تقييم المخاطر ضمن معايير ISO 27001 ومعالجتها وإدارتها

ما هي إدارة المخاطر ولماذا هي مهمة؟

ربما تكون إدارة المخاطر هي الجزء الأكثر تعقيدًا في تنفيذ ISO 27001 ؛ لكنها في الوقت نفسه أهم خطوة في بداية مشروع أمن المعلومات الخاص بك - فهي تضع أسس أمن المعلومات في شركتك.
تتكون إدارة المخاطر من عنصرين رئيسيين: تقييم المخاطر (يسمى غالبًا تحليل المخاطر) وعلاج المخاطر.
ما هي في الواقع تقييم المخاطر وعلاجها ، وما هو الغرض منها؟ تقييم المخاطر هو عملية يجب خلالها على المنظمة تحديد مخاطر أمن المعلومات وتحديد احتمالية وتأثيرها. وبصراحة ، يجب على المنظمة التعرف على جميع المشكلات المحتملة فيما يتعلق بمعلوماتها ، ومدى احتمالية حدوثها ، وما هي العواقب المحتملة.
الغرض من معالجة المخاطر هو معرفة الضوابط الأمنية (أي الضمانات) اللازمة لتجنب تلك الحوادث المحتملة - يسمى اختيار الضوابط عملية معالجة المخاطر ، وفي ISO 27001 يتم اختيارها من الملحق أ ، الذي يحدد 93 ضوابط.

الخطوات الرئيسية في تقييم المخاطر ومعالجتها ISO 27001:

 منهجية إدارة المخاطر
 تقييم المخاطر
 علاج المخاطر
 تقرير تقييم المخاطر والعلاج
 بيان قابلية التطبيق
 خطة معالجة المخاطر

تقييم المخاطر ISO 27001 ومعالجتها - ست خطوات رئيسية

على الرغم من أن إدارة المخاطر في ISO 27001 مهمة معقدة ، إلا أنها غالبًا ما تكون محيرة بشكل غير ضروري. ستسلط هذه الخطوات الست الأساسية الضوء على ما عليك القيام به:

1) منهجية تقييم المخاطر ISO 27001

هذه هي الخطوة الأولى في رحلتك من خلال إدارة المخاطر في ISO 27001. أنت بحاجة إلى تحديد القواعد الخاصة بكيفية أداء إدارة المخاطر ، لأنك تريد أن تقوم مؤسستك بأكملها بنفس الطريقة - أكبر مشكلة تتعلق بالمخاطر يحدث التقييم إذا قامت أجزاء مختلفة من المنظمة بأدائه بطرق مختلفة. لذلك ، تحتاج إلى تحديد ما إذا كنت تريد تقييمًا نوعيًا أو كميًا للمخاطر ، وما المقاييس التي ستستخدمها للتقييم النوعي ، وما هو المستوى المقبول للمخاطر ، وما إلى ذلك.

2) تنفيذ تقييم المخاطر

بمجرد معرفة القواعد ، يمكنك البدء في اكتشاف المشكلات المحتملة التي يمكن أن تحدث لك - تحتاج إلى سرد جميع الأصول الخاصة بك ، ثم التهديدات ونقاط الضعف المتعلقة بهذه الأصول ، وتقييم تأثير واحتمالية كل مجموعة من الأصول / التهديدات / نقاط الضعف ، وأخيرًا احسب مستوى المخاطرة.

من واقع خبرتي ، عادة ما تكون الشركات على دراية بنسبة 30٪ فقط من مخاطرها. لذلك ، من المحتمل أن تجد هذا النوع من التمرين واضحًا تمامًا - عندما تنتهي ، ستبدأ في تقدير الجهد الذي بذلته.

3) تنفيذ معالجة المخاطر

بالطبع ، ليست كل المخاطر متساوية - عليك التركيز على أهمها ، ما يسمى "بالمخاطر غير المقبولة".
عند تنفيذ معالجة المخاطر في ISO 27001 ، هناك أربعة خيارات يمكنك الاختيار من بينها للتعامل (أي تخفيف) كل خطر غير مقبول ، كما هو موضح بمزيد من التفصيل في هذه المقالة.

4) تقرير تقييم ومعالجة المخاطر

على عكس الخطوات السابقة ، هذه الخطوة مملة للغاية - تحتاج إلى توثيق كل شيء قمت به حتى الآن. هذا ليس فقط للمراجعين ، حيث قد ترغب في التحقق من هذه النتائج بنفسك في غضون عام أو عامين.

5) بيان قابلية التطبيق

يُظهر هذا المستند في الواقع ملف تعريف الأمان لشركتك - بناءً على نتائج معالجة المخاطر في ISO 27001 ، تحتاج إلى سرد جميع عناصر التحكم التي قمت بتنفيذها ، ولماذا قمت بتنفيذها ، وكيف. هذا المستند مهم جدًا أيضًا لأن مدقق الشهادات سيستخدمه كمبدأ توجيهي رئيسي للتدقيق.
للحصول على تفاصيل حول هذا المستند ، راجع هذه المقالة: بيان قابلية التطبيق في ISO 27001 - ما هو ولماذا هو مهم؟

6) خطة معالجة المخاطر

هذه هي الخطوة التي يجب أن تنتقل فيها من النظرية إلى الممارسة. لنكن صريحين - حتى الآن ، كانت مهمة إدارة المخاطر بأكملها نظرية بحتة ، ولكن حان الوقت الآن لإظهار بعض النتائج الملموسة.
هذا هو الغرض من خطة معالجة المخاطر - لتحديد بالضبط من سينفذ كل عنصر تحكم ، وفي أي إطار زمني ، وما هي الميزانية ، وما إلى ذلك. أفضل تسمية هذه الوثيقة باسم "خطة التنفيذ" أو "خطة العمل" ، ولكن دعنا نلتزم بالمصطلحات المستخدمة في ISO 27001.
وهذا هو - لقد بدأت رحلتك من عدم معرفة كيفية إعداد أمن المعلومات الخاص بك على طول الطريق إلى الحصول على صورة واضحة جدًا لما تحتاج إلى تنفيذه. النقطة المهمة هي أن ISO 27001 يجبرك على القيام بهذه الرحلة بطريقة منهجية.

كيف تساعد ISO 27005 في إدارة المخاطر؟

ISO / IEC 27005 هو معيار مخصص فقط لإدارة مخاطر أمن المعلومات. إنه مفيد للغاية إذا كنت ترغب في الحصول على نظرة أعمق حول تقييم مخاطر أمن المعلومات ومعالجتها - أي إذا كنت ترغب في العمل كمستشار أو ربما كمدير لأمن المعلومات / المخاطر على أساس دائم.
ومع ذلك ، إذا كنت تبحث فقط عن إجراء تقييم للمخاطر مرة واحدة في العام ، فمن المحتمل ألا يكون هذا المعيار ضروريًا بالنسبة لك.

كيف تكتب منهجية تقييم المخاطر ISO 27001

تجعل العديد من الشركات تقييم المخاطر ومعالجتها أمرًا صعبًا للغاية من خلال تحديد منهجية وعملية خاطئة لتقييم المخاطر ISO 27001 (أو من خلال عدم تحديد المنهجية على الإطلاق).

ما الذي يتطلبه ISO 27001 حقًا؟

يتطلب ISO 27001 منك توثيق العملية الكاملة لتقييم المخاطر (البند 6.1.2) ، ويتم ذلك عادةً في الوثيقة التي تسمى منهجية تقييم المخاطر. لسوء الحظ ، هذا هو المكان الذي ترتكب فيه العديد من الشركات الخطأ الكبير الأول: فهي تبدأ في تنفيذ تقييم المخاطر بدون المنهجية - بعبارة أخرى ، دون أي قواعد واضحة حول كيفية القيام بذلك.

هناك العديد من الخرافات المتعلقة بالشكل الذي يجب أن يبدو عليه تقييم المخاطر ، ولكن في الواقع ، متطلبات ISO 27001: 2022 ليست صعبة للغاية - إليك ما تتطلبه الفقرة 6.1.2:

 حدد كيفية تحديد المخاطر التي قد تتسبب في فقدان السرية و / أو السلامة و / أو توفر معلوماتك.
 تحديد كيفية تحديد أصحاب المخاطر.
 حدد معايير تقييم العواقب وتقدير احتمالية الخطر.
 حدد كيف سيتم حساب المخاطر.
 تحديد معايير قبول المخاطر.

لذلك ، في الأساس ، تحتاج إلى تحديد هذه العناصر الخمسة - أي شيء أقل لن يكون كافيًا ، ولكن الأهم من ذلك ، ليست هناك حاجة إلى أي شيء آخر ، مما يعني: لا تعقد الأمور كثيرًا.

ونعم - تحتاج إلى التأكد من أن نتائج تقييم المخاطر متسقة - أي ، عليك تحديد هذه المنهجية التي ستنتج نتائج قابلة للمقارنة في جميع أقسام شركتك.

ما هي الخيارات المتاحة؟

بالطبع ، هناك العديد من الخيارات المتاحة للعناصر الخمسة المذكورة أعلاه - إليك ما يمكنك الاختيار من بينها:

تعريف المخاطر. لا تنص المراجعة الحالية لعام 2022 لمعيار ISO 27001 على منهجية لتحديد المخاطر ، مما يعني أنه يمكنك تحديد المخاطر بناءً على عملياتك ، بناءً على إداراتك ، باستخدام التهديدات فقط وليس نقاط الضعف ، أو أي منهجية أخرى تريدها ؛ ومع ذلك ، لا يزال تفضيلي الشخصي هو الأسلوب الجيد للأصول القديمة - التهديدات - نقاط الضعف المحددة في مراجعة 2005 للمعيار. (راجع أيضًا مقالة كتالوج التهديدات ونقاط الضعف.)

أصحاب المخاطر. في الأساس ، يجب أن تختار شخصًا مهتمًا في الوقت نفسه بحل المخاطر ، ويتمتع بمكانة عالية بما يكفي في المنظمة لفعل شيء حيال ذلك. راجع أيضًا هذه المقالة: أصحاب المخاطر مقابل مالكي الأصول في ISO 27001.

تقييم العواقب والاحتمالية. يجب عليك تقييم عواقب واحتمالات كل من المخاطر الخاصة بك بشكل منفصل ؛ أنت حر تمامًا في استخدام المقاييس التي تريدها - على سبيل المثال ، منخفضة - متوسطة - عالية ، أو من 1 إلى 5 ، أو من 1 إلى 10 - ما يناسبك بشكل أفضل. بالطبع ، إذا كنت تريد أن تجعل الأمر بسيطًا ، فانتقل إلى Low-Medium-High.

طريقة حساب المخاطر. يتم ذلك عادة من خلال الجمع (على سبيل المثال ، 2 + 5 = 7) أو من خلال الضرب (على سبيل المثال ، 2 × 5 = 10). إذا كنت تستخدم المقياس منخفض - متوسط - مرتفع ، فهذا هو نفس استخدام المقياس 1-2-3 ، لذلك لا يزال لديك أرقام للحساب.

معايير قبول المخاطر. إذا كانت طريقتك في حساب المخاطر تنتج قيمًا من 2 إلى 10 ، فيمكنك حينئذٍ أن تقرر أن المستوى المقبول للمخاطر هو ، على سبيل المثال ، 7 - وهذا يعني أن المخاطر المقدرة بـ 8 و 9 و 10 فقط هي التي تحتاج إلى العلاج. بدلاً من ذلك ، يمكنك فحص كل خطر فردي وتحديد أيها يجب معالجته أو لا بناءً على رؤيتك وخبرتك ، دون استخدام قيم محددة مسبقًا. ستساعدك هذه المقالة أيضًا: لماذا تعتبر المخاطر المتبقية مهمة جدًا؟

في قسم "تقييم المخاطر" ، ستجد تفاصيل حول كيفية إجراء تقييم المخاطر.

