ارزیابی ریسک

access_time2019/03/05
perm_identity ارسال شده توسط
folder_open مدل های موثر در تصمیم گیری
visibility 881 بازدید

ارزیابی ریسک کیفی یک روش منطقی برای تعیین اندازه کمّی و کیفی خطرات و بررسی پیامدهای بالقوه ناشی از حوادث احتمالی بر روی افراد، مواد، تجهیزات و محیط است. در حقیقت از این طریق میزان کارآمدی روش‌های کنترلی موجود مشخص شده و داده‌های باارزشی برای تصمیم‌گیری در زمینه کاهش ریسک، خطرات، بهسازی سیستم‌های کنترلی و برنامه‌ریزی برای واکنش به آن‌ها فراهم می‌شود.

ارزیابی ریسک کمّی نیازمند محاسبه دو مؤلفه ریسک یعنی شدت پیامدِ رخداد و احتمالِ روی دادن آن رخداد می‌باشد. برای بدست آوردن وزن احتمال یا وزن شدت پیامد سه نوع راهکار وجود دارد

  • روش‌های عددی (به انگلیسی: Quantitative) که نتیجه در نهایت به یک عدد منتهی می‌شود
  • روش‌های کیفی (به انگلیسی: Qualitative) که نتیجه حاکی از کیفیت خاصی در زمینه ریسک خواهد بود.
  • روش‌های نیمه‌کمی (به انگلیسی: Semi-Quantitative) که در بیشتر این روش‌ها از ماتریس ریسک استفاده می‌شود.

ارزیابی ریسک، فرایندی است که نیازمند تجربه، تخصص و دقت بالا بوده و می‌بایست در قالب کارتیمی و با بهره‌گیری از توان مسئولین و کارشناسان انجام پذیرد. این فعالیت تیمی نیز زمانی به نتیجه دلخواه دست خواهد یافت که تیم ارزیاب، علاوه بر برخورداری از تجربه و تخصص لازم، از زبان مشترکی نیز در درک مفاهیم و روش‌های مورد استفاده برخوردار باشند.

برآورد میزان ریسک

افراد مختلف از یک ریسک مشخص، برداشت‌هایی گوناگون دارند. برآورد میزان ریسک از سوی افراد غیرعلمی با نتایج آماری و معادلات ریاضی ریسک همخوانی ندارد. مفهوم ریسک دو جنبه گوناگون را در بر می‌گیرد

  • برداشت افراد غیرعلمی از میزان ریسک که به آن ریسک ذهنی(یا درکی) می‌گویند.
  • برآورد علمی بر پایه اطلاعات آماری از میزان ریسک، که به آن ریسک واقعی می‌گویند.

ریسک ذهنی ممکن است بیشتر یا کمتر از ریسک واقعی باشد. ارزیابی ریسک ممکن است آگاهانه یا ناآگاهانه صورت گیرد. در این بین عواملی وجود دارند که بر قضاوت ناصحیح افراد مؤثر هستند و برای اصلاح سطح ریسک پذیری، لازم است این عوامل شناخته شوند.

تعاریف

خطر: شرایطی که بطور بالقوه امکان دارد سبب ایجاد یک واقعه ناگوار (از قبیل دسترسی غیر مجاز، دستکاری، افشاء یا خرابکاری) بر روی دارایی‌های اطلاعاتی موجود در سازمان گردد.

آسیب‌پذیری: ضعف موجود در یک سیستم، برنامه کاربردی، زیرساختار، کنترل یا طراحی است که می‌تواند در جهت مختل کردن تمامیت سیستم‌های موجود و روالهای کاری و سازمانی و مأموریت‌ها و فعالیت‌های سازمان، از سوی خطر مورد استفاده و بهره‌برداری قرار گیرد.

ریسک: احتمال اینکه یک خطر مشخص بتواند از یک آسیب‌پذیری (نقطه ضعف) خاص موجود در سیستم‌های سازمان استفاده نماید.

ارزیابی ریسک: مراحل مورد نیاز برای شناسایی حوزه و دارایی‌های موجود در آن، تهدیدهای موجود علیه دارایی‌ها، اولویت بندی نقاط ضعف مربوط به تهدیدها و مشخص نمودن سطح ریسک‌ها و کنترلهای مناسب را گویند.

روش اجرا

نخستین گام اجرای فرایند ارزیابی ریسک، شناسایی تمامی دارایی‌های اطلاعاتی موجود در حوزه مورد بررسی است تا پس از آن بتوان ریسک‌های متوجه هر یک از آن‌ها را بطور کامل مشخص نمود. دارایی‌ها به چهار دسته دارایی‌های اطلاعاتی، نرم‌افزاری، سخت‌افزاری و انسانی تقسیم شده و برای هر یک، نمونه‌هایی ذکر شده‌است.

