ریسک ها و فرصت ها ایزو 27001

اقدامات جهت پرداختن به ریسک ها و فرصت ها

در هنگام طرح ریزی، سازمان باید با توجه به طرفهای ذینفع و الزامات آنها، ریسک ها و فرصت ها را با در نظر گرفتن مواردی چون اطمینان از رسیدن به اهداف تعیین شده، کاهش اثرات نامطلوب و دستیابی به بهبود مستمر تعیین نماید.

ارزیابی ریسک امنیت اطلاعات

سازمان باید فرآیند ارزیابی ریسک را تعریف کند که شامل موارد زیر می شود:

1) تعیین و نگهداری معیارهای ریسک امنیت اطلاعات:

Øمعیارهایی برای پذیرش ریسک

Øمعیارهایی برای ارزیابی ریسک

2)سازمان باید تضمین کند که تکرار ارزیابی ریسک امنیت اطلاعات نتایج سازگار، معتبر و قیاس پذیر تولید می کند.

3) شناسایی ریسک های امنیت اطلاعات

Øاعمال فرآیند ارزیابی ریسک امنیت اطلاعات برای شناسایی ریسکهای مربوط به یکپارچگی، محرمانگی و دسترس پذیری

Øشناسایی مالکان ریسک ها

4) تحلیل ریسک های امنیت اطلاعات:

Øارزیابی پیامدهای بالقوه، ارزیابی واقع بینانه فرصت وقوع ریسک های شناسایی شده و تعیین سطح ریسک ها.

Øمقایسه نتایج تحلیل ریسک ها با معیار معین شده در ریسک ها.

Øاولویت بندی ریسک ها برای برطرف سازی.

Ø

برطرف سازی ریسک های امنیت اطلاعات:

Øانتخاب گزینه های مناسب برطرف سازی ریسک های امنیت اطلاعات بر اساس نتایج ارزیابی ریسک

Øتعیین کنترلهایی برای پیاده سازی گزینه های انتخاب شده

Øمقایسه کنترلهای تعیین شده با موارد ذکر شده در پیوست الف

Øتهیه یک بیانیه کاربردپذیری شامل کنترلهای ارائه شده لازم

Øتدوین طرح برطرف سازی ریسک های امنیت اطلاعات

Øدریافت تایید مالکان ریسک برای طرح برطرف سازی مخاطرات و ریسک ها

 

جهت مشاور ایزو   مانند ایزو 9001 با کارشناسان آریان گستر تماس حاصل فرمایید.

02177942240-77959675

ایزو 27001 تخصص ماست.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

اخذ ایزو گواهینامه ایزو گواهینامه CE آموزش ایزو