درمان خطر

با توجه به تعریف آن ، درمان ریسک فرآیند انتخاب و اجرای اقدامات برای اصلاح ریسک است. اقدامات درمان خطر می تواند شامل اجتناب ، بهینه سازی ، انتقال یا حفظ خطر باشد. اقدامات (یعنی اندازه گیری های امنیتی) را می توان از مجموعه ای از اندازه گیری های امنیتی که در سیستم مدیریت امنیت اطلاعات (ISMS) سازمان استفاده می شود ، انتخاب کرد. در این سطح ، اندازه گیری های امنیتی توضیحات کلامی از کارکردهای مختلف امنیتی است که از نظر فنی (به عنوان مثال نرم افزار یا مؤلفه های سخت افزاری) یا سازمانی (به عنوان مثال رویه های تعیین شده) اجرا می شوند.

شناسایی گزینه ها

با شناسایی و ارزیابی خطرات ، مرحله بعدی شامل شناسایی اقدامات مناسب جایگزین برای مدیریت این خطرات ، ارزیابی و ارزیابی نتایج یا تأثیر آنها و مشخصات و اجرای برنامه های درمانی است.

از آنجا که خطرات مشخص شده ممکن است تأثیر مختلفی بر سازمان داشته باشد ، همه خطرات چشم انداز ضرر یا خسارت را به همراه ندارند. فرصت ها همچنین ممکن است از فرآیند شناسایی ریسک ناشی شود ، زیرا انواع خطر با تأثیر مثبت یا نتایج مشخص می شوند.

گزینه های مدیریت یا درمان برای خطرات انتظار می رود که نتیجه مثبت داشته باشند:

• شروع یا ادامه فعالیت احتمالاً این نتیجه مثبت را ایجاد یا حفظ می کند.
• اصلاح احتمال خطر ، برای افزایش نتایج مفید احتمالی.
• تلاش برای دستکاری عواقب احتمالی ، برای افزایش سود مورد انتظار ؛
• به اشتراک گذاشتن ریسک با سایر احزاب که ممکن است با ارائه منابع اضافی که می تواند احتمال این فرصت یا سود مورد انتظار را افزایش دهد ، کمک کنند.
• حفظ خطر باقیمانده.

گزینه های مدیریتی برای خطرات داشتن نتایج منفی شبیه به خطرات با موارد مثبت هستند ، اگرچه تفسیر و پیامدهای آنها کاملاً متفاوت است. چنین گزینه ها یا گزینه های دیگری ممکن است:

• برای جلوگیری از ریسک با تصمیم گیری برای متوقف کردن ، به تعویق انداختن ، لغو ، منحرف ، منحرف یا ادامه فعالیت که ممکن است دلیل آن خطر باشد.
• برای اصلاح احتمال خطر در تلاش برای کاهش یا از بین بردن احتمال نتایج منفی.
• برای اصلاح پیامدها به روشی که باعث کاهش ضررها شود.
• برای به اشتراک گذاشتن ریسک با سایر طرفین با همان ریسک (ترتیبات بیمه و ساختارهای سازمانی مانند مشارکت و سرمایه گذاری های مشترک می توان برای گسترش مسئولیت و مسئولیت استفاده کرد).(البته همیشه باید در نظر داشته باشید که اگر یک ریسک به طور کامل یا جزئی به اشتراک گذاشته شود ، سازمان در حال دستیابی به یک خطر جدید است ، یعنی این خطر که سازمانی که ریسک اولیه به آن منتقل شده است ممکن است این خطر را به طور مؤثر مدیریت نکند.)
• برای حفظ خطر یا خطرات باقیمانده آن ؛

به طور کلی ، هزینه مدیریت یک ریسک باید با مزایای به دست آمده یا انتظار می رود مقایسه شود. در طی این فرآیند احکام هزینه و فایده ، زمینه مدیریت ریسک ایجاد شده در فرایند اول (یعنی تعریف دامنه و چارچوب) باید مورد توجه قرار گیرد. مهم است که تمام هزینه ها و مزایای مستقیم و غیرمستقیم را در نظر بگیرید ، ملموس یا نامحسوس و از نظر مالی یا سایر شرایط اندازه گیری شود.