المنهجية أولاً ، كل شيء آخر بعد ذلك

لذا ، فإن النقطة هي: لا يجب أن تبدأ في تقييم المخاطر باستخدام بعض الأوراق التي قمت بتنزيلها في مكان ما من الإنترنت - قد تستخدم هذه الورقة منهجية غير مناسبة تمامًا لشركتك. يجب ألا تبدأ في استخدام المنهجية التي تحددها أداة تقييم المخاطر التي اشتريتها ؛ بدلاً من ذلك ، يجب عليك اختيار أداة تقييم المخاطر التي تناسب منهجيتك. (أو قد تقرر أنك لست بحاجة إلى أداة على الإطلاق ، وأنه يمكنك القيام بذلك باستخدام أوراق Excel البسيطة.)

على أي حال ، يجب ألا تبدأ في تقييم المخاطر قبل أن تكيف المنهجية مع ظروفك الخاصة واحتياجاتك.

نصائح لإدارة المخاطر للشركات الصغيرة

لقد رأيت الكثير من الشركات الصغيرة تحاول استخدام برامج إدارة المخاطر كجزء من مشروع تنفيذ ISO 27001 الخاص بهم والذي ربما يكون أكثر ملاءمة للشركات الكبيرة. والنتيجة هي أنه عادة ما يستغرق الكثير من الوقت والمال مع تأثير ضئيل للغاية.

فيما يلي بعض النصائح حول كيفية جعل إدارة المخاطر أكثر قابلية للإدارة للشركات الصغيرة:

 اختر المنهجية الصحيحة. يجب أن تكون المنهجية مبسطة وتحتوي فقط على العناصر الخمسة التي تتطلبها ISO 27001. إذا انتهى بك الأمر باستخدام منهجية قمت بنسخها من شركة كبيرة ، فسوف تقوم بتقييم المخاطر وعلاجها لأشهر بدلاً من زوجين أيام.
 اختر الأداة الصحيحة. ابحث عن البرنامج الذي يتبع منهجك (المبسط) ، وليس العكس. في بعض الحالات ، يقوم قالب Excel الجيد بعمل أفضل من البرامج المعقدة.
 ضمِّن الأشخاص المناسبين. لا يجب أن تحاول القيام بذلك بنفسك ؛ يجب عليك تضمين رؤساء جميع الأقسام الخاصة بك لأنهم يعرفون عملياتهم بشكل أفضل ، مما يعني أنهم يعرفون أين يمكن أن تحدث المشاكل المحتملة.
 لا تحاول أن تكون مثاليًا. لا تحاول العثور على جميع المخاطر في المرة الأولى التي تقوم فيها بذلك - فهذا لن يؤدي إلا إلى إبطائك ؛ بدلاً من ذلك ، يجب عليك إنهاء تقييم المخاطر وعلاجها ، والعودة لاحقًا لإضافة أي مخاطر مفقودة.

في الختام: تقييم المخاطر وعلاجها هما في الحقيقة أسس أمن المعلومات / ISO 27001 ، لكن هذا لا يعني أنهما يجب أن يكونا معقدين. يمكنك القيام بذلك بطريقة بسيطة ، والفطرة هي ما يهم حقًا.

كيفية معالجة الفرص في إدارة المخاطر ISO 27001 باستخدام ISO 31000

عندما تفكر المنظمات في المخاطر ، فإنها تركز بشكل عام على الخطأ الذي يمكن أن يحدث ، وتتخذ تدابير لمنع ذلك ، أو على الأقل لتقليل آثاره. لكن المخاطر يمكن أن تعني أيضًا أن شيئًا جيدًا يمكن أن يحدث ، ومن خلال عدم الاستعداد للاستفادة من الموقف ، يمكن أن تفوتك الفوائد.

سيقدم هذا القسم كيفية النظر في المخاطر الإيجابية والتعامل معها ، والمعروفة أيضًا بالفرص ، في سياق ISO 27001. من خلال تضمين الفرص في نهج ISMS ، قد تزيد المنظمات من فوائد أمن المعلومات.

كيف تحدد ISO 27001 المخاطر وتعالجها

بالنسبة إلى ISO 27001 ، فإن الخطر هو "تأثير عدم اليقين على الأهداف" ، و "عدم اليقين" هو سبب عدم قدرتنا على التحكم بشكل كامل في جميع المخاطر (بعد كل شيء ، لا يمكنك الدفاع ضد ما لا تعرفه أو تفهمه).

لا يصف ISO 27001 نفسه كيفية معالجة المخاطر ، في حين أن المعيار الداعم ، ISO 27005 ، يقترح أربعة خيارات: تعديل المخاطر ، والاحتفاظ بالمخاطر ، وتجنب المخاطر ، ومشاركة المخاطر. يمكن العثور على معلومات مفصلة حول خيارات علاج المخاطر هذه في المقالة ، ولكن باختصار ، تهدف جميع الخيارات إلى تقليل احتمالية حدوث المخاطر و / أو تقليل آثارها ؛ أي أنهم يفكرون في سيناريوهات قد يحدث فيها خطأ ما.

على الرغم من أن هذا النهج قد يكون مناسبًا في الأيام الأولى للمعيار ، لم يعد بإمكان المؤسسات اليوم التفكير ببساطة فيما يتعلق بما يمكن أن يحدث خطأ فيما يتعلق بأمن المعلومات.

خيارات الفرصة لأمن المعلومات

في معيار ISO الأكثر شمولاً حول إدارة المخاطر ، ISO 31000 - إدارة المخاطر - إرشادات ، إلى جانب خيارات التعامل مع المخاطر السلبية ، قد تفكر المؤسسة أيضًا في اتخاذ المخاطر أو زيادتها من أجل متابعة فرصة ، والتي يمكن تحقيقها من خلال:

 تعزيز المخاطر - وهذا يشمل اتخاذ تدابير لزيادة احتمالية حدوث مخاطر. يمكن اعتبار هذا الخيار النظير لخيار تخفيف المخاطر للمخاطر السلبية. على سبيل المثال ، لاغتنام الفرصة لزيادة الإنتاجية ، تقرر المنظمة تنفيذ الوصول عن بُعد من خلال مشاركة الموارد والموظفين الحاليين لبناء وتشغيل الخدمة التي تؤدي في الواقع إلى زيادة المخاطر.
 استغلال المخاطر - وهذا يعني اتخاذ كل الإجراءات الممكنة لضمان حدوث المخاطر. إنه يختلف عن خيار تعزيز المخاطر في حقيقة أنه يتطلب المزيد من الجهد والموارد ، لضمان حدوث المخاطر بشكل فعال. يمكن اعتبار هذا الخيار النظير لخيار تجنب المخاطر للمخاطر السلبية. على سبيل المثال ، أنت تنوي المخاطرة ذات التأثير الصغير في أن تتحقق لأنك ترغب في اختبار كيفية عمل إجراءات الاستجابة للحوادث.

بالإضافة إلى ذلك ، يمكن أيضًا استخدام تقاسم المخاطر وقبول المخاطر في سياق التعامل مع الفرص.

 تقاسم الفرص. عندما تدرك منظمة ما أنها ، في حد ذاتها ، لا يمكنها الاستفادة من فوائد فرصة ما ، فقد تشارك المخاطر ، وتبحث عن شريك لتقسيم التكاليف والجهود ، بحيث يمكن لكليهما مشاركة الفرصة التي لا يمكن لأي منهما الاستفادة منها بمفرده. هذا يختلف عن تقاسم المخاطر السلبية ، لأنه في هذه الحالة الأخيرة تقوم المنظمة فقط بتحويل تكاليف التأثير السلبي إلى طرف ثالث. يعد المشروع المشترك بين شركة تطوير النظام ومقدم خدمات إدارة المشروع مثالًا جيدًا لتقاسم المخاطر بالنظر إلى الفرص.
 لا تفعل شيئا. قد تقرر المنظمة أيضًا بوعي عدم اتخاذ أي إجراء بشأن الفرصة (إذا حدثت ، فهذا أفضل ، ولكن بالنظر إلى الجهد الذي قد يتطلبه تحقيق ذلك ، لا يستحق الأمر المتابعة) - وهذا مشابه لقبول المخاطر السلبية.

متى يكون من المقبول زيادة المخاطر؟

قد تبدو الإجابة واضحة ... وهي في الواقع: عندما تكون المكافآت أكبر من الخسائر المحتملة ، ويمكنك قبول الخسائر إذا حدثت.

في مثال الوصول عن بُعد ، سيتعين عليك مراعاة ليس فقط الفرصة الضائعة المتعلقة بالفشل في تنفيذ الخدمة (على سبيل المثال ، ضياع وقت وجهد الفريق) ، ولكن أيضًا الخسائر المحتملة المتعلقة بالمخاطر الناشئة عن استخدام الوصول عن بُعد نفسه (على سبيل المثال ، فقدان سرية المعلومات).

إذا كان من الممكن قبول هذه الخسائر المحتملة من قبل المنظمة ، إذا كانت ستحدث ، وكانت أقل من المكاسب المحتملة من زيادة الإنتاجية ، فلماذا لا تخاطر؟

لا تأمل فقط في الأفضل ؛ كن مستعدا لذلك

"الأمل في الأفضل والاستعداد للأسوأ" هو شعار شائع للتخطيط للمخاطر ، ولكن في الوقت الذي تطلب فيه المنظمات أفضل استخدام للموارد ، وكل فرصة حاسمة ، فإن الأمل في الأفضل ببساطة لا يعمل بعد الآن.

من خلال اعتماد مناهج معالجة الفرص من ISO 31000 وإدخالها في عملية إدارة المخاطر ISO 27001 ، قد تكشف المؤسسات عن مجموعة جديدة من الفرص وتستفيد منها والتي لا يمكنها فقط تحسين العمليات الداخلية ، ولكن أيضًا زيادة الأرباح وظهور السوق.

كيفية إجراء تقييم المخاطر ISO 27001

عادةً ما يكون إجراء تقييم المخاطر وفقًا لمعيار ISO 27001 بمثابة صداع فقط عند القيام بذلك للمرة الأولى - مما يعني أن تقييم المخاطر لا يجب أن يكون صعبًا بمجرد أن تعرف كيف يتم ذلك.

لذا ، كيف يمكنك تجهيز نفسك لتقليل هذا الصداع؟
هل تقوم بذلك بمفردك أو تقوم بتعيين مستشار؟

نظرًا لأن تقييم المخاطر ومعالجتها تستغرق وقتًا طويلاً ومعقدة ، يمكنك أن تقرر ما إذا كان سيتم إدارتها من قبل مدير المشروع / مسؤول أمن المعلومات الرئيسي بمفرده ، أو بمساعدة بعض الخبراء المعينين (على سبيل المثال ، مستشار). يمكن أن يكون المستشار مفيدًا جدًا للشركات الكبيرة ، ليس فقط لتوجيه المنسق خلال العملية برمتها ، ولكن أيضًا لأداء جزء من العملية - على سبيل المثال ، يمكن للمستشار إجراء ورش العمل و / أو المقابلات ، وتجميع جميع المعلومات ، وكتابة التقارير ، وما إلى ذلك ، في حين يجب على المنسق إدارة العملية بأكملها وتنسيق الأشخاص داخل الشركة.

عادةً ما يكون لدى الشركات الأكبر حجمًا فرق مشروع لتنفيذ ISO 27001 ، لذلك سيشارك فريق المشروع نفسه في عملية تقييم المخاطر - يمكن أن يكون أعضاء فريق المشروع هم الذين يجرون المقابلات.

