شناسایی و اولویت بندی ریسک های امنیت اطلاعات سازمانی بر اساس استانداردهای ایزو آی ای سی 27002 و کوبیت4

چکیده ریسک جزئی ذاتی و جدایی ناپذیراز زندگی و تجارت است. همواره شرایط عدم اطمینانی که ناشی از اطلاعات و داده های ناقص و یا متغیرهای غیرقابل کنترل است، با فرصت ها و تهدیدهایی همراه است. مساله دیگری که در محیط های سازمانی و تصمیم گیری امروز مطرح می باشد، پیچیدگی شرایط و ترکیب اطلاعات است که دستیابی به تصمیمات بهینه را بی نهایت مشکل می سازد، بنابراین دیگر قوانین سرانگشتی و بهترین حدس و گمان، کارساز نخواهد بود. مدیریت ریسک فرایندی برای درک ریسک های بالقوه و برنامه ریزی جهت ازبین بردن، کاهش اثر و یا بهره برداری از این ریسک ها است. در عصر حاضر مدیریت امنیت اطلاعات به یکی از موضوعات مهم سازمانی تبدیل شده است. بسیاری از سازمان ها و شرکت ها به شدت به سیستم های اطلاعاتی متکی اند و با توجه به این واقعیت که استفاده از سیستم های امنیت اطلاعات نیز ممکن است ریسک هایی به وجود آورد، یک فرایند مدیریت ریسک موثر، برنامه امنیتی موفقی را نتیجه خواهد داد. مدیریت ریسک شامل فرایند شناسایی ریسک ها، ارزیابی ریسک، و تلاش برای کاهش ریسک ها به سطح قابل قبول می باشد. مهم ترین فرایند مدیریت ریسک اطلاعات، ارزیابی ریسک است. یک ارزیابی ریسک موثر می تواند سازمان را حفظ کرده و توانایی آن را در مقابله با تهدیدات، افزایش داده و در پیاده سازی کنترل ها و تدابیر حفاظتی که واقعا مورد نیاز است، به آن کمک کند. مهم ترین هدف این پژوهش، اولویت بندی ریسک های امنیت اطلاعات، به منظور ارائه راهکاری برای ارتقا وضعیت امنیت اطلاعات سازمانی است. به این منظور ترکیبی از رویکردهای کمی و کیفی به کار گرفته شده و مدلی جهت ارزیابی ریسک های امنیت اطلاعات سازمانی ارائه شده است. در این مدل، جهت شناسایی ریسک های امنیت اطلاعات سازمانی بر اساس استاندارد ایزو 27002 و چارچوب کوبیت4 و مطالعه اسنادی، از روش دلفی فازی استفاده شده است. شدت ریسک های شناسایی شده، با استفاده از روش ahp فازی و احتمال ریسک ها با استفاده از شبکه بیزین تعیین شده است. حاصلضرب شدت ریسک در احتمال وقوع آن، اولویت هر ریسک را تعیین می کند.