ارزیابی ریسک

ارزیابی ریسک کیفی یک روش منطقی برای تعیین اندازه کمّی و کیفی خطرات و بررسی پیامدهای بالقوه ناشی از حوادث احتمالی بر روی افراد، مواد، تجهیزات و محیط است. در حقیقت از این طریق میزان کارآمدی روشهای کنترلی موجود مشخص شده و دادههای باارزشی برای تصمیمگیری در زمینه کاهش ریسک، خطرات، بهسازی سیستمهای کنترلی و برنامهریزی برای واکنش به آنها فراهم میشود.
ارزیابی ریسک کمّی نیازمند محاسبه دو مؤلفه ریسک یعنی شدت پیامدِ رخداد و احتمالِ روی دادن آن رخداد میباشد. برای بدست آوردن وزن احتمال یا وزن شدت پیامد سه نوع راهکار وجود دارد
- روشهای عددی (به انگلیسی: Quantitative) که نتیجه در نهایت به یک عدد منتهی میشود
- روشهای کیفی (به انگلیسی: Qualitative) که نتیجه حاکی از کیفیت خاصی در زمینه ریسک خواهد بود.
- روشهای نیمهکمی (به انگلیسی: Semi-Quantitative) که در بیشتر این روشها از ماتریس ریسک استفاده میشود.
ارزیابی ریسک، فرایندی است که نیازمند تجربه، تخصص و دقت بالا بوده و میبایست در قالب کارتیمی و با بهرهگیری از توان مسئولین و کارشناسان انجام پذیرد. این فعالیت تیمی نیز زمانی به نتیجه دلخواه دست خواهد یافت که تیم ارزیاب، علاوه بر برخورداری از تجربه و تخصص لازم، از زبان مشترکی نیز در درک مفاهیم و روشهای مورد استفاده برخوردار باشند.
برآورد میزان ریسک
افراد مختلف از یک ریسک مشخص، برداشتهایی گوناگون دارند. برآورد میزان ریسک از سوی افراد غیرعلمی با نتایج آماری و معادلات ریاضی ریسک همخوانی ندارد. مفهوم ریسک دو جنبه گوناگون را در بر میگیرد
- برداشت افراد غیرعلمی از میزان ریسک که به آن ریسک ذهنی(یا درکی) میگویند.
- برآورد علمی بر پایه اطلاعات آماری از میزان ریسک، که به آن ریسک واقعی میگویند.
ریسک ذهنی ممکن است بیشتر یا کمتر از ریسک واقعی باشد. ارزیابی ریسک ممکن است آگاهانه یا ناآگاهانه صورت گیرد. در این بین عواملی وجود دارند که بر قضاوت ناصحیح افراد مؤثر هستند و برای اصلاح سطح ریسک پذیری، لازم است این عوامل شناخته شوند.
تعاریف
خطر: شرایطی که بطور بالقوه امکان دارد سبب ایجاد یک واقعه ناگوار (از قبیل دسترسی غیر مجاز، دستکاری، افشاء یا خرابکاری) بر روی داراییهای اطلاعاتی موجود در سازمان گردد.
آسیبپذیری: ضعف موجود در یک سیستم، برنامه کاربردی، زیرساختار، کنترل یا طراحی است که میتواند در جهت مختل کردن تمامیت سیستمهای موجود و روالهای کاری و سازمانی و مأموریتها و فعالیتهای سازمان، از سوی خطر مورد استفاده و بهرهبرداری قرار گیرد.
ریسک: احتمال اینکه یک خطر مشخص بتواند از یک آسیبپذیری (نقطه ضعف) خاص موجود در سیستمهای سازمان استفاده نماید.
ارزیابی ریسک: مراحل مورد نیاز برای شناسایی حوزه و داراییهای موجود در آن، تهدیدهای موجود علیه داراییها، اولویت بندی نقاط ضعف مربوط به تهدیدها و مشخص نمودن سطح ریسکها و کنترلهای مناسب را گویند.
روش اجرا
نخستین گام اجرای فرایند ارزیابی ریسک، شناسایی تمامی داراییهای اطلاعاتی موجود در حوزه مورد بررسی است تا پس از آن بتوان ریسکهای متوجه هر یک از آنها را بطور کامل مشخص نمود. داراییها به چهار دسته داراییهای اطلاعاتی، نرمافزاری، سختافزاری و انسانی تقسیم شده و برای هر یک، نمونههایی ذکر شدهاست.
