منو

مدیریت ریسک در ITIL

مدیریت ریسک در ITIL

۱۳۹۹/۰۸/۲۲

مدیریت ریسک در ITIL

فرهنگ لغات ITIL ریسک را به صورت زیر تعریف می‌کند :

ریسک مخاطره‌ای است که در صورت بروز بر تحقق خروجی‌های مورد انتظار سازمان از سرویس موثر است. ریسک باعث عدم قطعیت نتایج عرضه‌ی سرویس می‌شود.

هدف مرحله مدیریت ریسک شناسایی چالش‌ها و مسیرهای اشتباه در سرویس است که باعث افزونگی هزینه‌های سرویس و نیز افزایش خطا و خطر در مسیر یک سرویس می‌شود. ریسک‌ها زمانی ایجاد می‌شوند که شتاب زده و با دقت پایین عملیات دارای خطا تعریف می‌شود. از آنجا که مباحث در ITIL صرفا تئوریک نبوده و جنبه عملیاتی نیز دارد، ریسک مورد بررسی در یک سرویس تنها به جوانب مستندسازی باز نمی‌گردد، بلکه بحث نیروی انسانی و تمامی جوانب عملیاتی یک سرویس را نیز تحت پوشش دارد.

مدیریت ریسک به معنای استفاده از تجارب ارزشمند برای شناسایی، ارزیابی و کنترل ریسک‌ها است. فرآیند مدیریت ریسک موجب افزایش هزینه می‌شود چرا که نیاز به بازنگری و تغییر در برخی دارایی‌ّها و فرآیندهای انجام شده را سبب می‌شود کما اینکه ممکن است موجب شود در فرآیندی نیاز به بازگشت به عقب باشد.

در مدیریت ریسک باید ارزش‌گذاری دارایی و تحلیل و ارزیابی آسیب ها و تهدیدها انجام شود، شیوه آسیب‌پذیری مشخص گردد و نیز نحوه برخورد با ریسک تعیین شود. ریسک‌ها به دو دسته بالقوه و بالفعل تقسیم می‌شوند. از جمله انواع ریسک‌ها، می‌توان به موارد ذیل اشاره نمود:

  • ریسک بازار
  •  ریسک مالی
  • ریسک زمانی
  • ریسک طراحی
  • ریسک انتقال (انتقال از محیط آزمایشگاهی به محیط واقعی)
  • ریسک حقوقی و قراردادی

در فرآیند مدیریت ریسک ابتدا باید طبق مراحل زیر ریسک شناسایی شود و سپس مناسب مراحل مدیریت ریسک اقدام نمود:

  • شناسایی ذینفعان و تعهدات آنان برای ریسک
  • شناسایی ریسک، آسیب‌پذیری و تهدید
  • برآورد و تخمین ریسک براساس (CIA)
  • محاسبه میزان احتمال و پیامد حاصل از وقوع
  • نحوه برخورد با ریسک برآورد شده (پذیرش، کاهش، انتقال و اجتناب)

فرآیند مدیریت ریسک از چندین زیرفرآیند تشکیل شده است که عبارتند از:

پشتیبانی از مدیریت ریسک

در این مرحله باید به صورت دائمی برآورد ریسک به طور کامل انجام شده و این مرحله به طور کامل برای تمامی دارایی‌ها و سرویس‌ها صورت پذیرد.

تحلیل ریسک و تاثیر تجاری آن (BIA)

تکنیک BIA، تحلیل پیامد بر کسب‌وکار که ارزیابی پیامد بر کسب‌وکار نیز نامیده می‌شود، تحلیل می‌کند که چگونه ریسک‌های مخرب کلیدی می‌توانند بر بهره‌برداری‌های سازمان اثر بگذارند و توانمندی‌هایی را شناسایی و کمی سازی می‌کند که برای مدیریت آن موردنیاز هستند

ارزیابی درباره مهاجرت ریسک مورد نیاز

در برخی موارد  ریسک و برطرف‌سازی آن نیازمند عملیات در سایر بخش‌ّها می‌باشد.

مانیتورینگ ریسک

بررسی دائمی و تکرار فرآیند سنجش ریسک الزامی بوده و می‌تواند موجب بهبود بهره‌وری شود. چرخه مدیریت ریسک تا رفع کامل ریسک ادامه داشته و پس از آن نیز باید بر عدم بازگشت ریسک نظارت شود.

نکته!: بروز ریسک می‌تواند سبب عدم قطعیت در نتایج سرویس شود.

نویسنده: بهاره جلائی یزدنژاد

مقالات مرتبط

داستانی از مدیریت خدمات فناوری اطلاعات مبتنی بر ITIL4

۱۴۰۱/۰۹/۰۲

مدل ATT & CK در راستای مستندسازی تاکتیک‌ها و تکنیک‌های مهاجمان بر اساس مشاهدات تکامل یافته و دنیای واقعی

۱۴۰۰/۰۴/۱۲

داستانی از مدیریت خدمات فناوری اطلاعات مبتنی بر ITIL4 (قسمت چهارم)

۱۴۰۱/۱۰/۱۶

جدیدترین حملات مهندسی اجتماعی

۱۴۰۱/۰۸/۱۹

خط مشی و سیاست‌های حاکمیتی امنیت سایبری OT- ICS

۱۴۰۱/۰۸/۲۶

تفاوت های آنتی‌ویروس کسپرسکای (Kaspersky) نسخه‌ی SELECT و ADVANCED

۱۴۰۰/۰۵/۲۳

مراحل پیاده سازی سیستم مدیریت امنیت اطلاعات منطبق با ISO 27001:2013

۱۳۹۷/۰۵/۰۹

چالش ها و تهدیدات شبکه

۱۳۹۸/۰۹/۰۳

داستانی از مدیریت خدمات فناوری اطلاعات مبتنی بر ITIL4 (قسمت پنجم)

۱۴۰۱/۱۰/۲۰

نحوه شناسایی و تعیین محدوده پیاده سازی ISMS

۱۳۹۷/۰۲/۰۵

اشتراک در :

کلیه حقوق مادی و معنوی این سایت برای شرکت امن افزار: شرکت امنیت اطلاعات و شبکه[ شرکت تخصصی امنیت اطلاعات ] محفوظ است.

طراحی سایت و سئو ره وب

طراحی سایت و توسعه ره وب