۱- دسته بندی دارایی ها

سرمایه عبارتست از دارایی فیزیکی یا اطلاعاتی که برای سازمان دارای ارزش و اهمیت بوده و باید بطور خاص مورد محافظت قرار گیرد.

الف- دارایی‌های سخت‌افزاری

شامل سرورها، کامپیوترهای شخصی، انواع CD، فلاپی، پرینتر، اسکنر، نوت بوک، Flash memory، درایورهای قابل حمل، اجزاء شبکه ارتباطی از قبیل روترها، مودم، سوئیچ، ...

ب- داراییهای نرم‌افزاری

- نرم‌افزارهایی که در داخل سازمان تولید شده و در راستای مأموریت و فعالیت‌های سازمان مورد استفاده قرار می‌گیرند. - نرم‌افزارهایی که در خارج از سازمان تهیه شده و در راستای مأموریت و فعالیت‌های سازمان مورد استفاده قرار می‌گیرند مانند سیستم‌های اتوماسیون اداری، نرم‌افزارهای مالی، انبارداری و .... - نرم‌افزارهای معمول وموجود در بازار که برای انجام امور عادی و روزمره مورد استفاده قرار می‌گیرند مانند نرم‌افزارهای تایپ و صفحه گسترده، نقشه کشی و ... . - سایر موارد.

ج- سرمایه‌های اطلاعاتی

شامل هر نوع اطلاعات (چه فیزیکی از قبیل کاغذ و نامه و ...) و چه غیر فیزیکی (داده‌ها) که برای سازمان دارای ارزش باشند. - اطلاعات کاری و سازمانی از قبیل سوابق پروژه‌ها و فعالیت‌های انجام شده، مأموریت و گزارش‌ها سازمانی موجود، روندها و طرحهای سازمانی و ... - اطلاعات پرسنلی از قبیل اطلاعات حقوقی، اطلاعات شخصی، سوابق کاری و خدمتی، شماره حسابهای بانکی و ... - اطلاعات امنیتی از قبیل کلمات عبور، اطلاعات مربوط به رمزنگاری و احراز صلاحیت و احراز هویت کاربران و ... - بانکهای اطلاعاتی موجود بر روی سرورها، فایلهای اطلاعاتی ذخیره شده بر روی سرورها یا کامپیوترهای کاربران - سایر موارد.

د- سرمایه‌های انسانی

سرمایه‌های انسانی شامل تمامی کارکنانی می‌شود که در سازمان مشغول بکار بوده و در صورت از دست دادن آنها، به روند اجرایی سازمان و روالهای کاری و سازمانی لطمه وارد خواهد شد. نظیر: - مدیران ارشد قسمت‌های مختلف سازمان و جانشینان و معاونین آنها - رؤسای بخش‌ها و دوایر - پرسنل متخصص و با سابقه - مدیران و کارشناسان بخش IT و امنیت اطلاعات - پرسنل متخصص و تکنیکی موجود در دوایر و بخش‌ها - سایر موارد.

پس از تعیین و شناسایی دارایی‌ها، تیم ارزیابی اقدام به شناسایی ریسک‌های مربوط به هر یک از دارایی‌ها می‌نماید. همانطور که از تعریف ارائه شده برای ریسک استنباط می‌شود، هر ریسک از سه عنصر یا جزء تشکیل شده‌است. لذا تعریف ریسک به معنی تعیین دقیق این سه عنصر است. این سه عنصر عبارتند از عامل تهدید، سرمایه و اثر تهدید. بعبارت دیگر:

ریسک = عامل تهدید + سرمایه + اثر تهدید

همانگونه که از رابطه فوق بر می‌آید، با تغییر هر یک از اجزاء موجود در طرف چپ تساوی فوق، ریسک جدیدی حاصل می‌شود. در نتیجه در اغلب موارد امکان دارد که برای یک دارایی مشخص، چندین ریسک مختلف را با توجه به نوع عامل تهدید و انواع اثرات آن، بتوان شناسایی نمود. در اینصورت، برای هر مورد، یک شناسنامه ریسک بطور مجزا تهیه خواهد شد. در ادامه به مشخص کردن انواع عوامل تهدید قابل اعمال بر روی دارایی‌های اطلاعاتی، و نیز اثرات ناشی از آن‌ها می‌پردازیم.

اکانت شما رایگان است ، در صورت تمایل برای دسترسی به ادامه این محتوا و عضویت در باشگاه مشتریان اکانت خود را ویژه نمایید . برای ارتقا اکانت کلیک کنید

درباره فریبرز دخانیان

حرفه ای فکر کنید ، حرفه ای تیم سازی کنید ، حرفه ای کسب سود کنید

دیدگاهتان را بنویسید

18 − پنج =