ایزو 27005: مدیریت ریسک و ارتباط آن با ایزو 27001

شما می خواهید که سازمان شما دارای فرآیندهای امنیتی اطلاعات قوی برای محافظت از دارایی های اطلاعاتی و مالکیت معنوی شما باشد. و ما با شما به اشتراک خواهیم گذاشت که چگونه ایزو 27005 می تواند به شما در رسیدن به آن کمک کند.

هنجار بین المللی می تواند به سازمان شما کمک کند تا ارزیابی دقیق تری ریسک امنیت اطلاعات را انجام دهد که بر اساس آن می توانید سیستم مدیریت امنیت اطلاعات خود (ISMS) را بهبود بخشید.

پیروی از استاندارد ایزو 27005 همچنین می تواند به سازمان شما کمک کند تا گواهینامه ISO 27001 را دریافت کند – اما در ادامه بیشتر در مورد آن صحبت خواهیم کرد.

ایزو 27005 چیست؟

ایزو 27005 یک استاندارد بین المللی از سازمان بین المللی استاندارد (ISO) است. کمیسیون بین المللی الکتروتکنیکی (IEC) به توسعه آن کمک کرد. عنوان رسمی آن فناوری اطلاعات-تکنیک های امنیتی-مدیریت ریسک امنیت اطلاعات است.

جدیدترین نسخه ایزو 27005 مربوط به سال 2018 است. ایزو 27005 نحوه انجام ارزیابی ریسک امنیت اطلاعات را نشان می دهد. ارزیابی مطابق با ISO 27001 است.

سازمان ها در هر اندازه و در هر بخش می توانند از ایزو 27005 پیروی کنند. به همین دلیل، استاندارد ایزو 27005 مسیر دقیقی را برای انطباق تعیین نمی کند.

در عوض، شیوه های توصیه شده را پیشنهاد می کند. این شیوه ها با یک سیستم مدیریت امنیت اطلاعات معمولی (ISMS) سازگار هستند.

ایزو 27005 دستورالعمل هایی را برای رویه هایی که برای ISMS ضروری هستند ارائه می کند. این روش ها شامل شناسایی، ارزیابی، ارزیابی و درمان آسیب پذیری های امنیت اطلاعات است. پیروی از ایزو 27005 به سازمان ها کمک می کند تا کنترل های امنیتی و سایر اقدامات را بهتر انجام دهند.

این استاندارد چارچوبی را برای مدیریت ریسک امنیت اطلاعات ارائه می دهد. این شامل برنامه ریزی، اجرا، مدیریت، نظارت و مدیریت یک برنامه مدیریت ریسک است.

مدیریت ریسک امنیت اطلاعات و ISO 27005

مدیریت ریسک امنیت اطلاعات، شناسایی و کاهش خطرات مرتبط با فناوری اطلاعات است. این یک فرآیند مستمر است که شامل:

شناسایی و ارزیابی ریسک
درک احتمال خطر و پیامدهای آن
ایجاد یک ترتیب رتبه بندی شده برای درمان خطر
مشارکت دادن ذینفعان در تصمیمات مدیریت ریسک
نظارت بر اثربخشی کاهش خطر
آموزش ذینفعان در مورد خطرات و اقدامات کاهشی

ریسک ها می توانند به طور بالقوه بر محرمانگی، شهرت و در دسترس بودن دارایی سازمان تأثیر بگذارند.

مدیریت ریسک امنیت اطلاعات تمام خطرات را متوقف نخواهد کرد. این به سازمان ها کمک می کند تا سطح مناسبی از ریسک را تعریف و حفظ کنند. سازمان ها باید ریسک را در راستای تحمل ریسک خود مدیریت کنند.

ISO 27005 بهترین شیوه ها را برای مدیریت ریسک امنیت اطلاعات تعریف می کند. فرآیندهای منسجم را در چارچوبی وسیع‌تر تعریف می‌کند. پیاده‌سازی این فرآیندها به سازمان‌ها کمک می‌کند تا ریسک‌ها را با اطمینان‌تر و مؤثرتر مدیریت کنند.

چگونه ISO 27005 با ISO 27001 هماهنگ می شود؟

سری ISO 27000 مجموعه ای از استانداردها است که به امنیت اطلاعات می پردازد. ISO 27005 به سازمان ها کمک می کند تا ISO 27001 را دنبال کنند. به همین دلیل است که حتی اگر ایزو 27005 به خوبی شناخته شده نیست، ممکن است بسیاری از شرکت ها قبلاً آن را با پیروی از ISO 27001 پیاده سازی کرده باشند.

