مخاطره امنیت اطلاعات: روش‌های ارزیابی و مدیریت

یکی از کارکردهای مهم حاکمیت مدیریت فناوری اطلاعات، مدیریت مخاطره (ریسک) است که هدف آن ایجاد یک محیط امن برای کسب‌‏وکارهای الکترونیکی و تجارت ‏الکترونیکی است. در حمایت از این کارکرد، سازمان‌های گوناگون علاقمند به پیاده‌سازی استانداردهایی هستند که روش‌های گوناگون مدیریت مخاطره را منتشر کرده‌اند. این روش‏‌ها، در قالب دستورالعمل‏‌ها/ راهنماها، استانداردها و چارچوب‏‌های ملی و بین‌‏المللی از خاستگاه‌‏های گوناگون کاربردی و پژوهشی و به‏ منظور ارزیابی مخاطره امنیت اطلاعات طراحی، و به‏ منظور شناسایی، تحلیل و کاهش مخاطره‌‏های مرتبط با فناوری اطلاعات از سوی سازمان‌ها مورد استفاده قرار می‏‌گیرد. به رغم تعداد روزافزون روش‌های ارزیابی و مدیریت مخاطره، گزارش‌های گوناگون، نظرسنجی‌ها و ادبیات این حوزه نشان می‌‏دهد که گسترش کاربرد این روش‌ها در حال حاضر در سازمان‌ها به دلیل کمبود آگاهی، هزینه‌های بالا، نیاز به تخصص و فرآیند طولانی بسیار محدود است. از سوی دیگر در حوزه کاربرد در ایران شاهد آن هستیم که علی‏‌رغم وجود تنوع زیاد روش‌های ارزیابی مخاطره امنیت اطلاعات، هم از سوی مشاوران و هم از سوی بهره‌برداران دانش و آگاهی کافی در خصوص این روش‌ها وجود ندارد و تنها تعداد محدودی از آنها مورد استفاده قرار می‌گیرد. با این توضیحات، این کتاب با هدف مقایسه جامع و مصورسازی روش‌های ارزیابی و مدیریت مخاطره امنیت اطلاعات، در چهار فصل به شرح زیر منتشر شده است:

۱_ مفاهیم پایه مدیریت مخاطره امنیت اطلاعات: در این فصل سعی شده است روند شکل‌گیری مفهوم مدیریت امنیت اطلاعات، اهمیت و ضرورت توجه به امنیت اطلاعات، و مفاهیم پایه‌ای از جمله امنیت، امنیت اطلاعات، مدیرت امنیت اطلاعات، مخاطره، مدیریت مخاطره معرفی شود.

۲_ روش‌های ارزیابی مخاطره: در این فصل نُه روش اصلی مدیریت مخاطره در مفهوم کلی آن (نه در موضوع امنیت اطلاعات) معرفی و تشریح شده‌اند.

۳_ روش‌های ارزیابی مخاطره امنیت اطلاعات: در این فصل بر اساس روش پژوهش بیان شده در کتاب، ۵۰ روش مدیریت و ارزیابی مخاطره امنیت اطلاعات مورد بررسی قرار گرفته و بر اساس یک روش ارزیابی مشخص، ۱۸ روش جاری برتر در سطح دنیا در سه دسته و در قالب شناسنامه علمی معرفی شده‌اند.

۴_ مقایسه روش‌های ارزیابی مخاطره امنیت اطلاعات: در این فصل ۱۸ روش منتخب در بخش قبل بر اساس یک چارچوب مقایسه حاوی ۱۹ معیار شامل ـ نوع، ماهیت، سازمان ارائه‏ دهنده، اندازه سازمان هدف، سطح کاربری، سطح تخصص، فرآیند تطبیق مراحل مدیریت و ارزیابی مخاطره، رویکردهای تخمین مخاطره، شیوه ارزیابی مخاطره، پشتیبانی ابزارها، پشتیبانی از زبان‏های رایج، میزان سازگاری با استانداردها و مستندات، پوشش تعاریف و اصطلاحات، سرعت، سهولت استفاده، فرآیند روشن و شفاف و تکرارپذیری ـ مورد بررسی قرار گرفته و در جداول جداگانه نتایح ارزیابی ارائه شده است. در انتها نیز در قالب یک مصورسازی جامع، نتایج این مقایسه ارائه شده است.