لا تحتاج الشركات الصغيرة إلى مستشار أو فريق مشروع - نعم ، سيتعين على مدير المشروع الحصول على بعض التعليم أولاً ، ولكن مع الوثائق و / أو الأدوات المناسبة ، يمكن إجراء هذه العملية دون مساعدة الخبراء.

هل يجب عليك استخدام أداة لتقييم المخاطر؟

يمكن للأدوات تسريع عملية تقييم المخاطر ومعالجتها لأنها يجب أن تحتوي على كتالوجات مدمجة للأصول والتهديدات ونقاط الضعف ؛ ينبغي أن يكونوا قادرين على تجميع النتائج بشكل شبه تلقائي ؛ كما يجب أن يكون إعداد التقارير أمرًا سهلاً - وكل ذلك يجعلها خيارًا جيدًا جدًا للشركات الكبيرة.

ومع ذلك ، بالنسبة للشركات الأصغر ، قد يكون سعر هذه الأدوات عقبة ، على الرغم من أن العائق الأكبر في رأيي هو حقيقة أن مثل هذه الأدوات تكون في بعض الأحيان معقدة للغاية بالنسبة للشركات الصغيرة. بمعنى آخر ، عادةً ما يكون الوقت اللازم لتعلم العمل باستخدام هذه الأداة أطول بكثير مما يستغرقه التعامل مع عشرات أوراق Excel. ناهيك عن أن هذه الأدوات تتطلب منك عادةً اتباع منهجية مفرطة التعقيد لتقييم المخاطر ، والتي قد تكون مبالغة بالنسبة للشركات الصغيرة.

بمعنى آخر ، إذا كنت شركة صغيرة ، فاختر أداة تقييم المخاطر بعناية وتأكد من أنها سهلة الاستخدام للمؤسسات الصغيرة.

خيارات لجمع المعلومات

يعني تقييم المخاطر أنه يجب عليك الحصول على قدر كبير من المدخلات من موظفيك - بشكل أساسي ، هناك ثلاث طرق للقيام بذلك:

 إجراء تقييم للمخاطر من خلال المقابلات - وهذا يعني أن المنسق سيجري مقابلة مع الشخص (الأشخاص) المسؤولين من كل قسم ، حيث سيشرح الغرض من تقييم المخاطر أولاً ، ويتأكد من أن كل قرار يتخذه الشخص المسؤول حول مستوى الخطر ( النتيجة والاحتمالية) منطقية وغير منحازة.
 قم بإجراء ورش عمل مع أشخاص مسؤولين - في ورش العمل هذه ، يشرح المنسق لجميع الأشخاص المسؤولين الغرض من تقييم المخاطر ، ومن خلال العديد من الأمثلة الواقعية ، يوضح كيفية تحديد المخاطر وتقييم مستواها.
 أرسل الأوراق مع شرح مفصل - هنا لا تساعد الأشخاص المسؤولين بشكل مباشر ، لكنك ترسل إليهم منهجية تقييم المخاطر أو بعض الإرشادات الأخرى حول كيفية ملء أوراق تقييم المخاطر ، ويقومون بذلك بأنفسهم.

ربما يكون الخيار الأخير هو الأسهل من وجهة نظر المنسق ، لكن المشكلة تكمن في أن المعلومات التي يتم جمعها بهذه الطريقة ستكون منخفضة الجودة. إذا لم تكن عملية تقييم المخاطر واضحة جدًا بالنسبة لك ، فتأكد من أنها ستكون أقل وضوحًا للموظفين الآخرين في شركتك ، بغض النظر عن مدى روعة تفسيرك الكتابي.

بالطبع ، من المحتمل أن يؤدي إجراء المقابلات إلى نتائج أفضل ؛ ومع ذلك ، غالبًا ما يكون هذا الخيار غير ممكن لأنه يتطلب استثمارًا كبيرًا لوقت المنسق. لذلك ، غالبًا ما يكون أداء ورش العمل هو الحل الأفضل.

من الذي يقرر مستوى المخاطرة؟

يجب دائمًا ترك القرار بشأن مستوى المخاطرة (العواقب والاحتمالية) للأشخاص المسؤولين عن الأنشطة - لن يعرف المنسق أبدًا الأصول والعمليات والبيئة جيدًا بما يكفي لاتخاذ مثل هذه القرارات ، ولكن الأشخاص الذين يعملون هناك سيفعلون ذلك بالتأكيد. لدي فكرة أفضل.

ومع ذلك ، فإن المنسق لديه وظيفة مهمة أخرى أثناء عملية تقييم المخاطر - بمجرد أن يبدأ في تلقي نتائج تقييم المخاطر ، عليه التأكد من أنها منطقية وأن المعايير بين الإدارات المختلفة موحدة. على الرغم من إجراء ورش العمل ، أو تقديم تفسير أثناء المقابلة إلى الشخص المسؤول ، إلا أنهم يميلون دائمًا إلى إعطاء أهمية أكبر (بمعنى مخاطر أعلى) لقسمهم - في مثل هذه الحالات ، يجب على المنسق التشكيك في هذا التقييم واطلب من هذا الشخص إعادة النظر في قراره.

لا تكن منشد للكمال

إدارة المخاطربشكل عام ، ولكن بشكل خاص تقييم المخاطر وتحليل المخاطر ، قد تبدو فرصة مثالية لتعقيد الأمور - نظرًا لأن متطلبات ISO 27001 مبسطة إلى حد ما ، يمكنك إضافة العديد من العناصر في محاولة جعل منهجك أكثر "علمية".

لكن عليك أن تطرح على نفسك سؤالاً واحداً: هل هدفك هو إنشاء تقييم مثالي للمخاطر يجب إجراؤه لعدة أشهر أو ربما سنوات (لأنه من الصعب للغاية سرد جميع المخاطر المحتملة التي يمكن أن تكون) ، أو هل هدف إنهاء هذه العملية في إطار زمني معقول ، مع العلم أنها لن تكون دقيقة بنسبة 100٪؟

إذا اخترت النهج الأخير ، فستحدد المخاطر الرئيسية ، وستجعل موظفيك يبدأون في التفكير في ضرورة حماية معلومات الشركة. وستتاح لك دائمًا الفرصة لإضافة المخاطر الأخرى لاحقًا ، بمجرد الانتهاء من التنفيذ الأولي. هذا ما يتطلبه ISO 27001 منك على أي حال ، كجزء من التحسين المستمر.

الخطوات الرئيسية في تقييم المخاطر ISO 27001

يتطلب ISO 27001 أن يكون لتقييم المخاطر خمس خطوات رئيسية ، نفس الخطوات الموضحة في القسم الخاص بمنهجية تقييم المخاطر:

 تحديد المخاطر (سرد الأصول والتهديدات ونقاط الضعف)
 تعيين أصحاب المخاطر (الأشخاص المسؤولين عن المخاطر)
 تحليل المخاطر (تقييم العواقب والاحتمالية)
 حساب المخاطر (تحديد مستوى المخاطر)
 تقييم المخاطر (قبول المخاطر على أساس المعايير)

يتم وصف كل خطوة من هذه الخطوات في الأقسام التالية.

كيفية مطابقة الأصول والتهديدات ونقاط الضعف

تسمح لك المراجعة الحالية لعام 2022 لمعيار ISO 27001 بتحديد المخاطر باستخدام أي منهجية تريدها ؛ ومع ذلك ، فإن المنهجية المسماة "تقييم المخاطر القائم على الأصول" (التي حددتها المراجعة القديمة لعام 2005 ISO 27001) لا تزال مهيمنة ، وتتطلب تحديد الأصول والتهديدات ونقاط الضعف.

إذن ، كيف تجمع بين الأصول والتهديدات ونقاط الضعف من أجل تحديد المخاطر؟

كيفية التعرف على المخاطر

لتسهيل تقييم المخاطر ، يمكنك استخدام ورقة أو برنامج يسرد الأصول والتهديدات ونقاط الضعف في الأعمدة ؛ يجب عليك أيضًا تضمين بعض المعلومات الأخرى مثل معرف المخاطر ، وأصحاب المخاطر ، والتأثير والاحتمال ، وما إلى ذلك.

إذا كنت تستخدم ورقة ، فقد وجدت أنه من الأسهل البدء في سرد العناصر عمودًا بعد عمود ، وليس صفًا بعد - وهذا يعني أنه يجب عليك إدراج جميع الأصول الخاصة بك أولاً ، وبعد ذلك فقط تبدأ في العثور على اثنين من التهديدات لكل أصل ، وأخيرًا ، والعثور على اثنين من نقاط الضعف لكل تهديد.

لمعرفة أنواع الأصول التي يجب أن تأخذها في الاعتبار ، اقرأ هذه المقالة: إدارة الأصول وفقًا لمعيار ISO 27001: كيفية التعامل مع سجل الأصول / جرد الأصول ، وانقر هنا للاطلاع على كتالوج بالتهديدات ونقاط الضعف المناسبة للأصغر والمتوسطة الشركات ذات الحجم.
العلاقة بين الأصول والتهديدات ونقاط الضعف

لذلك ، دعونا نرى كيف يمكن أن تبدو هذه المطابقة للمكونات الثلاثة - على سبيل المثال:

الأصل - مستند ورقي:

 التهديد: حريق الثغرة الأمنية: لا يتم تخزين المستند في خزانة مقاومة للحريق (الخطر المتعلق بفقدان توافر المعلومات)
 التهديد: حريق الثغرة الأمنية: لا يوجد نسخة احتياطية من المستند (احتمال فقدان التوفر)
 التهديد: الوصول غير المصرح به ؛ الثغرة الأمنية: المستند غير مغلق في خزانة (احتمال فقدان السرية)

الأصل - مستند رقمي:

 التهديد: فشل القرص. الثغرة الأمنية: لا يوجد نسخة احتياطية من المستند (احتمال فقدان التوفر)
 التهديد: فيروس؛ الضعف: لم يتم تحديث برنامج مكافحة الفيروسات بشكل صحيح (احتمال فقدان السرية والنزاهة والتوافر)
 التهديد: الوصول غير المصرح به ؛ الضعف: لم يتم تعريف مخطط التحكم في الوصول بشكل صحيح (احتمال فقدان السرية والنزاهة والتوافر)
 التهديد: الوصول غير المصرح به ؛ الضعف: تم منح الوصول إلى عدد كبير جدًا من الأشخاص (احتمال فقدان السرية والنزاهة والتوافر)

الأصل - مسؤول النظام (شخص):

 التهديد: عدم وجود هذا الشخص ؛ الضعف: لا يوجد بديل لهذا المنصب (احتمال فقدان التوافر)
 التهديد: أخطاء متكررة ؛ الضعف: نقص التدريب (احتمال فقدان النزاهة والتوافر)

قد يبدو هذا معقدًا للوهلة الأولى ، ولكن بمجرد أن تبدأ في القيام بذلك ، سترى أنه يسير بسرعة إلى حد ما.

تجميع الأصول

من أجل تسريع العملية ، يجب عليك تجميع أصولك بحيث يكون لديك عدد أقل من العناصر لإجراء تقييم المخاطر بها - على سبيل المثال:

 إذا كان لديك العديد من أجهزة الكمبيوتر المحمولة في شركتك ، فيجب عليك استخدام عنصر واحد يسمى "أجهزة الكمبيوتر المحمولة".
 إذا كان لديك عدة خوادم ، فيمكنك تجميعها في ، على سبيل المثال ، "خوادم فعلية" و "خوادم افتراضية" ، أو ربما "خوادم للاستخدام الداخلي" و "خوادم إنتاج بها بيانات العملاء".
 إذا كنت تستخدم العديد من تطبيقات SaaS ، فيمكنك تجميعها في ، على سبيل المثال ، "SaaS للتسويق والمبيعات" و "SaaS لتطوير البرامج" وما إلى ذلك.
 يمكنك تجميع موظفيك في ، على سبيل المثال ، "الإدارة العليا" و "مسؤولي نظام تكنولوجيا المعلومات" و "الموظفين الآخرين".

