Kiberhuquq va kiberetika


ISO 27005 risklarni boshqarish jarayoni


Download 3.78 Mb.
bet43/57
Sana08.11.2023
Hajmi3.78 Mb.
#1755424
1   ...   39   40   41   42   43   44   45   46   ...   57
Bog'liq
kkkkhe

ISO 27005 risklarni boshqarish jarayoni. Garchi ISO 27005 risklarni boshqarishning maxsus metodologiyasini belgilamasa ham, u oltita asosiy komponentga asoslangan uzluksiz axborot risklarini boshqarish jarayonini nazarda tutadi:

  1. Kontekstni yaratish

  2. Xavfni baholash

  3. Xavfni davolash

  4. Xavfni qabul qilish

  5. Xavf haqida xabar berish va maslahat berish

  6. Xavf monitoringi va tahlili

1. Kontekstni yaratish: Risklarni boshqarish konteksti risklar qanday identifikatsiya qilinganligi, tavakkalchilikka egalik qilish uchun kim javobgar bo'lishi, xavflar ma'lumotlarning maxfiyligi, yaxlitligi va mavjudligiga qanday ta'sir qilishi, xavf ta'siri va ehtimoli qanday hisoblanganligi mezonlarini belgilaydi.
2. Risklarni baholash: Ko'pgina tashkilotlar besh asosiy bosqichni o'z ichiga olgan aktivlarga asoslangan risklarni baholash jarayonini tanlaydilar:
I. Axborot aktivlarini tuzish
II. Har bir aktivga tegishli tahdidlar va zaifliklarni aniqlash
III. Xavf mezonlari asosida ta'sir va ehtimollik qiymatlarini belgilash
IV. Har bir xavfni qabul qilinadiganlikning oldindan belgilangan darajalari bo‘yicha baholash
V. Qaysi risklarni qanday tartibda va qaysi tartibda hal qilish zarurligini aniqlash.
3. Riskni davolash: Xavfni davolashning to'rtta usuli mavjud:
I. Xavfni butunlay yo'q qilish orqali "qoching"
II. Xavfsizlik nazoratini qo'llash orqali xavfni "o'zgartirish"
III. Riskni uchinchi shaxs bilan "bo'lishish" (sug'urta yoki autsorsing orqali)
IV. Riskni "ushlab turish" (agar xavf belgilangan xavfni qabul qilish mezonlariga to'g'ri kelsa)
4. Riskni qabul qilish: Tashkilotlar mavjud siyosatlar, maqsadlar, vazifalar va aktsiyadorlar manfaatlarini hisobga olgan holda riskni qabul qilish uchun o'zlarining mezonlarini belgilashlari kerak.
5. Xavf bo'yicha aloqa va maslahat: samarali aloqa axborot xavfsizligi risklarini boshqarish jarayoni uchun muhim ahamiyatga ega. Bu risklarni boshqarishni amalga oshirish uchun mas'ul bo'lganlar qarorlar qabul qilinadigan asosni va nima uchun muayyan harakatlar talab qilinishini tushunishlarini ta'minlaydi. Xavf haqida ma'lumot almashish va almashish, shuningdek, qaror qabul qiluvchilar va boshqa manfaatdor tomonlar o'rtasida xavfni qanday boshqarish bo'yicha kelishuvni osonlashtiradi.
Risk bilan aloqa qilish faoliyati doimiy ravishda amalga oshirilishi kerak va tashkilotlar normal operatsiyalar, shuningdek favqulodda vaziyatlar uchun xavf bilan bog'lanish rejalarini ishlab chiqishi kerak.
6. Risk monitoringi va tahlili: Risklar statik emas va keskin o'zgarishi mumkin. Shu sababli, o'zgarishlarni tezda aniqlash va xavf rasmini to'liq ko'rib chiqish uchun ularni doimiy ravishda kuzatib borish kerak.

Tashkilotlar quyidagilarga diqqat bilan qarashlari kerak:

  • Risklarni boshqarish doirasiga kiritilgan har qanday yangi aktivlar;

  • O'zgaruvchan biznes talablariga javoban o'zgartirishni talab qiluvchi aktiv qiymatlari;

  • Tashqi yoki ichki tahdidlar hali baholanmagan;

  • Axborot xavfsizligi hodisalari.

Nima uchun tashkilotlar ISO 27005 ni qabul qilishlari kerak? Yagona yondashuvni qo'llaydigan boshqa mashhur risklarni boshqarish standartlaridan farqli o'laroq, ISO 27005 moslashuvchan xususiyatga ega va tashkilotlarga o'zlarining biznes maqsadlaridan kelib chiqqan holda risklarni baholashga o'zlarining yondashuvlarini tanlash imkonini beradi.
ISO 27005 oddiy, takrorlanadigan tuzilishga amal qiladi, har bir asosiy band quyidagi to'rt bo'limga ajratilgan:
1   ...   39   40   41   42   43   44   45   46   ...   57




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling