مدیریت ریسک در isms

سلام.
[RIGHT]بنده باید درمورد "مدیریت ریسک در isms" تحقیق کنم. اما نمی دونم باید ازکجا شروع کنم. و برای جستجوی اطلاعات و مقالات باید از چه کلیدواژه هایی استفاده کنم. اطلاعات زیادی هم در این مورد ندارم. و دقیقا نمی دونم که مدیریت ریسک چه طور در isms انجام میشه.

امکان داره که راهنمایی بفرمایید و اطلاعاتی در اختیار بنده قرار بدید؟[/RIGHT]
از لطفتون بی نهایت ممنونم.

[QUOTE=meshkatzb;477568]سلام.
[RIGHT]بنده باید درمورد "مدیریت ریسک در isms" تحقیق کنم. اما نمی دونم باید ازکجا شروع کنم. و برای جستجوی اطلاعات و مقالات باید از چه کلیدواژه هایی استفاده کنم. اطلاعات زیادی هم در این مورد ندارم. و دقیقا نمی دونم که مدیریت ریسک چه طور در isms انجام میشه.

امکان داره که راهنمایی بفرمایید و اطلاعاتی در اختیار بنده قرار بدید؟[/RIGHT]
از لطفتون بی نهایت ممنونم.[/QUOTE]

دوست عزیز من به دلیل پروژه ای که به تازگی درگیرش بودم یه مقدار با مبحث مدیریت ریسک آشنا شدم و یه فایل اماده کردم که براتون میفرستم اینجا ولی شما برای آشنا شدن با مبحث مدیریت ریسک بهتره ابتدا مقاله مرتبط با مدیریت ریسک رو مطالعه کنید , درواقع ISMS یک مفهوم خیلی کلی هست که مدیریت ریسک بخشی از اون رو تشکیل میده .

[COLOR="silver"][SIZE=1]- - - ادامه - - -[/SIZE][/COLOR]

مدیریت اطلاعات ریسک ها ، از ضروریات یک کسب و کار می باشد
Information RISK Assessment Methodology (IRAM2)
IRAM2 یک روش است برای پاسخ گویی به چالش های امروزه کسب و کار
IRAM2 به ما کمک می کند ریسک های کسب و کار را ارزیابی و مدیریت کرده و با آنها مقابله کنیم ؛ که این امر از طریق پیشبرد موارد ذیل صورت می گیرد :

[LIST=1][*]تمرکز و پیاده سازی اهداف و رویکردهای ساده و در عین حال کاربردی.[*]تمرکز بر روی چشم انداز کسب و کار . با راهنمایی و استفاده ازاطلاعات متخصصان در مورد ریسک های موجود در کسب وکار؛ از آن جلوگیری کنیم.[*]پوشش دادن کامل ریسک های کسب و کار[*]تمرکز برروی ریسک ها و خطرات قابل توجه در کسب و کار. به صاحبان و سهامداران کسب و کار یک دیدگاه واضح و مشخص از منابع و ریسک های کسب و کارشان بدهید.[*]صحبت به زبان مشترک. با ارايه یک چارچوب و واژگان مشترک ، به مدیران یک کسب و کار، یک دیدگاه واحد از خطرات و ریسک های کسب و کارشان بدهید.[*]تعامل با سهامداران و ذینفعان کلیدی[/LIST]

مدیریت اطلاعات و ریسک ها در 6 مرحله انجام میشود :
[IMG]file:///C:/Users/AMIR~1.ENT/AppData/Local/Temp/msohtmlclip1/01/clip_image002.jpg[/IMG]

ارزیابی ریسک : یک روش منطقی برای تعیین میزان خطرات و بررسی پیامدهای ناشی از خطرات احتمالی بر روی کسب و کار می باشد . در حقیقت از این طریق میزان کار آمدی روش های کنترلی موجود ، مشخص شده و اطلاعات با ارزشی برای تصمیم گیری درزمینه کاهش ریسک و خطرات در کسب و کار به دست می آید.

ارزیابی ریسک و خطرات متوجه یک کسب و کار از طریق 3 روش انجام میشود.

[LIST=1][*]روش های عددی (Quantitative) که نتیجه در نهایت یک عدد می باشد.[*]روش های کیفی (Qualitative) که نتیجه حاکی از کیفیت خاصی درزمینه ریسک خواهد بود[*]روش های نیمه عددی (semi-Quantitative) که از طریق ماتریس صورت میپذیرند.[/LIST]

ارزیابی ریسک فرایندی است که نیازمند تجربه ، تخصص و دقت بالا بوده و در غالب کار تیمی میسر خواهد بود.
معنای ریسک : احتمال اینکه یک خطر مشخص بتواند از یک نقطه ضعف خاص در سیستمهای سازمان (کسب و کار) استفاده کند .
ارزیابی ریسک : مراحل مودر نیاز برای شناسایی یک کسب و کار و دارایی های موجود در آن ؛ تهدیدهای موجود علیه دارایی ها ؛ الویت بندی نقاط ضعف مربوط به تهدیدها و مشخص نمودن سطح ریسک ها و کنترل کردن مناسب را گویند .

نخستین گام جهت ارزیابی ریسک ، شناسایی تمم دارایی های یک کسب و کار می باشد تا پس از آن بتوان ریسک های متوجه آن کسب و کار را مشخص کرد.

