تنوع و گستره فعالیتها موجب مى گرددتا امکان پرداختن به همه امور میسر نباشد فلذا طبقه بندى کردن امورو اولویت دادن به برخى امورمهم نسبت به برخى دیگراز اهمیت زیادى برخوردار نمى باشندضرورت پیدا مى کند. امروزه بهره گیرى از فن آورى اطلاعات در مدیریت ریسک حدیث متفاوتى را باز مى گوید و تاثیرى عمیق بر چگونگى سر و سامان دادن به فعالیتهاى اتوماسیون سازمانها و مدیریت چرخه ایجاد سیستم هاى مکانیزه مى گذارد .
مدیریت ریسک ، یک مدیریت مهم و ضرورى محسوب مى شود که تصمیم گیرى دقیقى را بر اساس میزان ریسک و خطر میسر مى سازد و در اکثر نقاط دنیا توسط پرسنل اجرایى IT مورد بهره بردارى قرار مى گیرد . ریسک در معناى عام عبارت است از تاثیر منفى ناشى از یک آسیب پذیرى و در نظر گرفتن احتمال وقوع و اثر آن در فرآیندهاى یک سیستم . فلذا بایستى سطح ریسک پایین ؛متوسط ؛ بالاو احتمال وقوع آن و پیامدهاى آن مورد شناسایى قرار گیرد تا بتوان براى رفع آن تصمیم گیرى کرد. ریسک یعنى : میزان و امکان سرپیچى از قانون که به خسارت و زیان علیه تجارت ؛ صنعت و مردم منجر خواهد شدیا به تعبیر دیگر ر! یسک امکان وقوع یک خسارت و زیان اعم از مالى و یا غیر مالى در نتیجه انجام یک کار است . مدیریت ریسک ، فرآیند تشخیص و ارزیابى ریسک و کاهش آن تا یک سطح قابل قبول مى باشد و با هدفگذارى امکان پذیر است . هدف از اجراى مدیریت ریسک این است که سازمان بتواند به اهداف ذیل جهت سیستم هاى مبتنى بر فن آورى اطلاعات خود دست یابد : تامین امنیت بیشتر براى سیستم هاى مبتنى بر ذخیره سازى ، پردازش و انتقال اطلاعات سازمانى . اعمال مدیریت براى توجیه و بهینه سازى هزینه هاى IT . تصویب و تائید سیستم ها .
مدیریت ریسک داراى سه مرحله است : مدیریت ریسک ، ارزیابى ریسک و کاهش ریسک .
مدیریت ریسک : مدیریت ریسک یعنى شناسایى؛ ارزیابى ؛ تجزیه و تحلیل ؛ چگونگى رفتار و اداره کردن آن . مدیریت ریسک فرآیندى است که به مدیران امکان مى دهد تا هزینه هاى اقتصادى و عملیاتى مورد نظر را مقایسه کنند و با بهره گیرى و حمایت از سیستم هاى IT ، امکانات و قابلیتهاى آنها را بهینه سازندو یا به تعبیر دیگر مدیریت ریسک روشى است براى استفاده بهینه از امکانات و منابع موجود . این روند تنها منحصر به محیط IT نیست و در تمام تصمیم گیرى هاى روزانه ما تاثیر بسزایى دارد . به عنوان مثال، امروزه بسیارى از مردم تصمیم به نصب دزدگیر مى کنند و بر این اساس هزینه اى را به شرکت مربوط مى پردازند تا این سیستم ها را جهت حفاظت بهتر از اموال و دارایى هاى خود به کار گیرند. مسلمء ? افراد هزینه نصب و کنترل اینگونه سیستم ها را به نسبت اسباب و دارایى خود مى پردازند و به همان مقیاس تامین امنیت را براى خانواده خود فراهم مى آورند .