كم عدد المخاطر الكافية؟

في كثير من الأحيان ، يسألني الناس عن عدد المخاطر التي ينبغي عليهم سردها. إذا بدأوا في أن يكونوا دقيقين حقًا ، فبإمكانهم العثور على 10 تهديدات لكل أصل ، ولكل تهديد خمس نقاط ضعف على الأقل - هذا أمر ساحق للغاية ، أليس كذلك؟ إذا كنت شركة صغيرة تمتلك 50 أصلًا ، فهذا يعني أنك ستنتهي مع 2500 مخاطرة ، والتي من المحتمل أن تكون مبالغة بالنسبة لهذا الحجم من الشركة.

هذا هو السبب في أنه يجب عليك التركيز فقط على أهم التهديدات ونقاط الضعف - على سبيل المثال ، ثلاثة إلى خمسة تهديدات لكل أصل ، وواحدة أو اثنتين من نقاط الضعف لكل تهديد.

هناك عوامل أخرى ستؤثر على عدد المخاطر - على سبيل المثال ، إذا كنت مؤسسة مالية ، أو تقدم خدمات للجيش ، فمن المحتمل أن تبذل جهدًا إضافيًا لتحديد مخاطر أكثر مما هو موضح أعلاه.

بالطبع ، ستكتشف بمرور الوقت مخاطر أخرى لم تحددها من قبل - يجب عليك إضافتها إلى قائمة المخاطر لاحقًا. بعد كل شيء ، هذا هو ما يدور حوله التحسين المستمر في ISO 27001.

لماذا لا تزال هذه المنهجية جيدة؟

أنا شخصياً أحب منهجية تهديدات الأصول ونقاط الضعف هذه قليلاً ، لأنني أعتقد أنها توفر توازنًا جيدًا بين إجراء تقييم المخاطر بسرعة ، وفي نفس الوقت القيام بذلك بشكل منهجي ومفصل بما فيه الكفاية بحيث يمكن للمرء تحديد مكان الأمان المحتمل المشكله هي.

وهذا ما يدور حوله تقييم المخاطر حقًا: تعرف على المشكلة المحتملة قبل حدوثها بالفعل. بعبارة أخرى ، يخبرك ISO 27001: الأمان أفضل من الأسف.

تعيين أصحاب المخاطر

بمجرد أن تكون لديك قائمة بالمخاطر التي تتعرض لها ، فإنك تحتاج إلى تحديد المسؤول عن كل منها.

في الشركات الصغيرة جدًا ، يمكنك ترشيح شخص واحد فقط ليكون صاحب المخاطر لجميع المخاطر ؛ ومع ذلك ، بالنسبة للشركات الكبيرة والصغيرة على حد سواء ، فإن النهج الأفضل هو النظر في كل خطر على حدة وتحديد أصحاب المخاطر بناءً على هذه العوامل:

 الشخص الذي يعرف الأصل هو الأفضل ، و
 الشخص الذي لديه القدرة على إجراء التغييرات اللازمة

على سبيل المثال ، قد يكون مالك المخاطر المتعلقة بسجلات الموظفين هو رئيس قسم الموارد البشرية ، لأن هذا الشخص يعرف بشكل أفضل كيفية استخدام هذه السجلات وما هي المتطلبات القانونية ، ولديه السلطة الكافية لمتابعة التغييرات في العمليات والتكنولوجيا اللازمة للحماية.
كيفية تحديد العواقب والاحتمالات

الخطوة التالية هي حساب حجم كل خطر - يتم تحقيق ذلك من خلال تقييم العواقب (وتسمى أيضًا التأثير) إذا تحققت المخاطر وتقييم مدى احتمالية حدوثها ؛ باستخدام هذه المعلومات ، يمكنك بسهولة حساب مستوى المخاطرة.

لا يخبرك ISO 27001 حقًا بكيفية إجراء تقييم المخاطر الخاص بك ، لكنه يخبرك أنه يجب عليك تقييم العواقب والاحتمالات ، وتحديد مستوى المخاطر - لذلك ، الأمر متروك لك لتحديد النهج الأنسب لـ أنت.

استنادًا إلى ISO 27005 ، هناك طريقتان أساسيتان لتحليل المخاطر باستخدام الطريقة النوعية - تقييم بسيط للمخاطر وتقييم مفصل للمخاطر - ستجد شرحهما أدناه. يقترح ISO 27005 أيضًا بعض الأساليب الأخرى لتقييم المخاطر ، لكنها أكثر تعقيدًا ولا يتم تناولها في هذه المقالة.

ستجد شرحًا عن سبب عدم إمكانية استخدام التقييم الكمي للمخاطر في الممارسة العادية لاحقًا في هذه المقالة.

تقييم بسيط (أو أساسي) للمخاطر

في تقييم المخاطر البسيط ، تقوم بتقييم العواقب والاحتمالات بشكل مباشر - بمجرد تحديد المخاطر ، عليك ببساطة استخدام المقاييس لتقييم النتائج واحتمالية كل خطر بشكل منفصل. على سبيل المثال ، يمكنك استخدام المقياس من 0 إلى 4 ، حيث سيكون 0 منخفضًا جدًا ، أو 1 منخفضًا ، أو 2 متوسطًا ، وهكذا ، أو المقياس من 1 إلى 10 ، أو منخفض - متوسط - مرتفع ، أو أي مقياس آخر. كلما كان المقياس أكبر ، زادت دقة النتائج التي ستحصل عليها ، ولكن أيضًا كلما زاد الوقت الذي ستقضيه في إجراء التقييم.

لذلك ، على سبيل المثال ، في تقييم المخاطر البسيط قد يكون لديك شيء مثل هذا:

 الأصل: كمبيوتر محمول
 التهديد: السرقة
 الضعف: لا يعرف الموظفون كيفية حماية أجهزتهم المحمولة
 العواقب: 3 (على مقياس من 0 إلى 4)
 الاحتمالية: 4 (على مقياس من 0 إلى 4)

تقييم مفصل للمخاطر

في التقييم التفصيلي للمخاطر ، بدلاً من تقييم عنصرين (العواقب والاحتمالات) ، تقوم بتقييم ثلاثة عناصر: قيمة الأصول ، والتهديد ، والضعف. إذن ، إليك مثال على هذا التقييم التفصيلي للمخاطر:

 الأصل: كمبيوتر محمول
 التهديد: السرقة
 الضعف: لا يعرف الموظفون كيفية حماية أجهزتهم المحمولة
 قيمة الأصول: 3 (على مقياس من 0 إلى 4)
 قيمة التهديد: 2 (على مقياس من 0 إلى 2)
 قيمة الضعف: 2 (على مقياس من 0 إلى 2)

عندما تفكر في هذا عن كثب ، من خلال هذه العناصر الثلاثة في التقييم التفصيلي للمخاطر ، سوف تقوم بشكل غير مباشر بتقييم العواقب والاحتمالات: من خلال تقييم قيمة الأصول ، فأنت تقوم ببساطة بتقييم نوع الضرر (أي النتيجة) الذي يمكن أن يحدث لهذا الأصل إذا كانت سريتها أو سلامتها أو توفرها معرضة للخطر ؛ تؤثر كل من التهديدات ونقاط الضعف بشكل مباشر على الاحتمالية - فكلما زاد التهديد وزادت نقاط الضعف ، زاد احتمال حدوث الخطر والعكس صحيح.

وبشكل أساسي ، هذا هو - إذا كنت شركة أصغر ، فسيكون تقييم المخاطر البسيط كافياً بالنسبة لك ؛ إذا كنت شركة متوسطة الحجم أو أكبر ، فإن التقييم المفصل للمخاطر سيفي بالغرض. ولست بحاجة إلى إضافة المزيد من العناصر ، لأن ذلك سيجعل عملك أكثر صعوبة.

لماذا تقييم كل من الأصول والنتائج خاطئ؟

في كثير من الأحيان ، أرى الشركات تنفذ تقييمًا بسيطًا للمخاطر (أي أنها تقيم النتائج والاحتمالات بشكل مباشر) ، لكنها تضيف أيضًا قيمة الأصول إلى هذا التقييم.

لماذا هذا خطأ؟ نظرًا للحقيقة البسيطة المتمثلة في أنهم قاموا بالفعل بتقييم العواقب مرة واحدة ، لذلك لا يحتاجون إلى تقييمها مرة أخرى من خلال قيمة الأصول.

لذا ، مرة أخرى - لا تحاول التفوق على نفسك وإنشاء شيء معقد لمجرد أنه يبدو لطيفًا.

كيف تحسب مستوى المخاطرة

يعد حساب المخاطر في الواقع أمرًا بسيطًا للغاية - ويتم ذلك عادةً من خلال إضافة (على سبيل المثال ، 2 + 5 = 7) أو من خلال الضرب (على سبيل المثال ، 2 × 5 = 10) العواقب والاحتمالية. إذا كنت تستخدم مقياسًا منخفضًا-متوسطًا-مرتفعًا ، فهذا هو نفس استخدام 1-2-3 ، لذلك لا يزال لديك أرقام للحساب.

لذلك ، باستخدام الأمثلة من القسم السابق ، إليك كيفية حساب المخاطر باستخدام الإضافة:

 تقييم بسيط للمخاطر: العواقب (3) + الاحتمالية (4) = المخاطر (7)
 تقييم تفصيلي للمخاطر: قيمة الأصول (3) + قيمة التهديد (2) + قيمة الضعف (2) = المخاطر (7)

في تقييم المخاطر المفصل الموضح في القسم السابق ، ستلاحظ أنني استخدمت مقياس 0 إلى 4 لتقييم قيمة الأصول ، والمقياس الأصغر من 0 إلى 2 لتقييم التهديدات ونقاط الضعف. ويرجع ذلك إلى أن وزن العواقب يجب أن يكون هو نفسه وزن الاحتمالية - نظرًا لأن التهديدات ونقاط الضعف "تمثل" معًا الاحتمالية ، فإن أقصى قيمة مضافة لها هي 4 ، وهي نفس القيمة المضافة للأصل (أي النتيجة).

تقييم الخطر

بعد أن تقوم بحساب المخاطر ، عليك تقييم ما إذا كانت مقبولة أم لا.

هذه الخطوة سهلة - عليك ببساطة مقارنة مستوى المخاطرة الذي حسبته مع المستوى المقبول من منهجية تقييم المخاطر الخاصة بك. على سبيل المثال ، إذا كان مستوى المخاطرة لديك هو 7 ، ومستوى المخاطرة المقبول هو 5 ، فهذا يعني أن مخاطرك غير مقبولة.

يجب أن تنتقل جميع المخاطر غير المقبولة إلى المرحلة التالية - معالجة المخاطر في ISO 27001 ؛ جميع المخاطر المقبولة لا تحتاج إلى مزيد من المعالجة.

الغرض من معالجة المخاطر

يعتقد معظم الناس أن تقييم المخاطر هو أصعب جزء في تطبيق ISO 27001 - صحيح ، ربما يكون تقييم المخاطر هو الأكثر تعقيدًا ، لكن معالجة المخاطر هي بالتأكيد أكثر استراتيجية وأكثر تكلفة.

