاب راه حلهای امنیتی است. طبعا مدیران وقت و حوصله ورود به جزئیات فوق را ندارند، لذا خروجی ارائه شده به آنها توسط ما که معمولاً مسئول انجام ارزیابی هستیم اعداد و ارقام و نمودارهاییست که به تصمیم گیری آنها کمک میکند. ارزیابی ریسک میتواند لزوم هزینه کردن برای امنیت را به تصمیم گیران سازمان اثبات کند. نتایج ارزیابی ریسک به جهت گیری صحیح در انتخاب راه حلها (که همانا دفع تهدیدهای اصلی است) کمک میکند، همچنین میتواند در تولید و اصلاح خط مشیهای امنیت سازمان (Security Policy) استفاده شود