§ بهره گیرى از مدیریت ریسک در چرخه ایجاد یک سیستم : کاهش اثر منفى درسیستم و سازمان و رسیدن به یک پایه اساسى در تصمیم گیرى ، دلایلى هستند که که سازمان را وادار به اجراى روند مدیریت ریسک براى سیستم هاى مبتنى بر IT مى سازند . چرخه ایجاد یک سیستم مکانیزه داراى 5 مرحله است : شروع ، ایجاد و تهیه سیستم ، اجراى سیستم ، بازبینى مجدد ، حفاظت و واگذارى . ارزیابى ریسک : ارزیابى ریسک اولین قدم در روش مدیریت ریسک به شمار مى آید . سازمانها با استفاده از ارزیابى ریسک ، مى توانند محدوده تهدیدات احتمالى و ریسک مربوط به یک سیستم مبتنى بر IT را در سراسر چرخه ایجاد سیستم مشخص کنند . بازده و نتیجه این امر به تعیین کنترل هاى مربوطه جهت کاهش یا حذف ریسک در طول روند کاهش ریسک کمک مى کند. ارزابى ریسک خود داراى 9 مرحله اساسى است که عبارت است از : تعیین سیستم ، تشخیص تهدید ، تشخیص آسیب پذیرى ، تحلیل کنترل، تعیین احتمال ، تحلیل اثر سوء ، تعیین ریسک ، ارائه نظریه و پیشنهاد جهت کنترل سیستم و نهایتا مستند سازى نتایج . کاهش ریسک : کاهش ریسک عبارت است از اولویت دادن ، ارزیابى و اجراى کنترل هاى کاهش ریسک که در روند ارزیابى ریسک پیشنهاد شده اند .
از آنجایى که از بین بردن تمامى ریسک ها عملا امکان ندارد ، مدیران با اعمال کنترل هاى مناسب ، کاهش ریسک را تا یک سطح قابل قبول به انجام مى رسانند . کاهش ریسک را از طریق موارد ذیل مى توان انجام داد .
الف- تقبل ریسک : پذیرفتن ریسک احتمالى و ادامه عملیات سیستم IT جهت پیاده سازى کنترل ها تا رسیدن به یک سطح قابل قبول . ب- اجتناب از ریسک : دور کردن ریسک با از میان برداشتن عامل و پیامدهاى ریسک . ج- برنامه ریزى ریسک : کنترل ریسک از طریق ایجاد یک برنامه کاهش ریسک که به کنترل ها اولویت بخشیده و آنها را اجرا و اداره مى کند . د- تصدیق و تحقیق : قبول نقطه ضعف یا آسیب پذیرى و تحقیق در خصوص کنترل ها جهت اصلاح آسیب پذیرى . ه- انتقال ریسک : انتقال ریسک براى جبران خسارت ، به طور مثال بیمه کردن سیستم . سازمانها مى توانند حدود کاهش ریسک را بر حسب احتمال یا تاثیر تخفیف تهدید (دو عاملى که سطح کاهش یافته ریسک را در یک عملیات سازمانى تعیین مى کنند) بررسى کنند . به ریسکى که بعد از اجراى کنترل هاى جدید مى ماند ، ریسک باقى مانده مى گویند . عملا هیچ سیستم IT بدون ریسک نیست و تمام کنترل هاى صورت گرفته را ریسک برطرف نمى کند . چنانچه ریسک باقى مانده تا یک سطح قابل قبول تقلیل نیابد ، چرخه مدیریت ریسک باید تکرار گردد تا روشى را که براى کاهش ریسک باقى مانده مشخص سازد .
هنگامى که مسئولان و مدیران اعلام کنند که ریسک به سطح مناسبى رسیده ، باید گزارشى را که بیانگر ق! بول ریسک باقى مانده است ، قبل از تائید و معتبر سازى سیستم ، قبول و به امضا رسانند . نکات اصلى در مدیریت موفق ریسک : از فواید مدیریت ریسک به طور خلاصه مى توان به افزایش کارآئى ؛ موثر بودن ؛ تسهیلات و روان سازى ؛ کاهش هزینه ؛ سرعت عمل ؛کاهش زمان انجام عملیات اشاره نمود . اما یک برنامه موفق در مدیریت ریسک بستگى به موارد ذیل دارد :
1- تعهد مدیریت ارشد در خصوص زمان و منابع ضرورى
2- پشتیبانى و همکارى همه جانبه گروه
IT 3- صلاحیت تیم مدیریت ریسک .
این گروه باید مهارت لازم را در پیاده سازى روش مدیریت ریسک در یک سیستم را دارا باشند . ریسک و احتمال خطر عملیات را تشخیص دهند و بر آن اساس ، حمایت هاى مقرون به صرفه اى را جهت رفع احتیاجات سازمان ارائه نمایند .