يبدو أن الغرض من معالجة المخاطر بسيط إلى حد ما: للتحكم في المخاطر التي تم تحديدها أثناء تقييم المخاطر ؛ في معظم الحالات ، قد يعني هذا تقليل المخاطر عن طريق تقليل احتمالية وقوع حادث (على سبيل المثال ، باستخدام مواد بناء غير قابلة للاشتعال) ، و / أو تقليل التأثير على الأصول (على سبيل المثال ، باستخدام أنظمة إخماد الحرائق التلقائية).

أثناء معالجة المخاطر ، يجب على المنظمة التركيز على تلك المخاطر غير المقبولة ؛ خلاف ذلك ، سيكون من الصعب تحديد الأولويات وتمويل التخفيف من جميع المخاطر المحددة.

أربعة خيارات العلاج الأكثر شيوعًا

بمجرد حصولك على قائمة بالمخاطر غير المقبولة من مرحلة تقييم المخاطر ، عليك أن تذهب واحدة تلو الأخرى وتقرر كيفية التعامل مع كل منها - عادة ، يتم تطبيق هذه الخيارات:

 تقليل المخاطر - هذا الخيار هو الأكثر شيوعًا ، ويتضمن تنفيذ إجراءات الحماية (عناصر التحكم) - على سبيل المثال ، من خلال تنفيذ النسخ الاحتياطي ، ستقلل من مخاطر فقدان البيانات.
 تجنب المخاطر - توقف عن أداء مهام أو عمليات معينة إذا كانت تنطوي على مثل هذه المخاطر التي هي ببساطة أكبر من أن تخفف من أي خيارات أخرى - على سبيل المثال ، يمكنك أن تقرر حظر استخدام أجهزة الكمبيوتر المحمولة خارج مقر الشركة إذا كان هناك خطر الوصول غير المصرح به إلى أجهزة الكمبيوتر المحمولة هذه مرتفعة للغاية (لأن مثل هذه الاختراقات ، على سبيل المثال ، يمكن أن توقف البنية التحتية الكاملة لتكنولوجيا المعلومات التي تستخدمها).
 شارك المخاطر - وهذا يعني أنك تنقل المخاطر إلى طرف آخر - على سبيل المثال ، تشتري بوليصة تأمين لخادمك الفعلي ضد الحريق ، وبالتالي تقوم بتحويل جزء من المخاطر المالية الخاصة بك إلى شركة تأمين. لسوء الحظ ، ليس لهذا الخيار أي تأثير على الحادثة نفسها ، لذا فإن أفضل استراتيجية هي استخدام هذا الخيار مع الخيارين 1) أو 2).
 احتفظ (تقبل) المخاطرة - هذا هو الخيار الأقل استحسانًا ، وهذا يعني أن مؤسستك تقبل المخاطرة دون فعل أي شيء حيال ذلك. يجب استخدام هذا الخيار فقط إذا كانت تكلفة التخفيف أعلى من الضرر الذي قد يتكبده الحادث.

يعد تقليل المخاطر هو الخيار الأكثر شيوعًا لمعالجة المخاطر ، ولهذا الغرض ، يتم استخدام الضوابط من ISO 27001 الملحق أ (وأي ضوابط أخرى تعتقد الشركة أنها مناسبة). انظر هنا إلى كيفية تنظيم عناصر التحكم: فهم عناصر تحكم ISO 27001 من الملحق أ.

تنفيذ الضوابط الأمنية

قبل البدء في عملية التنفيذ ، يجب أن تكون على دراية بالمخاطر غير المقبولة من تقييم المخاطر ، ولكن أيضًا ميزانيتك المتاحة للسنة الحالية ، لأن الضوابط في بعض الأحيان تتطلب استثمارًا.

عند تحديد عناصر تحكم جديدة ، هناك ثلاثة أنواع أساسية من عناصر التحكم:

 تحديد قواعد جديدة: يتم توثيق القواعد من خلال الخطط والسياسات والإجراءات والتعليمات وما إلى ذلك ، على الرغم من أنك لست مضطرًا لتوثيق بعض العمليات الأقل تعقيدًا.
 تطبيق تقنية جديدة: على سبيل المثال ، أنظمة النسخ الاحتياطي ، ومواقع التعافي من الكوارث لمراكز البيانات البديلة ، وما إلى ذلك.
 تغيير الهيكل التنظيمي: في بعض الحالات ، ستحتاج إلى إدخال وظيفة وظيفية جديدة ، أو تغيير مسؤوليات منصب قائم.

تحديد الضوابط التي يجب تحديدها

علاج المخاطر هو خطوة لا تشمل فيها عادةً دائرة واسعة جدًا من الأشخاص - سيتعين عليك التفكير في كل خيار علاجي مع المتخصصين في شركتك الذين يركزون على مجالات معينة. على سبيل المثال ، إذا كان العلاج يتعلق بتكنولوجيا المعلومات ، فستتحدث إلى فريق تكنولوجيا المعلومات لديك ؛ إذا كان الأمر يتعلق بالتدريبات الجديدة ، فسوف تتحدث إلى الموارد البشرية ، إلخ.

بالطبع ، سيتطلب القرار النهائي بشأن أي خيار علاج جديد قرارًا من مستوى الإدارة المناسب - في بعض الأحيان يكون CISO قادرًا على اتخاذ مثل هذه القرارات ، وأحيانًا يكون فريق المشروع الخاص بك ، وأحيانًا يتعين عليك الذهاب إلى رئيس القسم مسؤول عن مجال معين (على سبيل المثال ، رئيس القسم القانوني إذا طلبت بنودًا إضافية في العقود مع شركائك) ، أو ربما إلى المستوى التنفيذي لاستثمارات أكبر. إذا كانت لديك شكوك بشأن من يمكنه أن يقرر ماذا ، فاستشر راعي مشروعك.

المخاطر المتبقية

إذا اخترت قياس المخاطر المتبقية ، أي المخاطر التي ستبقى بعد تطبيق الضوابط ، فيجب أن يتم ذلك مع الأشخاص المسؤولين في كل قسم. يجب أن تُظهر لهؤلاء الأشخاص خيارات العلاج التي خططت لها ، وبناءً على هذه المعلومات ، وباستخدام نفس المقاييس المستخدمة في تقييم المخاطر ، قم بتقييم المخاطر المتبقية لكل خطر غير مقبول تم تحديده مسبقًا أثناء تقييم المخاطر.

لذلك ، على سبيل المثال ، إذا كنت قد حددت نتيجة للمستوى 4 واحتمالية المستوى 5 أثناء تقييم المخاطر الخاص بك (والذي قد يعني خطر 9 من خلال طريقة الإضافة) ، فقد تكون المخاطر المتبقية لديك 5 إذا قمت بتقييم أن النتيجة سوف أقل إلى 3 والاحتمال إلى 2 بسبب ، على سبيل المثال ، الضمانات التي خططت لتنفيذها.

لا تكون الضوابط الأمنية الأكثر تكلفة هي الأفضل دائمًا

عند التفكير في خيارات معالجة المخاطر ، وخاصة الضمانات التي تنطوي على استثمار في التكنولوجيا ، يرجى الحذر مما يلي: في كثير من الأحيان ، ستكون الفكرة الأولى التي تتبادر إلى الذهن هي الأغلى. ومع ذلك ، في بعض الأحيان توجد بدائل ستكون فعالة بنفس القدر ، ولكن بتكلفة أقل - لذلك ، فكر مليًا قبل شراء نظام جديد باهظ الثمن.

كن على دراية أيضًا بأن معظم المخاطر موجودة بسبب السلوك البشري ، وليس بسبب الآلات - لذلك ، من المشكوك فيه ما إذا كانت الآلة هي الحل لمشكلة بشرية.

بمعنى آخر ، عند معالجة المخاطر ، يجب أن تكون مبدعًا - فأنت بحاجة إلى معرفة كيفية تقليل المخاطر بأقل قدر من الاستثمار. سيكون الأمر أسهل إذا كانت ميزانيتك غير محدودة ، لكن هذا لن يحدث أبدًا.

كيفية كتابة تقرير عن تقييم المخاطر والعلاج

لا تحدد ISO 27001 محتويات تقرير تقييم المخاطر ؛ يقول فقط أن نتائج تقييم المخاطر وعملية معالجة المخاطر بحاجة إلى التوثيق - وهذا يعني أنه يجب تدوين كل ما قمت به خلال هذه العملية. لذلك ، لا يتعلق هذا التقرير بالتقييم فقط - بل يتعلق أيضًا بالعلاج.

يتضمن التقرير جميع المخاطر التي تم تحديدها ، وأصحاب المخاطر ، وتأثيرها واحتمالية حدوثها ، ومستوى المخاطر ، والمخاطر غير المقبولة ، وخيارات العلاج لكل خطر غير مقبول.

عادة ، يتم كتابة التقرير في شكل قصير (على سبيل المثال ، في صفحة واحدة) ، مرفق به قائمة مفصلة بالمخاطر والضوابط.

خطة معالجة المخاطر مقابل عملية معالجة المخاطر - ما الفرق؟

تعد خطة معالجة المخاطر إحدى المستندات الرئيسية في ISO 27001 ؛ ومع ذلك ، غالبًا ما يتم الخلط بينه وبين الوثائق التي يتم إنتاجها كنتيجة لعملية معالجة المخاطر. هذا هو الفرق.

ما هي عملية معالجة المخاطر؟

عملية معالجة المخاطر ليست سوى مرحلة واحدة في عملية إدارة المخاطر التي تتبع مرحلة تقييم المخاطر - في تقييم المخاطر ، يجب تحديد جميع المخاطر ، ويجب تحديد المخاطر غير المقبولة. تتمثل المهمة الرئيسية في خطوة معالجة المخاطر في تحديد خيار واحد أو أكثر لمعالجة كل خطر غير مقبول ، أي تحديد كيفية التخفيف من كل هذه المخاطر.

كما هو موضح في الأقسام أعلاه ، عادة ما تكون هناك أربعة خيارات علاجية متاحة للشركات: تقليل المخاطر ، وتجنب المخاطر ، ومشاركة المخاطر ، والاحتفاظ بالمخاطر.

وفقًا لـ ISO 27001 ، يلزم توثيق نتائج معالجة المخاطر في تقرير تقييم المخاطر ، وهذه النتائج هي المدخلات الرئيسية لكتابة بيان قابلية التطبيق. هذا يعني أن نتائج علاج المخاطر لم يتم توثيقها بشكل مباشر في خطة معالجة المخاطر.

كيف تكتب خطة معالجة المخاطر؟

إذن ، أين هي خطة معالجة المخاطر في هذه العملية برمتها؟ الجواب: لا يمكن كتابته إلا بعد اكتمال بيان قابلية التطبيق.

لماذا هو كذلك؟ لبدء التفكير في خطة معالجة المخاطر ، سيكون من الأسهل التفكير في أنها "خطة عمل" أو "خطة تنفيذ" ، لأن ISO 27001 يتطلب منك إدراج العناصر التالية في هذا المستند:

 ضوابط الأمان والأنشطة الأخرى التي تحتاج إلى تنفيذها
 من المسؤول عن التنفيذ
 ما هي المواعيد النهائية
 ما هي الموارد (أي المالية والبشرية) المطلوبة للتنفيذ ، و
 كيف ستقيم إذا تم التنفيذ بشكل صحيح

ولكن لكتابة مثل هذا المستند ، عليك أولاً تحديد الضوابط التي يجب تنفيذها ، ويتم ذلك (بطريقة منهجية للغاية) من خلال بيان قابلية التطبيق.

الغرض من خطة معالجة المخاطر

السؤال هو - لماذا لم يطلب ISO 27001 توثيق نتائج عملية معالجة المخاطر مباشرة في خطة معالجة المخاطر؟ لماذا كانت هناك حاجة لهذه الخطوة ، في شكل بيان قابلية التطبيق (SoA)؟

في رأيي ، أراد مؤلفو ISO 27001 تشجيع الشركات على الحصول على صورة شاملة لأمن المعلومات - عند تحديد الضوابط القابلة للتطبيق وأيها غير قابلة للتطبيق - من خلال بيان قابلية التطبيق. بالنسبة إلى SoA ، فإن نتيجة معالجة المخاطر ليست المدخل الوحيد - فالمدخلات الأخرى هي المتطلبات القانونية والتنظيمية والتعاقدية ، واحتياجات الأعمال الأخرى ، وما إلى ذلك. وبعبارة أخرى ، فإن SoA هي وثيقة أكثر استراتيجية تحدد ملف تعريف الأمان للمؤسسة ، في حين أن خطة معالجة المخاطر هي خطة تنفيذ تلك الإستراتيجية.

بمجرد كتابة هذا المستند ، من الأهمية بمكان الحصول على موافقة إدارتك لأن الأمر سيستغرق وقتًا وجهدًا (ومالًا) كبيرين لتنفيذ جميع عناصر التحكم التي خططت لها هنا. وبدون التزامهم ، لن تحصل على أي منها.

في الختام - خطة معالجة المخاطر هي النقطة التي تتوقف عندها النظرية ، وتبدأ الحياة الواقعية وفقًا لمعيار ISO 27001. سيوفر التقييم الجيد للمخاطر وعملية معالجة المخاطر ، بالإضافة إلى بيان شامل للتطبيق ، الأسس لمعرفة ما تريده. تتعلق بأمنك ، ولكن خطة معالجة المخاطر هي المكان الذي تحتاج فيه لبدء فعل الشيء الحقيقي. لكن لا يمكنك البدء في فعل الشيء الحقيقي قبل أن تكتشف الشيء الصحيح الذي يجب عليك فعله.

تحليل فجوة ISO 27001 مقابل تقييم المخاطر

في كثير من الأحيان ، أرى الناس يخلطون بين تحليل الفجوة وتقييم المخاطر - وهو أمر مفهوم ، لأن الغرض من كليهما هو تحديد أوجه القصور في أمن المعلومات لشركتهم. ومع ذلك ، من منظور ISO 27001 ، ومن منظور مدقق الشهادات ، فإن هذين الاثنين مختلفان تمامًا.

ما هو تحليل الفجوة في ISO 27001؟

تحليل الثغرات ليس سوى قراءة كل بند من بنود ISO 27001 وتحليل ما إذا كان هذا المطلب قد تم تنفيذه بالفعل في شركتك. عندما تفعل ذلك ، يمكنك إما أن تقول نعم أو لا ، أو يمكنك استخدام مقياس مشابه لهذا:

 0 - المتطلبات لم تنفذ ولا مخطط لها
 1 - المتطلب مخطط ولكنه لم ينفذ
 2 - يتم تنفيذ المطلب بشكل جزئي فقط ، بحيث لا يمكن توقع التأثيرات الكاملة
 3 - تم تنفيذ المتطلب ولكن لا يتم تنفيذ القياس والمراجعة والتحسين
 4 - يتم تنفيذ المتطلبات ، ويتم إجراء القياس والمراجعة والتحسين بانتظام

تحليل الثغرات ليس إلزاميًا في ISO 27001 ؛ يتم إجراؤه بشكل غير مباشر عند تطوير بيان قابلية التطبيق - البند 6.1.3 د) الذي ينص على أنك بحاجة إلى تحديد "... ما إذا كانت [الضوابط الضرورية] مطبقة أم لا."

لذلك ، لا تحتاج إلى إجراء تحليل الفجوة لبنود الجزء الرئيسي من المعيار - فقط لعناصر التحكم من الملحق أ. علاوة على ذلك ، لا يلزم إجراء تحليل الفجوة قبل بدء تنفيذ ISO 27001 - أنت يجب أن تفعل ذلك كجزء من بيان قابلية التطبيق الخاص بك ، فقط بعد تقييم المخاطر وعلاجها.

الفرق بين تحليل الفجوة وتقييم المخاطر

يخبرك تحليل الثغرات بمدى بُعدك عن متطلبات / ضوابط ISO 27001 ؛ لا يخبرك بالمشكلات التي يمكن أن تحدث أو ما هي الضوابط التي يجب تنفيذها. يخبرك تقييم المخاطر بالحوادث التي يمكن أن تحدث وعناصر التحكم التي يجب تنفيذها ، ولكنه لا يمنحك نظرة عامة على عناصر التحكم التي تم تنفيذها بالفعل.

في حين أن تقييم المخاطر أمر بالغ الأهمية لتطبيق ISO 27001 ، فإن تحليل الثغرات يتم إجراؤه بشكل غير مباشر فقط عند كتابة بيان قابلية التطبيق - وبالتالي ، فإن أحدهما ليس بديلاً عن الآخر ، وكلاهما مطلوب ، ولكن في مراحل مختلفة من التنفيذ ولأغراض مختلفة.

تقوم الشركات أحيانًا بإجراء تحليل للفجوات قبل بدء تنفيذ ISO 27001 ، من أجل التعرف على مكانهم الحالي ، ومعرفة الموارد التي سيحتاجون إلى استخدامها من أجل تنفيذ ISO 27001. ومع ذلك ، فإن فائدة هذا النهج مشكوك فيه ، لأن تقييم المخاطر فقط هو الذي سيظهر المدى الحقيقي لما يجب تنفيذه وبأي شكل.

تقييم المخاطر مقابل التدقيق الداخلي

في كثير من الأحيان ، أرى أشخاصًا يبحثون عن قوائم مراجعة ISO 27001 لأداء التدقيق الداخلي ؛ ومع ذلك ، فإنهم يتوقعون أن تساعدهم قوائم المراجعة هذه ، على سبيل المثال ، في معرفة المعلومات التي تمتلكها المنظمة ، ومن يمكنه الوصول إليها ، وكيف يتم حمايتها ، ومدى سريتها ، وما إلى ذلك.

المشكلة هي أن هذه الأنواع من الأشياء ليست جزءًا من التدقيق الداخلي ؛ هذا جزء من تقييم المخاطر.

الفرق في التوقيت

الغرض من تقييم المخاطر هو معرفة المشكلات التي يمكن أن تنشأ مع معلوماتك و / أو عملياتك - أي ما يمكن أن يعرض للخطر سرية معلوماتك وسلامتها وتوافرها ، أو ما يمكن أن يهدد استمرارية عملياتك.

وبالتالي ، يجب إجراء تقييم المخاطر في بداية مشروع ISO 27001 ، بينما يتم إجراء التدقيق الداخلي فقط بعد اكتمال التنفيذ.

كيف يتم التدقيق الداخلي؟

التدقيق الداخلي ليس أكثر من سرد جميع القواعد والمتطلبات ، ومن ثم معرفة ما إذا كانت تلك القواعد والمتطلبات قد تم الالتزام بها.

عادة ، القواعد والمتطلبات هي التالية:

 متطلبات ISO 27001 أو ISO 22301 (أو أي معيار ISO آخر)
 متطلبات الأطراف المهتمة (انظر: من هم الأطراف المهتمة ، وكيف يمكنك التعرف عليهم وفقًا لمعيار ISO 27001 و ISO 22301؟)
 القواعد التي وضعتها السياسات والإجراءات الخاصة بالشركة

عند إجراء تدقيق داخلي ، تحتاج إلى التحقق مما إذا كان قد تم الالتزام بكل قاعدة ومتطلبات ، في النطاق الكامل لنظام إدارة أمن المعلومات أو نظام إدارة استمرارية الأعمال.

يتم ذلك باستخدام تقنيات مختلفة:

 فحص جميع الوثائق والسجلات
 مقابلة الموظفين
 الملاحظات الشخصية (على سبيل المثال ، التجول في المبنى)

الاختلافات الرئيسية بين الاثنين

لذلك ، أود أن أقول إن أحد الاختلافات الرئيسية يكمن في العقلية: تقييم المخاطر هو التفكير في الأشياء (المحتملة) التي يمكن أن تحدث في المستقبل ، بينما يتعامل التدقيق الداخلي مع كيفية إنجاز الأشياء في الماضي.

الاختلاف الرئيسي الثاني هو أن التدقيق الداخلي يركز على الامتثال للقواعد والمتطلبات المختلفة ، في حين أن تقييم المخاطر ليس سوى تحليل يوفر أساسًا لبناء قواعد معينة.

الاختلاف الثالث هو أن تقييم المخاطر يتم قبل البدء في تطبيق ضوابط الأمان ، بينما يتم إجراء التدقيق الداخلي بمجرد تنفيذها بالفعل.

ومع ذلك ، لديهم (لسوء الحظ) شيء واحد مشترك: كلاهما غالبًا ما يتم إهمالهما في الشركات لأنه يُنظر إليهما على أنهما مجرد تمرين بيروقراطي ليس له قيمة حقيقية. ومع ذلك ، فإن الأشخاص الذين يعتقدون أن هذا لا يدركون أن كلاهما مهم لبناء أمن معلوماتك.

هل يمكن استخدام تقييم المخاطر ISO 27001 لاستمرارية الأعمال ISO 22301؟

قبل أيام قليلة ، تلقيت السؤال التالي من أحد عملائنا: "ما الفرق بين تقييم مخاطر ISMS وتقييم مخاطر BCM؟" وعلى الرغم من أن الإجابة على هذا السؤال قد تبدو سهلة ، إلا أنها في الواقع ليست كذلك.

إليكم بقية سؤاله: "... لأنني اكتشفت في مدونتك أنه إذا كنت قد أنجزت ISMS ، فلا بأس في BCM. من ناحية أخرى ، توصي ISO 22301 باستخدام معيار ISO 31000 ".

لماذا يعتبر إطار إدارة المخاطر ISO 27001 حلاً جيدًا

صحيح أن ISO 22301 يشير إلى ISO 31000 فيما يتعلق بتقييم المخاطر ، وكذلك ISO 27001 - وهذا لا يعني أنه يمكنك بالفعل استخدام ISO 31000 للتنفيذ ، لأن هذا المعيار مكتوب بشكل عام للغاية لأنه يغطي جميع أنواع المخاطر - ليس فقط استمرارية الأعمال وأمن المعلومات ، وكذلك المخاطر المالية والسوقية والائتمانية وغيرها من المخاطر.

من ناحية أخرى ، تم وصف إطار عمل تقييم المخاطر بشكل أفضل في ISO 27001 ، وبشكل أكثر دقة في ISO 27005 ؛ ينصب تركيز تقييم مخاطر أمن المعلومات على الحفاظ على السرية والنزاهة والتوافر. والتوافر هو الرابط الرئيسي بين أمن المعلومات واستمرارية الأعمال - عند إجراء تقييم مخاطر ISMS ، ستؤخذ جميع مخاطر استمرارية الأعمال في الاعتبار أيضًا.

والشيء الجيد هو أن تقييم المخاطر كما هو موضح في ISO 27001 و ISO 27005 يتوافق تمامًا مع ISO 31000.

الاختلافات المحتملة في النهج

ولكن هذا هو المكان الذي قد يصبح فيه الأمر معقدًا - كان لدى موكلي سؤال آخر ، لأنه أراد توضيح كل شيء: "أعتقد أن هناك اختلافًا آخر بين نهجي تقييم المخاطر هذين - مع ISMS نتعامل مع الأصول (الأساسية والداعمة) ؛ ومع ذلك ، مع BCM نتعامل مع الأنشطة والعمليات الهامة ".