بیش از یک گزینه را می توان به طور جداگانه یا به صورت جداگانه در نظر گرفت. مثال استفاده مؤثر از قراردادهای پشتیبانی و درمان های خاص ریسک و به دنبال آن بیمه مناسب و سایر وسایل تأمین مالی ریسک است.

در صورتی که منابع موجود (به عنوان مثال بودجه) برای درمان ریسک کافی نباشد ، برنامه اقدام مدیریت ریسک باید اولویت های لازم را تعیین کرده و نظمی را که در آن باید اقدامات درمانی ریسک فردی انجام شود ، مشخص کند.

تدوین برنامه اقدام

برنامه های درمانی برای توصیف نحوه اجرای گزینه های انتخاب شده ضروری است. برنامه های درمانی باید جامع باشد و باید تمام اطلاعات لازم را در مورد:

• اقدامات پیشنهادی ، اولویت ها یا برنامه های زمانی ،
• منابع مورد نیاز ،
• نقش ها و مسئولیت های همه طرفین درگیر در اقدامات پیشنهادی ،
• اندازه گیری عملکرد،
• گزارش و نظارت بر الزامات.

برنامه های اقدام باید مطابق با ارزش ها و درک انواع ذینفعان (به عنوان مثال واحدهای سازمانی داخلی ، شریک برون سپاری ، مشتریان و غیره) باشد. هرچه برنامه ها به ذینفعان مختلف ارتباط برقرار شود ، دستیابی به تصویب برنامه های پیشنهادی و تعهد به اجرای آنها آسان تر خواهد بود.

تصویب برنامه اقدام

مانند همه فرآیندهای مدیریت مربوطه ، تأیید اولیه برای اطمینان از اجرای مؤثر فرآیند کافی نیست. پشتیبانی مدیریت عالی در کل چرخه زندگی فرآیند بسیار مهم است. به همین دلیل ، این وظیفه صاحب فرآیند مدیریت ریسک است که مدیریت اجرایی سازمان را به طور مداوم و به درستی آگاهانه و به روز کنید ، از طریق گزارش های جامع و منظم

اجرای برنامه اقدام

برنامه مدیریت ریسک باید نحوه انجام مدیریت ریسک را در سراسر سازمان تعریف کند. این باید به گونه ای توسعه یابد که اطمینان حاصل شود که مدیریت ریسک در کلیه شیوه های مهم سازمان و فرآیندهای تجاری تعبیه شده است تا مرتبط ، مؤثر و کارآمد شود.

به طور خاص ، مدیریت ریسک باید در فرآیند توسعه سیاست ، در برنامه ریزی تجاری و استراتژیک و در فرایندهای مدیریت تغییر تعبیه شود. همچنین به احتمال زیاد در برنامه ها و فرآیندهای دیگر مانند برنامه های مدیریت دارایی ، حسابرسی ، تداوم تجارت ، مدیریت محیط زیست ، کنترل کلاهبرداری ، منابع انسانی ، سرمایه گذاری و مدیریت پروژه تعبیه شده است.

برنامه مدیریت ریسک ممکن است شامل بخش های خاصی برای کارکردهای خاص ، زمینه ها ، پروژه ها ، فعالیت ها یا فرایندها باشد. این بخش ها ممکن است برنامه های جداگانه ای باشد اما در همه موارد آنها باید با استراتژی مدیریت ریسک سازمان سازگار باشند (که شامل سیاست های خاص RM در هر منطقه ریسک یا دسته ریسک) است.

آگاهی لازم و تعهد به مدیریت ریسک در سطح مدیریت ارشد در سراسر سازمان ، مأموریت بسیار مهم است و باید مورد توجه بسیاری قرار گیرد:

• به دست آوردن پشتیبانی مداوم از مدیران سازمان و مدیران ارشد برای مدیریت ریسک و توسعه و اجرای سیاست و برنامه مدیریت ریسک.
• انتصاب یک مدیر ارشد برای رهبری و حمایت مالی از ابتکارات.
• به دست آوردن مشارکت کلیه مدیران ارشد در اجرای برنامه مدیریت ریسک.