4- آگاهى و مسئولیت پذیرى گروه کارى که باید از روش ها و آئین نامه ها پیروى کرده و کنترل هاى اجرا شده در خصوص حمایت از عملیات سازمانشان را بپذیرند .
مدیریت ریسک ، یک مدیریت مهم و ضرورى محسوب مى شود که تصمیم گیرى دقیقى را بر اساس میزان ریسک و خطر میسر مى سازد و در اکثر نقاط دنیا توسط پرسنل اجرایى IT مورد بهره بردارى قرار مى گیرد . ریسک در معناى عام عبارت است از تاثیر منفى ناشى از یک آسیب پذیرى و در نظر گرفتن احتمال وقوع و اثر آن در فرآیندهاى یک سیستم . فلذا بایستى سطح ریسک پایین ؛متوسط ؛ بالاو احتمال وقوع آن و پیامدهاى آن مورد شناسایى قرار گیرد تا بتوان براى رفع آن تصمیم گیرى کرد. ریسک یعنى : میزان و امکان سرپیچى از قانون که به خسارت و زیان علیه تجارت ؛ صنعت و مردم منجر خواهد شدیا به تعبیر دیگر ر! یسک امکان وقوع یک خسارت و زیان اعم از مالى و یا غیر مالى در نتیجه انجام یک کار است . مدیریت ریسک ، فرآیند تشخیص و ارزیابى ریسک و کاهش آن تا یک سطح قابل قبول مى باشد و با هدفگذارى امکان پذیر است . هدف از اجراى مدیریت ریسک این است که سازمان بتواند به اهداف ذیل جهت سیستم هاى مبتنى بر فن آورى اطلاعات خود دست یابد : تامین امنیت بیشتر براى سیستم هاى مبتنى بر ذخیره سازى ، پردازش و انتقال اطلاعات سازمانى . اعمال مدیریت براى توجیه و بهینه سازى هزینه هاى IT . تصویب و تائید سیستم ها .
مدیریت ریسک داراى سه مرحله است : مدیریت ریسک ، ارزیابى ریسک و کاهش ریسک .
مدیریت ریسک : مدیریت ریسک یعنى شناسایى؛ ارزیابى ؛ تجزیه و تحلیل ؛ چگونگى رفتار و اداره کردن آن . مدیریت ریسک فرآیندى است که به مدیران امکان مى دهد تا هزینه هاى اقتصادى و عملیاتى مورد نظر را مقایسه کنند و با بهره گیرى و حمایت از سیستم هاى IT ، امکانات و قابلیتهاى آنها را بهینه سازندو یا به تعبیر دیگر مدیریت ریسک روشى است براى استفاده بهینه از امکانات و منابع موجود . این روند تنها منحصر به محیط IT نیست و در تمام تصمیم گیرى هاى روزانه ما تاثیر بسزایى دارد . به عنوان مثال، امروزه بسیارى از مردم تصمیم به نصب دزدگیر مى کنند و بر این اساس هزینه اى را به شرکت مربوط مى پردازند تا این سیستم ها را جهت حفاظت بهتر از اموال و دارایى هاى خود به کار گیرند. مسلمء ? افراد هزینه نصب و کنترل اینگونه سیستم ها را به نسبت اسباب و دارایى خود مى پردازند و به همان مقیاس تامین امنیت را براى خانواده خود فراهم مى آورند .