وقد كان محقًا في الأساس - لا يجب أن يكون تقييم مخاطر استمرارية العمل مفصلاً إلى هذا الحد ؛ يمكن جعلها عالية المستوى للأنشطة والعمليات. لكن ، من وجهة نظري ، تكمن المشكلة في التنفيذ - كيف يمكنك التخفيف من المخاطر إذا كنت لا تعرف بالضبط أين تكمن المشاكل؟

هذا هو المكان الذي أعتقد أن إطار عمل تقييم المخاطر ISO 27001 أفضل - فهو يفرض عليك تحديد نقاط الضعف والأصول التي يجب حمايتها بشكل أفضل وما إلى ذلك. إذا حافظت على تقييم المخاطر على مستوى العملية ، فربما لن تحصل على كل شيء هذه المعلومات القيمة.

التوافق مع تخفيف المخاطر

تجدر الإشارة هنا إلى أن خيارات معالجة المخاطر ISO 27001 متوافقة تمامًا مع متطلبات تخفيف المخاطر في ISO 22301 و ISO 31000. بشكل أساسي ، ينخفض تخفيف استمرارية العمل إلى الخيارات الأربعة الموضحة في هذه المقالة أعلاه. لا توجد خيارات مدرجة في ISO 22301 ، بينما في ISO 31000 يتم تسميتها بشكل مختلف قليلاً ويتم تنظيمها بشكل مختلف قليلاً ، لكنها في الأساس هي نفسها.

ولكي ننتهي من هذا: هناك شيء جيد آخر يتعلق بمعيار ISO 27001 - في الملحق أ ، يمنحك كتالوجًا بالضمانات الممكنة للاختيار من بينها ؛ هذا شيء لا يتوفر به أي من ISO 22301 أو ISO 31000.

تقييم المخاطر مقابل تحليل تأثير الأعمال

إذا كنت تقوم بتطبيق ISO 27001 ، أو بشكل خاص ISO 22301 ، لأول مرة ، فمن المحتمل أن تشعر بالحيرة من تقييم المخاطر وتحليل تأثير الأعمال. ما هو هدفهم؟ كيف هم مختلفون؟ هل يمكن إجراؤها في نفس الوقت؟

لتوضيح الأمر بإيجاز ، سيوضح لك تقييم المخاطر أنواع الحوادث التي قد تواجهها ، بينما سيوضح لك تحليل تأثير الأعمال مدى السرعة التي تحتاجها لاستعادة أنشطتك من الحوادث لتجنب حدوث أضرار أكبر.

الغرض من تقييم المخاطر

الغرض من هذا التقييم هو اكتشاف الحوادث التي يمكن أن تحدث لمؤسستك بشكل منهجي ، ثم من خلال عملية معالجة المخاطر للاستعداد لتقليل الأضرار الناجمة عن مثل هذه الحوادث.

من واقع خبرتي ، عادة ما يكون الموظفون (والمؤسسة ككل) على دراية فقط بنسبة 25 إلى 40٪ من المخاطر - لذلك ، ليس من الممكن محاولة تذكر جميع المخاطر عن ظهر قلب ، ويجب القيام بهذا التحديد في بطريقة منهجية.

الغرض من تحليل تأثير الأعمال (BIA)

يعد تحليل تأثير الأعمال إلزاميًا لتنفيذ استمرارية الأعمال وفقًا لمعيار ISO 22301 ، ولكن ليس لـ ISO 27001.

الغرض من BIA في المقام الأول هو إعطائك فكرة عن (1) توقيت التعافي ، و (2) توقيت النسخ الاحتياطي ، نظرًا لأن التوقيت أمر بالغ الأهمية - قد يعني الفارق بين ساعتين فقط مدى الحياة أو وفاة لبعض الشركات إذا تعرضت لحادث كبير.

بتعبير أدق ، سيساعدك تحليل تأثير الأعمال على تحديد الهدف الأقصى المقبول للانقطاع / الاسترداد ، والهدف الأقصى لفقدان البيانات / نقطة الاسترداد ، والموارد المطلوبة ، وغيرها من المعلومات المهمة التي ستساعدك على تطوير استراتيجية استمرارية الأعمال لكل نشاط من أنشطتك. تعرف على المزيد هنا: كيفية تنفيذ تحليل تأثير الأعمال (BIA) وفقًا لمعيار ISO 22301.

الفرق بين الاثنين

كما تم الاستنتاج سابقًا ، يتم استخدام BIA عادةً فقط في استمرارية الأعمال / تنفيذ ISO 22301 ؛ يمكن أن يتم ذلك من أجل أمن المعلومات ، ولكن لن يكون له معنى كبير. تقييم المخاطر (RA) إلزامي لكل من ISO 27001 و ISO 22301.

ثانيًا ، تختلف مخرجات RA قليلاً عن تلك الخاصة بـ BIA - يمنحك RA قائمة بالمخاطر مع قيمها ، بينما يمنحك BIA التوقيت الذي تحتاج فيه إلى استرداد (RTO) ومقدار المعلومات التي يمكنك تحمل خسارتها (RPO).

لذلك ، على الرغم من أن هذين الأمرين مرتبطان لأنه يتعين عليهما التركيز على أصول وعمليات المنظمة ، إلا أنهما يُستخدمان في سياقات مختلفة.

ما الذي يأتي أولاً - تقييم المخاطر أم تحليل تأثير الأعمال؟

في الواقع ، تسمح ISO 22301 بكلا النهجين ، وقد تسمع العديد من النظريات حول أيهما أفضل. ومع ذلك ، أفضل إجراء تقييم للمخاطر أولاً لأنه بهذه الطريقة ، سيكون لديك انطباع أفضل عن الحوادث التي يمكن أن تحدث (أي المخاطر التي تتعرض لها) ، وبالتالي تكون مستعدًا بشكل أفضل لإجراء تحليل تأثير الأعمال (الذي يركز على عواقب تلك الحوادث) ؛ علاوة على ذلك ، إذا اخترت النهج القائم على الأصول لتقييم المخاطر ، فسيكون لديك وقت أسهل في تحديد جميع الموارد لاحقًا في تحليل تأثير الأعمال. ما لا يجب عليك فعله بالتأكيد هو إجراء تقييم للمخاطر وتحليل تأثير الأعمال في نفس الوقت ، لأن كل منهما على حدة هو بالفعل معقد بدرجة كافية - والجمع بينهما عادة يعني مشكلة.

مراجعة ISO 27001 2013 مقابل مراجعة 2022 - هل تغير أي شيء؟

والخبر السار هو أنه لم تكن هناك تغييرات في متطلبات تقييم المخاطر ، لذا فإن كل ما كنت تفعله للامتثال لمراجعة 2013 سيجعلك ممتثلًا لمراجعة 2022.

الأساطير

لنتذكر بعض الخرافات المتعلقة بإدارة المخاطر والتي تم تطويرها حول الإصدار السابق ، ISO 27001: 2013 ، والتي لا تزال خرافات عندما يتعلق الأمر بـ ISO 27001: 2022:

 "يتعين علينا استخدام ISO 31000 لإدارة المخاطر." خطأ - ISO 31000 مذكور فقط في ISO 27001: 2022 ، لكنه ليس إلزاميًا. (راجع أيضًا ISO 31000 و ISO 27001 - ما مدى ارتباطهما؟)
 "يتعين علينا حذف الأصول والتهديدات ونقاط الضعف من تقييمنا للمخاطر في ISO 27001." خطأ مرة أخرى - يمكنك الاحتفاظ بمنهجيتك القديمة إذا كنت ترغب في ذلك ، لأن ISO 27001: 2022 لا يزال يمنحك حرية تحديد المخاطر بالطريقة التي تريدها.
 "لم يعد يتعين علينا تحديد مالكي الأصول". بيان خاطئ آخر - إصدار 2022 من المعيار يتطلب منك القيام بذلك تحت السيطرة A.5.9. (راجع أيضًا أصحاب المخاطر مقابل مالكي الأصول في ISO 27001).
 "تحديد المخاطر على أساس السرية والنزاهة والتوافر (C-I-A) هو مفهوم جديد." خطأ - لا يزال هذا المفهوم موجودًا في ISO 27001: 2022 أيضًا ؛ في الواقع ، يعتمد المعيار بأكمله على مفهوم حماية C-I-A من البداية.

لذلك ، كما ترى ، لا توجد تغييرات في تقييم المخاطر ومعالجتها ، وستجد الانتقال إلى مراجعة 2022 ISO 27001 أمرًا سهلاً نسبيًا. كل ما عليك القيام به هو الاستمرار في تحديد أصحاب المخاطر لكل خطر ، ومنحهم مسؤولية اتخاذ القرارات بشأن المخاطر.

تقييم المخاطر النوعية مقابل التقييم الكمي

في عملية تقييم المخاطر ، هناك سؤال شائع تطرحه المنظمات وهو ما إذا كان ينبغي اتباع نهج كمي أو نوعي. الخبر السار هو أنه يمكنك استخدام النهج الأسهل (النهج النوعي) وأن تكون متوافقًا تمامًا مع ISO 27001 ؛ يمكنك أيضًا استخدام كلا النهجين إذا كنت ترغب في اتخاذ خطوة إلى الأمام في جعل تقييم المخاطر الخاص بك متقدمًا للغاية.

تقييم المخاطر النوعي

في التقييم النوعي للمخاطر ، ينصب التركيز على تصورات الأطراف المعنية حول احتمالية حدوث مخاطر وتأثيرها على الجوانب التنظيمية ذات الصلة (على سبيل المثال ، المالية ، والسمعة ، وما إلى ذلك). يتم تمثيل هذا التصور في مقاييس مثل "منخفض - متوسط - مرتفع" أو "1-2-3-4-5" ، والتي تُستخدم لتحديد القيمة النهائية للمخاطر.

نظرًا لأنه يحتوي على القليل من التبعية الرياضية (يمكن حساب المخاطرة من خلال مجموع بسيط ، أو الضرب ، أو أي شكل آخر من أشكال الجمع غير الرياضي لقيم الاحتمالية والنتائج) ، فإن التقييم النوعي للمخاطر سهل وسريع الأداء.

تتمثل إحدى مشكلات التقييم النوعي في أنه شديد التحيز ، سواء من حيث الاحتمالية أو تحديد التأثير ، من قبل أولئك الذين يقومون به.

على سبيل المثال ، بالنسبة لموظفي الموارد البشرية ، ستكون تأثيرات الموارد البشرية أكثر صلة من تأثيرات تكنولوجيا المعلومات ، والعكس صحيح. فيما يتعلق بالتحيز في الاحتمالية ، قد يؤدي عدم فهم الأطر الزمنية للعمليات الأخرى إلى تفكير شخص ما في أن الأخطاء والإخفاقات تحدث في كثير من الأحيان في عمليته الخاصة أكثر من العمليات الأخرى ، وقد لا يكون هذا صحيحًا.

هذا الموقف مع التحيز بشكل عام يجعل التقييم النوعي أكثر فائدة في السياق المحلي حيث يتم إجراؤه ، لأن الأشخاص خارج السياق ربما يكون لديهم اختلافات فيما يتعلق بتعريف قيمة التأثير.