هیئت مدیره سازمان باید سیاست خود را برای مدیریت ریسک ، از جمله اهداف و بیان تعهد به مدیریت ریسک تعریف ، مستند و تصویب کند. این سیاست ممکن است شامل موارد زیر باشد:

• اهداف و منطقی برای مدیریت ریسک ؛
• پیوندهای بین سیاست و برنامه های استراتژیک سازمان ؛
• وسعت و انواع خطر سازمان و راه های تعادل تهدیدها و فرصت ها را در بر می گیرد.
• فرآیندهای مورد استفاده برای مدیریت ریسک ؛
• پاسخگویی برای مدیریت خطرات خاص ؛
• جزئیات پشتیبانی و تخصص در دسترس برای کمک به افراد درگیر در مدیریت خطرات.
• بیانیه ای در مورد چگونگی اندازه گیری و گزارش عملکرد مدیریت ریسک.
• تعهد به بررسی دوره ای سیستم مدیریت ریسک ؛
• بیانیه تعهد به این سیاست توسط مدیران و اجرایی سازمان.

انتشار و برقراری بیانیه سیاست از این نوع ، تعهد هیئت اجرایی به مدیریت ریسک را به محیط داخلی و خارجی سازمان نشان می دهد و نقش ها و پاسخگویی را در سطح شخصی به وضوح مشخص می کند.

مدیران و مدیران ارشد باید در نهایت مسئولیت مدیریت ریسک در سازمان را بر عهده بگیرند. کلیه پرسنل مسئول مدیریت خطرات در حوزه های کنترل خود هستند. این ممکن است توسط:

• مشخص کردن افراد پاسخگو برای مدیریت خطرات خاص ، اجرای استراتژی های درمانی و حفظ کنترل.
• ایجاد فرآیندهای اندازه گیری و گزارش دهی
• اطمینان از سطح مناسب شناخت ، پاداش ، تصویب و مجازات.

همانطور که آشکار می شود ، اجرای واقعی اندازه گیری های امنیتی برای بستر اصلی IT بخشی از این فعالیت نیست. در عوض ، اجرای برنامه های اقدام مربوط به اقداماتی است که باید برای کاهش خطرات مشخص شده انجام شود. کار لازم در سطح اجرای فنی اقدامات امنیتی در ISMS ، یعنی خارج از فرایند مدیریت ریسک انجام می شود.

نکته آخر اینکه مسئولیت مهم مدیریت عالی شناسایی الزامات و تخصیص منابع لازم برای مدیریت ریسک است. این امر باید شامل افراد و مهارت ها ، فرآیندها و رویه ها ، سیستم های اطلاعاتی و بانکهای اطلاعاتی ، پول و سایر منابع برای فعالیت های خاص برای درمان با ریسک باشد. برنامه مدیریت ریسک همچنین باید چگونگی توسعه و حفظ مهارت های مدیریت ریسک مدیران و کارکنان را مشخص کند.

ادغام فرایند مدیریت ریسک با سایر فرآیندهای عملیاتی و محصول اساسی است. ENISA قصد دارد بر اساس مثالهایی با استانداردهای فرآیند de facto ، مانند مثال ITIL ، در میان این موضوع توضیح دهد.

شناسایی خطرات باقیمانده

ریسک باقیمانده ریسکی است که پس از شناسایی گزینه های مدیریت ریسک باقی مانده و برنامه های اقدام اجرا شده است. همچنین شامل همه خطرات در ابتدا ناشناخته و همچنین کلیه خطرات قبلاً شناسایی و ارزیابی شده اما در آن زمان برای درمان تعیین نشده است.

این مهم است که مدیریت سازمانها و سایر تصمیم گیرندگان از ماهیت و میزان خطر باقیمانده به خوبی آگاه باشند. برای این منظور ، خطرات باقیمانده همیشه باید مستند و در معرض روشهای منظم مانیتور و بررسی قرار گیرد.