§ بهره گیرى از مدیریت ریسک در چرخه ایجاد یک سیستم : کاهش اثر منفى درسیستم و سازمان و رسیدن به یک پایه اساسى در تصمیم گیرى ، دلایلى هستند که که سازمان را وادار به اجراى روند مدیریت ریسک براى سیستم هاى مبتنى بر IT مى سازند . چرخه ایجاد یک سیستم مکانیزه داراى 5 مرحله است : شروع ، ایجاد و تهیه سیستم ، اجراى سیستم ، بازبینى مجدد ، حفاظت و واگذارى . ارزیابى ریسک : ارزیابى ریسک اولین قدم در روش مدیریت ریسک به شمار مى آید . سازمانها با استفاده از ارزیابى ریسک ، مى توانند محدوده تهدیدات احتمالى و ریسک مربوط به یک سیستم مبتنى بر IT را در سراسر چرخه ایجاد سیستم مشخص کنند . بازده و نتیجه این امر به تعیین کنترل هاى مربوطه جهت کاهش یا حذف ریسک در طول روند کاهش ریسک کمک مى کند. ارزابى ریسک خود داراى 9 مرحله اساسى است که عبارت است از : تعیین سیستم ، تشخیص تهدید ، تشخیص آسیب پذیرى ، تحلیل کنترل، تعیین احتمال ، تحلیل اثر سوء ، تعیین ریسک ، ارائه نظریه و پیشنهاد جهت کنترل سیستم و نهایتا مستند سازى نتایج . کاهش ریسک : کاهش ریسک عبارت است از اولویت دادن ، ارزیابى و اجراى کنترل هاى کاهش ریسک که در روند ارزیابى ریسک پیشنهاد شده اند .
از آنجایى که از بین بردن تمامى ریسک ها عملا امکان ندارد ، مدیران با اعمال کنترل هاى مناسب ، کاهش ریسک را تا یک سطح قابل قبول به انجام مى رسانند . کاهش ریسک را از طریق موارد ذیل مى توان انجام داد .
الف- تقبل ریسک : پذیرفتن ریسک احتمالى و ادامه عملیات سیستم IT جهت پیاده سازى کنترل ها تا رسیدن به یک سطح قابل قبول . ب- اجتناب از ریسک : دور کردن ریسک با از میان برداشتن عامل و پیامدهاى ریسک . ج- برنامه ریزى ریسک : کنترل ریسک از طریق ایجاد یک برنامه کاهش ریسک که به کنترل ها اولویت بخشیده و آنها را اجرا و اداره مى کند . د- تصدیق و تحقیق : قبول نقطه ضعف یا آسیب پذیرى و تحقیق در خصوص کنترل ها جهت اصلاح آسیب پذیرى . ه- انتقال ریسک : انتقال ریسک براى جبران خسارت ، به طور مثال بیمه کردن سیستم . سازمانها مى توانند حدود کاهش ریسک را بر حسب احتمال یا تاثیر تخفیف تهدید (دو عاملى که سطح کاهش یافته ریسک را در یک عملیات سازمانى تعیین مى کنند) بررسى کنند . به ریسکى که بعد از اجراى کنترل هاى جدید مى ماند ، ریسک باقى مانده مى گویند . عملا هیچ سیستم IT بدون ریسک نیست و تمام کنترل هاى صورت گرفته را ریسک برطرف نمى کند . چنانچه ریسک باقى مانده تا یک سطح قابل قبول تقلیل نیابد ، چرخه مدیریت ریسک باید تکرار گردد تا روشى را که براى کاهش ریسک باقى مانده مشخص سازد .
هنگامى که مسئولان و مدیران اعلام کنند که ریسک به سطح مناسبى رسیده ، باید گزارشى را که بیانگر ق! بول ریسک باقى مانده است ، قبل از تائید و معتبر سازى سیستم ، قبول و به امضا رسانند . نکات اصلى در مدیریت موفق ریسک : از فواید مدیریت ریسک به طور خلاصه مى توان به افزایش کارآئى ؛ موثر بودن ؛ تسهیلات و روان سازى ؛ کاهش هزینه ؛ سرعت عمل ؛کاهش زمان انجام عملیات اشاره نمود . اما یک برنامه موفق در مدیریت ریسک بستگى به موارد ذیل دارد :
1- تعهد مدیریت ارشد در خصوص زمان و منابع ضرورى
2- پشتیبانى و همکارى همه جانبه گروه
IT 3- صلاحیت تیم مدیریت ریسک .
این گروه باید مهارت لازم را در پیاده سازى روش مدیریت ریسک در یک سیستم را دارا باشند . ریسک و احتمال خطر عملیات را تشخیص دهند و بر آن اساس ، حمایت هاى مقرون به صرفه اى را جهت رفع احتیاجات سازمان ارائه نمایند .
4- آگاهى و مسئولیت پذیرى گروه کارى که باید از روش ها و آئین نامه ها پیروى کرده و کنترل هاى اجرا شده در خصوص حمایت از عملیات سازمانشان را بپذیرند .
نقش فن آورى اطلاعات در مدیریت ریسک