۱- دسته بندی دارایی ها
سرمایه عبارتست از دارایی فیزیکی یا اطلاعاتی که برای سازمان دارای ارزش و اهمیت بوده و باید بطور خاص مورد محافظت قرار گیرد.
الف- داراییهای سختافزاری
شامل سرورها، کامپیوترهای شخصی، انواع CD، فلاپی، پرینتر، اسکنر، نوت بوک، Flash memory، درایورهای قابل حمل، اجزاء شبکه ارتباطی از قبیل روترها، مودم، سوئیچ، ...
ب- داراییهای نرمافزاری
- نرمافزارهایی که در داخل سازمان تولید شده و در راستای مأموریت و فعالیتهای سازمان مورد استفاده قرار میگیرند. - نرمافزارهایی که در خارج از سازمان تهیه شده و در راستای مأموریت و فعالیتهای سازمان مورد استفاده قرار میگیرند مانند سیستمهای اتوماسیون اداری، نرمافزارهای مالی، انبارداری و .... - نرمافزارهای معمول وموجود در بازار که برای انجام امور عادی و روزمره مورد استفاده قرار میگیرند مانند نرمافزارهای تایپ و صفحه گسترده، نقشه کشی و ... . - سایر موارد.
ج- سرمایههای اطلاعاتی
شامل هر نوع اطلاعات (چه فیزیکی از قبیل کاغذ و نامه و ...) و چه غیر فیزیکی (دادهها) که برای سازمان دارای ارزش باشند. - اطلاعات کاری و سازمانی از قبیل سوابق پروژهها و فعالیتهای انجام شده، مأموریت و گزارشها سازمانی موجود، روندها و طرحهای سازمانی و ... - اطلاعات پرسنلی از قبیل اطلاعات حقوقی، اطلاعات شخصی، سوابق کاری و خدمتی، شماره حسابهای بانکی و ... - اطلاعات امنیتی از قبیل کلمات عبور، اطلاعات مربوط به رمزنگاری و احراز صلاحیت و احراز هویت کاربران و ... - بانکهای اطلاعاتی موجود بر روی سرورها، فایلهای اطلاعاتی ذخیره شده بر روی سرورها یا کامپیوترهای کاربران - سایر موارد.
د- سرمایههای انسانی
سرمایههای انسانی شامل تمامی کارکنانی میشود که در سازمان مشغول بکار بوده و در صورت از دست دادن آنها، به روند اجرایی سازمان و روالهای کاری و سازمانی لطمه وارد خواهد شد. نظیر: - مدیران ارشد قسمتهای مختلف سازمان و جانشینان و معاونین آنها - رؤسای بخشها و دوایر - پرسنل متخصص و با سابقه - مدیران و کارشناسان بخش IT و امنیت اطلاعات - پرسنل متخصص و تکنیکی موجود در دوایر و بخشها - سایر موارد.
پس از تعیین و شناسایی داراییها، تیم ارزیابی اقدام به شناسایی ریسکهای مربوط به هر یک از داراییها مینماید. همانطور که از تعریف ارائه شده برای ریسک استنباط میشود، هر ریسک از سه عنصر یا جزء تشکیل شدهاست. لذا تعریف ریسک به معنی تعیین دقیق این سه عنصر است. این سه عنصر عبارتند از عامل تهدید، سرمایه و اثر تهدید. بعبارت دیگر:
ریسک = عامل تهدید + سرمایه + اثر تهدید
همانگونه که از رابطه فوق بر میآید، با تغییر هر یک از اجزاء موجود در طرف چپ تساوی فوق، ریسک جدیدی حاصل میشود. در نتیجه در اغلب موارد امکان دارد که برای یک دارایی مشخص، چندین ریسک مختلف را با توجه به نوع عامل تهدید و انواع اثرات آن، بتوان شناسایی نمود. در اینصورت، برای هر مورد، یک شناسنامه ریسک بطور مجزا تهیه خواهد شد. در ادامه به مشخص کردن انواع عوامل تهدید قابل اعمال بر روی داراییهای اطلاعاتی، و نیز اثرات ناشی از آنها میپردازیم.
اکانت شما رایگان است ، در صورت تمایل برای دسترسی به ادامه این محتوا و عضویت در باشگاه مشتریان اکانت خود را ویژه نمایید . برای ارتقا اکانت کلیک کنید
درباره فریبرز دخانیان
حرفه ای فکر کنید ، حرفه ای تیم سازی کنید ، حرفه ای کسب سود کنید
نوشته های بیشتر از فریبرز دخانیان
دیدگاهتان را بنویسید