مروری بر استاندارد ISO 27001

ISO 27001 استاندارد بین المللی پیشرو برای امنیت اطلاعات است. این سازمان ها را در حفاظت از اطلاعات خود به روشی سیستماتیک و مقرون به صرفه راهنمایی می کند. اتخاذ یک سیستم مدیریت امنیت اطلاعات را ترویج می کند.

صدور گواهینامه ISO 27001 سازمان را ملزم به اثبات جنبه های مدیریت ریسک از جمله:

شواهدی از مدیریت ریسک امنیت اطلاعات
اقدامات ریسک انجام شده
اعمال کنترل های مربوطه از پیوست A

ضمیمه A شامل اهداف و کنترل های کنترل مرجع است. کنترل ها به سازمان کمک می کند تا ISMS خود را ساختار دهد و الزامات ISO 27001 را برآورده کند.

ISO 27005 و ISO 27001

ارزیابی ریسک یکی از مهم‌ترین بخش‌های انطباق با ISO 27001 است. و ایزو 27005 راهنمایی برای شناسایی، ارزیابی، ارزیابی و درمان آسیب‌پذیری‌های امنیت اطلاعات می‌دهد. این رویه ها برای سیستم مدیریت امنیت اطلاعات ISO 27001 کلیدی هستند.

ISO 27001 ایجاب می کند که کنترل های اعمال شده به عنوان بخشی از ISMS مبتنی بر ریسک باشد. اجرای طرح مدیریت ریسک امنیت اطلاعات ایزو 27005 این قانون را برآورده می کند.

فرآیندهای مدیریت ریسک ISO 27005

ایزو 27005 روش مدیریت ریسک خاصی را مشخص نمی کند. این یک فرآیند مستمر مبتنی بر هفت جزء را ترویج می کند. این مراحل در کاربردشان تا حدودی همپوشانی دارند.

هر مرحله اصلی از فرآیند دارای چهار مرحله است:

ورودی، که اطلاعات لازم برای انجام یک فعالیت را پوشش می دهد
Action که فعالیت را تعریف می کند
راهنمای پیاده سازی، که جزئیات بیشتری را ارائه می دهد
خروجی، که توضیح می دهد که فعالیت باید چه اطلاعاتی تولید می کرد

این ساختار اطلاعات مناسبی را برای شروع هر فعالیت مدیریت ریسک فراهم می کند.

ایجاد زمینه

اولین قدم برای مدیریت ریسک با ایزو 27005 ایجاد زمینه است. این مرحله باید معیارهای ارزیابی ریسک و معیارهای پذیرش ریسک را تعریف کند. ایزو 27005 معیارهایی را برای تعریف زمینه با توجه به عواملی مانند:

شناسایی خطرات
تعیین اینکه چه کسی مالکیت ریسک را مدیریت می کند
تعیین اینکه چگونه خطرات بر محرمانگی، یکپارچگی و در دسترس بودن اطلاعات تأثیر می گذارد
محاسبه احتمال و اثرات خطرات

ایجاد زمینه برای ارزیابی ریسک مهم است. این کمک می کند تا اطمینان حاصل شود که کل سازمان ارزیابی ها را به روشی مشابه انجام می دهد.

روش برآورد ریسک

تعریف فرآیندهای مدیریت ریسک شامل تصمیم گیری برای استفاده از نوع ارزیابی است. ارزیابی کمی یا کیفی امکان پذیر است.

اندازه‌گیری کمی ضرر تکیه بر داده‌های تاریخی را دارد. مدیریت ریسک های جدید هدف مهم تری برای مدیریت ریسک است.

اندازه گیری کیفی ذاتاً نوعی تخمین است. اگرچه می تواند در محدوده های تعریف شده دقیق باشد. به عنوان مثال، عباراتی مانند “زیاد” یا “کم” برای اندازه گیری پیامدهای ریسک بسیار مبهم هستند. یک مقیاس کیفی مفیدتر برای تأثیرات ریسک ممکن است شامل دسته‌هایی مانند موارد زیر باشد:

نابودی کل دارایی
از دست دادن بیشتر یک دارایی
از دست دادن مقداری از دارایی
ضرر جزئی

این نوع اندازه گیری فرآیند مبتنی بر شواهد و دقیق تر را ایجاد می کند.

ارزیابی ریسک

فرآیند ارزیابی ریسک شامل شناسایی، برآورد و ارزیابی ریسک است. بسیاری از سازمان ها از فرآیند ارزیابی ریسک مبتنی بر دارایی استفاده می کنند.

شناسایی ریسک شامل:

موجودی دارایی های اطلاعاتی
شناسایی تهدیدها و آسیب پذیری هایی که می تواند بر هر دارایی تأثیر بگذارد
پیامدهای آن خطرات برای سازمان

علاوه بر این، برآورد ریسک احتمال خطرات و اثرات آنها را ارزیابی می کند. سپس سطح ریسک را با معیارهای پذیرش ریسک مقایسه می کند. مرحله ایجاد زمینه، معیارهای پذیرش ریسک را تعریف کرد. سپس ارزیاب ریسک می تواند لیست ریسک ها را اولویت بندی کند تا ابتدا جدی ترین خطرات را برطرف کند.

درمان خطر

درمان ریسک شامل تصمیم گیری در مورد استراتژی مناسب کاهش ریسک است. چهار پاسخ به ریسک ممکن است:

با حذف آن از خطر جلوگیری کنید
با استفاده از کنترل های امنیتی خطر را کاهش دهید
انتقال ریسک از طریق بیمه یا برون سپاری به شخص ثالث
ریسک را تحمل کنید و هیچ اقدامی نکنید

تحمل ریسک بهترین گزینه زمانی است که هزینه های درمان خطر بیشتر از منافع باشد. این اغلب زمانی اتفاق می افتد که احتمال وقوع خطر بسیار کم باشد.

پذیرش ریسک

هرگز نمی توان سازمان خود را 100% در برابر هرگونه تهدیدی برای امنیت اطلاعات ایمن کرد. هدف این است که میزان تحمل ریسک فردی خود را با اقداماتی که در راستای امنیت اطلاعات انجام می دهید هماهنگ کنید. تعیین معیارهای خود برای پذیرش ریسک باید عواملی مانند موارد زیر را در نظر بگیرد:

استراتژی های فعلی
اولویت های کسب و کار
اهداف و مقاصد
منافع ذینفعان

سپس مدیریت ارشد باید ارزیابی ریسک و طرح درمان ایزو 27005 را تأیید کند.

مستندسازی کار تا این مرحله بسیار مهم است. این به حسابرسان اجازه می دهد تا روش های شناسایی، ارزیابی و کاهش ریسک را ببینند. به عنوان مرجعی برای استفاده در آینده عمل می کند.

مستندسازی فرآیند ایزو 27005 می تواند ارتباط با ذینفعان را اطلاع دهد.

ارتباط و مشاوره ریسک

ارتباط موثر در مورد فرآیند مدیریت ریسک امنیت اطلاعات بسیار مهم است. افرادی که این طرح را اجرا می کنند باید بدانند که چرا مفاد آن ضروری است. تصمیم گیرندگان و سایر ذینفعان می توانند راحت تر در مورد نحوه مدیریت ریسک به توافق برسند.

ارتباطات در مورد مدیریت ریسک باید مداوم باشد. سازمان ها برای مواقع اضطراری و همچنین عملیات عادی به یک برنامه ارتباطی نیاز دارند.

نظارت و بررسی ریسک

خطرات می توانند به طور ناگهانی و بدون هشدار تغییر کنند. نظارت مستمر ضروری است.

نظارت به سازمان کمک می کند تا تغییرات را سریع تشخیص دهد. سازمان می تواند در صورت نیاز طرح درمان ریسک را به روز کند. نظارت باید شامل عواملی مانند موارد زیر باشد:

دارایی های جدید
تغییرات در ارزش دارایی ها
تهدیدات داخلی یا خارجی جدید
حوادث امنیت اطلاعات

نظارت همچنین بررسی می کند که آیا طرح درمان ریسک سازمان به درستی کار می کند یا خیر. مدیریت ریسک امنیت اطلاعات یک فرآیند مداوم است که نیاز به مشارکت فعال دارد.

منافع برای سازمان شما

ایزو 27005 یک استاندارد انعطاف پذیر است و بنابراین می تواند با صنعت، مدل کسب و کار و اندازه شما سازگار شود.
ایزو 27005 به سازمان اجازه می دهد تا رویکرد مدیریت ریسک خود را انتخاب کند. شرایط فردی سازمان این انتخاب را نشان می دهد.
روش ایزو 27005 می تواند به تنهایی بایستد. همچنین می تواند از انطباق با ISO 27001 پشتیبانی کند. با پیروی از ISO 27005، سازمان شما ISMS انعطاف پذیرتری خواهد داشت.
پیروی از ایزو 27005 به تیم های شما کمک می کند تا تخصص و تجربه خود را توسعه دهند. آنها می توانند فرآیند مدیریت ریسک امنیت اطلاعات موثرتری ایجاد کنند. این نشان می دهد که می توانید خطرات را اولویت بندی کنید. شما فعالانه برای کاهش اثرات آنها کار می کنید.
مطابقت با ایزو 27005 به سازمان مزیت رقابتی می دهد. به مشتریان نشان می دهد که شما در مورد امنیت اطلاعات جدی هستید. مشتریان می توانند مطمئن تر باشند که داده های آنها نزد شما امن است.