ریسک = عامل تهدید + سرمایه + اثر تهدید

حوزه ریسک : حوزه ریسک میتواند یکی از حوضه های کلی زیر باشد :
1 . سخت افزار 2 . نرم افزار 3 . نیروی انسانی 4 . اطلاعات


به طور کلی ریسک ها را میتوان به حوزه های زیر تقسیم کرد :

استراتژیک : ریسک هایی که تمامیت ، موجودیت و بقای کسب و کار را تهدید می کنند.
مالی (financial) : ریسک هایی که اثرات و عواقب مالی به دنبال دارند .
عملیاتی (operational) : درانجام فعالیت هاو فرآیندهای کسب و کار خلل ایجاد میکنند.
تکنولوژیکی : باعث خلل در اطلاعات فنی و سخت افزارها می شوند.
محیطی : بر نیروی انسانی تاثیر میگذارند .

2 عامل خیلی مهم در موفق یا ناموفق بودن ارزیابی ریسک در کسب و کار:

[LIST][*]مهارت و تجربه متخصص در زمینه ارزیابی ریسک[*]سطح تعامل و مشارکت سهامداران و ذینفعان کلیدی[/LIST]
(میزان موفقیت امیز بودن پروسه ارزیابی ریسک در کسب و کار ، به میزان مشارکت صاحبان ان کسب و کار رابطه مستقیم دارد)

[IMG]file:///C:/Users/AMIR~1.ENT/AppData/Local/Temp/msohtmlclip1/01/clip_image004.jpg[/IMG]









دیدگاه های مهم در ارزیابی ریسک :

[LIST=1][*]دیدگاه سازمانی : این دیدگاه شامل خصوصیات سازمان از جمله سطح تجاری ، نوع تولیدات و خدمات با ارزش سازمان می باشد و بسیار مهم است.[/LIST]


[LIST=1][*]دیدگاه کسب و کار :[/LIST]


[LIST][*]خدمات یا فرآیند کسب و کار که مرتبط به محدوده کسب و کار هستند.[*]اهداف کسب و کار از این سرویس ها یا فرآیند ها .[*]روش اجرای خدمات برای رسیدن به اهداف کسب و کار.[/LIST]


[LIST=1][*]دیدگاه فن آوری : این دیدگاه در ارتباط با فن آوری هایی میباشد که از آنها برای رسیدن به اهداف ، درکسب و کار استفاده می شود .[/LIST]

بر اساس الگوی استاندارد سازمان انگلستان ، مدیریت ریسک در 5 مرحله انجام میشود:

[LIST=1][*]شناسایی زمینه ریسک: در این مرحله شناسایی محل کسب و کار و شرایط رخداد ریسک انجام میشود .[/LIST]


[LIST=1][*]شناسایی ریسک : در این مرحله شناسایی ریسک هایی صورت میپذیرد که احتمالا بر اهداف کسب و کار تاثیر می گذارند . ابتدا باید ریسک توصیف شود : چه اتفاقی ممکن است رخ بدهد ؟ چگونه و چرا اتفاق خواهد افتاد ؟ پس از آن نتایج ریسک باید توصیف شود : اگر ریسک محقق شود چه اتفاقی خواهد افتاد ؟[/LIST]


[LIST=1][*]ارزیابی ریسک :[/LIST]


[LIST][*]کنترل ها و تدابیر دیده شده برای هر ریسک را مورد توجه قرار دهید . باتوجه به کنترل ها و تدابیر موجود ؛ چه تدابیر دیگری برای کنترل ریسک باید اندیشیده شود؟[*]میزان اثربخشی تدابیر و کنترل های موجود برای پیشگیری از رخداد ریسک و کاهش اثرات آن را برآورد کنید.[/LIST]

[LIST=1][*]استراتژی های ریسک : بهترین نوع برخورد با ریسک از بین 5 روش ذیل انتخاب می شود :[/LIST]


[LIST][*]حذف ریسک از طریق توقف فعالیت یا برطرف کردن خطر[*]پذیرش اثرات منفی ریسک[*]کاهش احتمال رخداد ریسک از طریق مراقبت های پیشگیرانه و تغییر در شیوه کار[*]کنترل یا کاهش نتایج پس از رخداد ریسک از طریق برنامه ریزی[*]انتقال ریسک به صورت کلی یا جزیی از طریق انتقال مسؤلیت ان به طرف دیگر ، مانند بستن قرارداد با شرکت های بیمه و امنیت اطلاعات[/LIST]


[LIST=1][*]تجدید نظر : مدیریت ریسک یک فرایند مستمر و درحال پیشرفت است ، بنابراین باید به طور منظم هرگونه تغییر در سیستم کسب و کار مورد بررسی و بازبینی قرار بگیرد .[/LIST]
چرخه مدیریت ریسک :
[IMG]file:///C:/Users/AMIR~1.ENT/AppData/Local/Temp/msohtmlclip1/01/clip_image006.jpg[/IMG]
فرآیندهای اصلی مدیریت ریسک عبارتند از : شناسایی ریسک ؛ ارزیابی ریسک و پاسخ به ریسک
فعالیت های کاهش دهنده اثر ریسک :

[LIST][*]زمانبندی هر فعالیت برای اجرا[*]اجرای فعالیت زمانبندی شده[*]بررسی میزان موفقیت فعالیت های اجرا شده[*]اطلاع رسانی در خصوص موفقیت فعالیت های اجرا شده[/LIST]

ندیدن تهدیدها و ناچیز شمردن ریسک ها :
این حالت معمولا برای سازمانهایی اتفاق می افتد که به علت عادت کردن به شرایط ؛ متوجه تهدیدهای داخلی و خارجی و همچنین نقاط ضعف و قوت خود نمی شوند ، یا ریسک آن را بی اهمیت تلقی می نمایند . از این رو استفاده ازدیدگاه های افراد متخصص خارج از مجموعه و همچنین استفاده از تکنیک های مدیریتی بسیاربا اهمیت می باشد.