راه کارهای برطرف سازی مخاطرات
راه کارهای برطرف سازی مخاطرات
آخرین مرحله که در طرح مدیریت مخاطرات در پیاده سازی ISMS باید طی شود برطرف سازی مخاطرات است. بنابراین پس از شناسایی مخاطرات و مالکان آن ها و نیز تحلیل و ارزیابی مخاطرات ،نوبت به شناسایی و ارزیابی راهکار های برطرف سازی مخاطرات می رسد. برای برطرف سازی مخاطرات ابتدا باید یک طرحی برای این کار تهیه شود که به آن Risk Treaetment Plan یا به اختصار RTP یا همان طرح برطرف سازی مخاطرات می گویند. محتوای این پلن شامل مواردی است که در ادامه به آن می پردازیم.
تهیه طرح برطرف سازی مخاطرات
در این طرح باید تمامی موارد زیر با جزئیات مشخص شود و سپس اقدام به پیاده سازی طرح نمود. موارد تاکید شده عبارتند از:
- روش انتخاب شده برای برطرف سازی مخاطرات
- کنترل های انتخاب شده برای پیاده سازی
- کنترل های اضافی انتخاب شده که باید مدنظر قرار داده شود
- زمانبندی پیاده سازی کنترل ها بر حسب اولویت و حساسیت آن ها
- منابع مورد نیاز برای پیاده سازی طرح (بودجه موردنیاز در این فرآیند لحاظ گردد)
- نقش ها و مسئولیت ها
در جدول زیر نمونه ای از یک طرح برطرف سازی مخاطرات را مشاهده می کنید که با توجه به موارد فوق طرح ریزی شده است.
| تهدید | دارایی | کنترل یا اهداف کنترلی | منابع | هزینه | برنامه اجرا |
| عملکرد ضعیف سیستم | زیرساخت شبکه | A.10.3.1 | 1. ملزومات شبکه 2. … |
*** ریال | فاز اول: … فاز دوم: … |
| خطای کاربر | مشتریان | A.8.2.2 | 1. کارشناس آموزش 2. … |
*** ریال | فاز اول: … فاز دوم: …. |
قاعده مند کردن و پیاده سازی طرح
پس از آن که RTP تهیه شد باید آن را بر اساس یکسری اصول و قواعد پایه ریزی کرد و سپس اقدام به عمل نمود. بنابراین در گام اول باید به شناسایی اقدامات مناسب مدیریتی برطرف سازی مخاطرات امنیت اطلاعات پرداخت. این اقدامات عبارتند از:
- منابع
- نقش ها و مسئولیت ها
- اولویت بندی برای مدیریت مخاطرات امنیت اطلاعات
در گام دوم باید دو مورد مهم را در نظر گرفت که عبارتند از:
- میزان بودجه مورد نیاز
- اختصاص دادن نقش ها و مسئولیت ها
و در گام سوم که آخرین مرحله است باید کنترل ها و اهداف کنترلی انتخاب شده را پیاده سازی نمود.
از آنجایی که رسیدن به امنیت صد در صدی امکانپذیر نیست، همواره پس از اعمال طرح برطرف سازی مخاطرات، میزانی از مخاطرات را باید انتظار داشت. با دریافت تاییدیه مالکان ریسک برای RTP و نیز مخاطرات باقی مانده، کار برطرف سازی مخاطرات پایان می یابد.
پس از اینکه روبرو شدن با مخاطرات اتمام یافت، لازم است برای برقراری امنیت اطلاعات، دو طرح آموزش و پشتیبانی مورد توجه قرار بگیرد. در طرح آموزش نیاز است آگاهی رسانی، آموزش و تربیت نیروی انسانی صورت بگیرد. در این امر باید مواردی از جمله تعیین اهداف آموزشی، مخاطبین آموزشی بر اساس نوع آموزش، مسئولیت های افراد، مواد آموزشی در سطوح مقدماتی- متوسط- پیشرفته، انتخاب نوع آموزش، پیاده سازی طرح آموزشی و نظارت بر نحوه اجرای آن ، مستند سازی فعالیت آموزشی انجام شده مدنظر قرار داده شود.
در طرح پشتیبانی باید مواردی از جمله پشتیبانی از حوادث امنیتی شامل دسته بندی حوادث احتمالی و راه های مقابله با آن ها، تدوین ساختار سازمانی تیم پشتیبانی کننده از آسیب دیدگان در حوادث، نوع خدمات و سرویس هایی که می خواهیم ارائه دهیم، مدنظر قرار داده شود.
آموزش و آگاه سازی امنیت
پس از پشت سر نهادن فرآیند برطرف سازی مخاطرات، باید به فاز آموزش، تحصیل و آگاه سازی امنیت (Security Awareness & Training) پرداخت. این فاز آموزش باید ابعاد مختلفی را در بر بگیرد. اول اینکه آموزش برای چه افرادی و دوم شامل چه مواردی باشد. تهیه یک برنامه آموزش و آگاه سازی امنیت باید برای افراد زیر تدوین گردد:
- کارکنان تمام وقت یا پاره وقت داخل دامنه
- مدیران یا سرپرستان
- کارکنان فنی و غیر فنی
- پرسنل خارج از دامنه که با دامنه در ارتباط هستند
- مشتریان
- تأمین کنندگان
یک برنامه SAT باید شامل آگاه سازی امنیت، آموزش امنیت، و تحصیل امنیت باشد.
هیواشبکه
خدمات ما در مجموعه هیواشبکه شامل :
شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
در خدمت شما عزیزان هستیم.
هیچ دیدگاهی نوشته نشده است.