ارزیابی و مدیریت مخاطرات امنیت اطلاعات (Information Security Risk Assessment & Mangement)
ما بر این باوریم موفقیت اصلی تمامی سیستم های مدیریت امنیت اطلاعات در گروی یک سیستم ارزیابی و مدیریت مخاطرات کارا می باشد. امروزه سازمان های مدرن براساس سطح مخاطرات کنترل شده خود دستهبندی می شوند و با وجود اینکه سازمان های زیادی باور دارند که به نحو مناسبی مخاطرات را مدیریت می نمایند، این امر معمولا به صورت مشهود، تکرارپذیر یا دائمی به طوری که به عنوان پشتیبانی برای اتخاذ تصمیمات اثربخش عمل کند، صورت نمی گیرد.
مدیریت مخاطرات امنیت اطلاعات
با توجه به رشد روزافزون مقررات و الزامات در زمینه توانمند نمودن سازمان (Corporate Governance) مثل ISO38500، Basel II، Sarbanes-Oxley, ISO27001, GLBA و الزامات HIPAA، هم اکنون سازمانها ضرورت دارد به صورت صحیحی به مدیریت مخاطرات بپردازند.
ما شما را در ارزیابی، تحلیل سطوح مخاطرات و ارائه راهکارهای مقابله با مخاطرات امنیت اطلاعات در فرآیندهای تجاریتان یاری می دهیم. ارزیابی مخاطرات را می توان حسب زمان و توانایی سازمان شما با استفاده از ابزارهایی مثل CRAMM یا روشهای دیگر مبتنی بر متد های روز دنیا مثل OCTAVE, COBRA, ISO27005 و … اجرا کرد.
رویکرد اینفوامن در این زمینه پیشنهاد متدی بر اساس ساختار سازمانی، منابع انسانی، توان عملیاتی، نگرش بدنه تصمیم ساز و زمان در سازمان شما می باشد؛ چرا که ما بر این باوریم که یک ارزیابی مخاطرات کارا زمانی محقق می گردد که شاخص های خروجی آن برای بدنه تصمیم ساز سازمان قابل فهم، ملموس و بوده و در عین حال فرآیند باز ارزیابی آن قابل تکرار باشد.
یک عامل ضروری برای دستیابی به این هدف چارچوب های مدیریت ریسک (MoR) می باشند. اینفوامن شما را یاری می دهد تا مخاطرات را در سازمان خود مدیریت کنید و همچنین:
با استفاده از اجرای آزمایشات سنجش سلامت وضعیت مدیریت ریسک در سازمانتان را ارزیابی کنید
یک چارچوب اندازه ریسک (MoR) برای برخی بخش ها یا کل سازمانتان طراحی و پیادهسازی کنید
برای شناسایی و اطلاعرسانی مخاطراتعمده پیشروی سازمانتان کارگاههای ارزیابی مخاطرات برگزار کنید
پیادهسازی استراتژی های مدیریت مخاطرات و حصول اطمینان از اینکه مالکان ریسک ها (Risk Owner) تخصیص دادهشدهاند و استراتژیهای کاهش ریسک بهکار گرفتهشدهاند
برگزاری آموزشهای در زمینه مدیریت مخاطرات شامل بخش های آگاهیرسانی تا کسب توانایی های مطرح در حوزه صنعت کسب و کار شما
پشتیبانی از عملیات پیوسته چارچوب MoR و حصول اطمینان از اثربخش بودن عملیات از طریق یک چرخه دائمی تسهیلسازی، ابلاغ، کنترل و بازنگری
بتوانید برای هر ریسک خود شاخص مالی متناظر ارائه نمایید
ملاک مشخص از هزینه های مستقیم و غیر مستقیم از راهکارهای ارائه شده برای مقابله با ریسکهای خود داشته باشید
اقدامات اتخاذی برای مقابله با هر ریسک را با ملاحظات تمامی چهارچوب های مرتبط با حوزه امنیت اطلاعات از جمله IS027001, CoBIT, HIPAA, PCI-DSS, SOX, GLBA, BS25999, FISMA انطباق دهید
آزمایش سنجش سلامت
اجرای آزمایش سنجش سلامت برای مشخص نمودن میزان موفقیت سازمان شما در مدیریت ریسک اولین قدم ضروری در هر فرآیند مدیریت ریسک می باشد. ما با استفاده از ابزار سنجش سلامت که براساس راهنمای OGC ایجاد نمودهایم، سطح فعلی و مورد نیاز برای مدیریت ریسک را در سازمان شما ارزیابی می کنیم. ما همچنین می توانیم شما را در زمینه نقش ها و مسئولیت های مرتبط با مدیریت مخاطرات راهنمایی کنیم تا حوزه هایی را که نیاز به بهبود دارند شناسایی کنید. سپس با تهیه یک گزارش جامع اثربخشی خط مشی فعلی امنیت، کفایت مهارت ها و در سطح کلان تعهد سازمان نسبت به مدیریت ریسک را مورد سنجش قرار می دهیم.
پیادهسازی یک چارچوب جهت اندازه گیری شاخص ریسک (MoR)
متخصصان ما در زمینه انتخاب متد و ابزار مناسب برای اندازه گیری و ارزیابی مخاطرات، سپس پیادهسازی آن با شما همکاری می کنند تا شما اطمینان حاصل کنید اقدامات مناسبی در راستای کاهش ریسک صورت می پذیرد. به این ترتیب درک پایداری از مخاطرات در همه سطوح سازمان شما ایجاد خواهد شد. فرآیندی که برای این منظور بهکارگرفتهمی شود شامل راهکارهای دوگانه تحلیل و مدیریت ریسک می باشد و ساختاری برای تصمیمگیری پویشگرانه فراهم می کند.
مدیریت مخاطرات امنیت اطلاعات
مراحل انجام ارزیابی و مدیریت مخاطرات
بهکار گرفتن ابزارها و روش ها
به علاوه اینفوامن می تواند به شما کمک کند روش های موثر و معمولا سادهای برای مدیریت ریسک در سازمانتان پیادهسازی کنید. این امر می تواند شامل ارزیابی، انتخاب یا توسعه ابزارهای حمایتی مناسب شامل یکپارچهسازی روش های مختلف و رویه ها باشد. در صورت نیاز مشاوران ما می توانند ابزارهای نرمافزاری را به خدمت بگیرند که فرآیند نظارت بر چارچوب را خودکار میسازد.
ارزیابی مخاطرات
از آنجا که مخاطرات در سطوح مختلفی اتفاق می افتند و در بخش هایی با هم همپوشانی دارند، خیلی غیرمتداول نیست که یک مخاطره در یک سطح اتفاق بیفتد اما تأثیر عمدهای بر روی یک لایه متفاوت داشته باشد. ما به شما نشان خواهیم داد چگونه تکنیک هایی مثل چکلیست ها، کارگاه ها، مصاحبه ها، طوفان مغزی (Brain Storming) و بازنگری شاخص های کلیدی عملکرد یا طرح های تجاری می توانند در فرآیند شناسایی ریسک و تأثیرات آن به خدمت گرفته شوند.
برنامه ها و استراتژی
مشاوران ما به صورت های مخلفی با شما در پیادهسازی برنامه و استراتژی های مدیریت مخاطرات همکاری خواهند کرد. کلید ایجاد هر تغییری ایجاد و اجرای برنامه مناسبی برای فعالیت های نظارتی می باشد. رویکرد اینفوامن براین مبنا است که در مسیر افزایش سود و ارائه خدمات بهتر ناچارا به صورت موثر و واقعبینانه برخی مخاطرات را باید بپذیریم.
اطلاع رسانی و آگاهسازی
درپایان، ما به تبیین نحوه اطلاعرسانی و گزارش دادن اطلاعات مرتبط به ریسک، هم در درون سازمان به مدیران و هم به خارج سازمان یعنی به ممیزان، ناظران، سهامدارن و سایر ذینفعان می پردازیم. ما همچنین می توانیم شما را در تفهیم و تبیین ضرورت مدیریت ریسک به سهامداران کلیدی سازمانتان به شیوه های مختلف مثل جلسات رو در رو، کارگاههای آموزشی یا بهرهگیری از روشهای مبتنی بر کامپیوتر یاری دهیم.