تقييم المخاطر الكمي

من ناحية أخرى ، يركز التقييم الكمي للمخاطر على البيانات الواقعية والقابلة للقياس لحساب قيم الاحتمالية والتأثير ، ويعبر عادةً عن قيم المخاطر من الناحية النقدية ، مما يجعل نتائجه مفيدة خارج سياق التقييم (خسارة المال مفهومة لأي وحدة عمل ). للوصول إلى نتيجة نقدية ، غالبًا ما يستخدم التقييم الكمي للمخاطر هذه المفاهيم:

 SLE (توقع الخسارة الفردية): المال المتوقع ضياعه في حالة وقوع الحادث مرة واحدة.
 ARO (معدل الحدوث السنوي): عدد المرات التي يُتوقع فيها وقوع الحادث في فترة سنة واحدة.
 ALE (توقع الخسارة السنوية): الأموال المتوقع أن تضيع في عام واحد مع الأخذ في الاعتبار SLE و ARO (ALE = SLE * ARO). للتقييم الكمي للمخاطر ، هذه هي قيمة المخاطر.

من خلال الاعتماد على البيانات الواقعية والقابلة للقياس ، فإن التقييم الكمي للمخاطر له فوائده الرئيسية في تقديم نتائج دقيقة للغاية حول قيمة المخاطر ، وأقصى استثمار من شأنه أن يجعل معالجة المخاطر جديرة بالاهتمام ، بحيث تكون مربحة للمؤسسة. فيما يلي مثال على كيفية حساب قيم المخاطر من خلال التقييم الكمي للمخاطر:

 قيمة قاعدة البيانات: 2.5 مليون دولار (SLE)
 تظهر إحصائيات الشركة المصنعة أن فشلًا ذريعًا في قاعدة البيانات (بسبب البرامج أو الأجهزة) يحدث مرة واحدة كل 10 سنوات (1/10 = 0.1) (ARO)
 قيمة المخاطرة: 2500000 دولار × 0.1 = 250000 دولار (ALE)

أي ، في هذه الحالة ، تتعرض المنظمة لخطر سنوي يتمثل في خسارة 250 ألف دولار في حالة فقدان قاعدة البيانات الخاصة بها. لذلك ، فإن أي عنصر تحكم مطبق (على سبيل المثال ، النسخ الاحتياطي ، وإدارة التصحيح ، وما إلى ذلك) يكلف أقل من هذه القيمة سيكون مربحًا.

تكمن مشكلة التقييم الكمي في أنه ، في معظم الحالات ، لا توجد بيانات كافية حول SLE و ARO ، أو أن الحصول على مثل هذه البيانات يكلف الكثير.

الجمع بين النهجين

كما قد تلاحظ ، فإن التقييمات النوعية والكمية لها خصائص محددة تجعل كل منها أفضل لسيناريو تقييم مخاطر معين ، ولكن في الصورة الكبيرة ، يمكن أن يكون الجمع بين كلا النهجين أفضل بديل لعملية تقييم المخاطر.

باستخدام النهج النوعي أولاً ، يمكنك تحديد معظم المخاطر بسرعة. بعد ذلك ، يمكنك استخدام النهج الكمي على أعلى المخاطر ، للحصول على معلومات أكثر تفصيلاً لاتخاذ القرار.

من الأمثلة العامة على ذلك الموعد الطبي. يسأل الطبيب أولاً بعض الأسئلة البسيطة ، ومن إجابات المريض يقرر الاختبارات الأكثر تفصيلاً التي يجب إجراؤها ، بدلاً من تجربة كل اختبار يعرفه في البداية.

تكييف نهجك لتحسين جهودك ونتائجك

يعد تقييم المخاطر أحد أكثر الأجزاء أهمية في إدارة المخاطر ، كما أنه أحد أكثر الأجزاء تعقيدًا - يتأثر بالمسائل البشرية والتقنية والإدارية. إذا لم يتم القيام بذلك بشكل صحيح ، فقد يؤدي ذلك إلى المساومة على جميع الجهود المبذولة لتنفيذ نظام إدارة أمن المعلومات ISO 27001 ، مما يجعل المؤسسات تفكر في إجراء تقييمات نوعية أو كمية. لكنك لست بحاجة إلى الاعتماد على نهج واحد ، لأن ISO 27001 يسمح بإجراء تقييم المخاطر النوعي والكمي.

إذا كانت شركتك بحاجة إلى تقييم سريع وسهل للمخاطر ، فيمكنك إجراء تقييم نوعي (وهذا ما تفعله 99٪ من الشركات).
ومع ذلك ، إذا كنت بحاجة إلى القيام ببعض الاستثمار الضخم حقًا وهو أمر بالغ الأهمية للأمان ، فربما يكون من المنطقي استثمار الوقت والمال في التقييم الكمي للمخاطر.

باختصار ، من خلال اعتماد نهج مشترك يأخذ في الاعتبار المعلومات والاستجابة الزمنية المطلوبة ، والبيانات والمعرفة المتاحة ، يمكنك تعزيز فعالية عملية تقييم مخاطر أمن المعلومات ISO 27001 ، وكذلك اتخاذ خطوة أبعد مما يتطلبه المعيار.

ما هي الأنواع المختلفة لتقييم المخاطر؟

لا تنص نسخة 2022 من ISO 27001 على أي نهج أو منهجية معينة لإجراء تقييم المخاطر.

بينما يوفر هذا مزيدًا من الحرية للمنظمات لاختيار نهج تحديد المخاطر الذي يناسب احتياجاتها بشكل أفضل ، فإن غياب هذا التوجيه هو مصدر الكثير من الارتباك للمنظمات حول كيفية التعامل مع تحديد المخاطر.

سأشرح هنا كيف يمكن لمعيار ISO 31010 (معيار يركز على تقييم المخاطر) مساعدتك ، من خلال تقديم بعض مناهج تحديد المخاطر التي يمكن استخدامها للعثور على المخاطر والتعرف عليها ووصفها. على الرغم من أن النهج الذي اقترحه ISO 31010 ليس إلزاميًا بالنسبة إلى ISO 27001 ، إلا أن الشركات التي ترغب في استكشاف طرق أخرى لتقييم المخاطر قد تجده مفيدًا.

خطوة تحديد المخاطر

وفقًا لمعيار ISO 31010 ، فإن الغرض من تحديد المخاطر هو تحديد ما يمكن أن يحدث ، أو المواقف التي يمكن أن توجد ، والتي قد تؤثر على تحقيق الأهداف المقترحة. بالنظر إلى أمن المعلومات ، فإن بعض الأمثلة العملية هي:

 قد يؤدي ارتفاع الطاقة إلى فشل وحدة التخزين ، مما يؤدي إلى فقد البيانات.
 قد يتسبب نقص الانتباه في قيام الموظف بإرسال تقرير إلى الشخص الخطأ ، مما يؤدي إلى الكشف عن معلومات غير مصرح بها.
 قد يتسبب التغيير في الظروف البيئية في قيام الجهاز بإجراء قراءات خاطئة ، مما يؤدي إلى المساومة على تكامل البيانات.

بمجرد تحديد المخاطر ، يجب على المنظمة أيضًا تحديد أي ضوابط حالية تؤثر على هذا الخطر ، والمضي قدمًا في الخطوات التالية لتقييم المخاطر (تحليل المخاطر وتقييم المخاطر).

المنهجيات المحتملة لتحديد المخاطر

وفقًا لمعيار ISO 31010 ، يجب أن يحتوي وصف المخاطر على بعض العناصر:

 مصادر المخاطر: عناصر في السيناريو ، منفردة أو مجتمعة ، لديها القدرة على التأثير على النتائج المتوقعة (على سبيل المثال ، الكهرباء لتشغيل وحدة التخزين)
 الحدث: مجموعة معينة من الظروف (على سبيل المثال ، فشل وحدة التخزين)
 السبب: الحالة الأولية التي تبدأ الحدث (على سبيل المثال ، زيادة الطاقة)
 النتيجة: نتيجة الحدث الذي يؤثر على الهدف (على سبيل المثال ، فقدان البيانات ، مما يؤثر على توافر المعلومات)

يقترح ISO 31010 منهجيات تحديد المخاطر التالية التي تساعد في جمع جميع عناصر المخاطر:

العصف الذهني: أسلوب إبداع جماعي لجمع كمية كبيرة من المعلومات لإيجاد نتيجة لحالة معينة. بسبب تركيزها القوي على الخيال ، من المفيد تحديد المخاطر في المواقف التي تتطلب استجابة سريعة ولديها القليل من البيانات الرسمية المتاحة (على سبيل المثال ، اختيار تدابير أقل ضررًا لاحتواء هجوم مستمر) ، أو تكون جديدة على المنظمة ، مثل المخاطر التي تنطوي على دخول قطاع جديد من السوق.

المقابلة: محادثة حيث يتم تقديم أسئلة محددة مسبقًا إلى الشخص الذي تتم مقابلته لفهم تصوره لموقف معين (على سبيل المثال ، اتجاهات السوق ، وأداء العمليات ، وتوقعات المنتج ، وما إلى ذلك) ، ومن خلال ذلك تحديد المخاطر مع الأخذ في الاعتبار وجهة نظره. يوصى به عند الحاجة إلى آراء محددة مفصلة (على سبيل المثال ، من الرئيس التنفيذي ، المدير المالي ، العملاء ، إلخ).

طريقة دلفي: أسلوب تعاوني مجهول يستخدم للجمع بين آراء الخبراء المختلفة بطريقة موثوقة وغير متحيزة نحو توافق في الآراء (على سبيل المثال ، اختيار مورد أمان ، وتحديد استراتيجية حماية). يختلف عن العصف الذهني لأنه يعمل على إزالة الحلول أثناء تحقيقها بدلاً من إنشائها. يجب أن يؤخذ في الاعتبار في المواقف التي قد تؤثر فيها خصائص المشاركين على آراء الآخرين (على سبيل المثال ، يتفق الجميع / لا يتفقون مع شخص ما لمجرد منصبه).

قائمة التحقق: تقنية يتم فيها وضع قائمة بالعناصر لضمان عدم نسيان الموضوعات الأكثر شيوعًا ، بالإضافة إلى الموضوعات الهامة ، المتعلقة بالموضوع أثناء تحديد المخاطر (على سبيل المثال ، الإخفاقات الشائعة في تطوير البرامج ، أو الحماية المطلوبة بموجب العقد ). هذا يزيد من اتساق واكتمال تحديد المخاطر. يوصى باستخدامه في الحالات التي تكون فيها المعلومات التاريخية ومراجع السوق ومعرفة المواقف السابقة متاحة على نطاق واسع.

تحليل السيناريو: منهجية تستخدم نماذج تصف السيناريوهات المستقبلية المحتملة لتحديد المخاطر مع مراعاة النتائج والاستراتيجيات والإجراءات المحتملة التي تؤدي إلى النتائج والآثار المحتملة على الأعمال. من الأساليب الشائعة في أمن المعلومات ، على سبيل المثال ، استخدام سيناريوهات متساهلة ومقيدة ومتوازنة لتحديد المخاطر في التحكم في الوصول. يجب أن يؤخذ في الاعتبار في الحالات التي تتوفر فيها حلول متعددة أو يمكن أن تقدم النتائج تباينًا كبيرًا.

ماذا عن نهج الأصول المعرضة للخطر؟

على الرغم من أن المنهجية القائمة على الأصول ليست إلزامية في معيار ISO 27001: 2022 ، إلا أنها لا تزال نهجًا صالحًا يتم استخدامه في الغالبية العظمى من مشاريع الامتثال. بالطبع ، يمكن للمنظمات التي طبقت بالفعل نهجًا قائمًا على الأصول وتعتقد أنه مناسب لها الاستمرار في استخدامه بشكل طبيعي.

كيف إذا كنت ترغب في استخدام نهج مختلف يمكنه الاستفادة القصوى من الموقف والمعلومات المتاحة ، فيمكن لمؤسستك التفكير في بعض الأساليب الأخرى لتحديد المخاطر وجعل تقييم المخاطر الخاص بك أكثر تقدمًا.