کسیر تیریدم یژولودتم لمع رد تاعلاطا...
Post on 23-Feb-2020
2 Views
Preview:
TRANSCRIPT
متدولوژی مدیریت ریسک
فناوری اطالعات در عمل
رضا یاریفرد
1395دی ماه
ryarifar@Gmail.com
Enterprise Risk
ریسک فناوری اطالعات و سایر ریسکهای سازمان
Enterprise Risk
ریسک فناوری اطالعات و سایر ریسکهای سازمان
Market Risk Financial Risk
Enterprise Risk
ریسک فناوری اطالعات و سایر ریسکهای سازمان
Strategic Risk Compliance Risk Credit Risk
Enterprise Risk
ریسک فناوری اطالعات و سایر ریسکهای سازمان
Operational Risk
IT-related Risk
Enterprise Risk
ریسک فناوری اطالعات و سایر ریسکهای سازمان
Operational Risk
IT Strategic
Risk
IT Plan Risk
IT Operations
Risk
IT Value Risk
IT Project
Risk
IT Delivery
Risk
IT Compliance
Risk
ها در صنایع مختلفوقفه در سامانه تاثیرات
Small: $165,336
Medium:$272,361
Large:$3 M+
Lost By Company Size Financial Service:$672,891
Manufacturing:$588,000+
Retail:$351,000+
Public Sector: $297,282
Lost By Sector
Public Sector Retail Manufacturing FinancialService
$297,282 $351,000
$588,000 $672,891
Small Medium Large
$165,336 $272,361
$3,000,000
ذینفعان و مالکان ریسک های فناوری اطالعات
مالکان/ذینفعان مدیریت ریسک فن اوری اطالعات
مسئولیت و نقش
پیامد های ریسک
اهداف استرا تژیک
هیئت مدیره ومدیرعامل
ریسک فناوری اطالعات
همراستایی با اصول مدیریت ریسک بنگاه مدیران ریسک سازمان
در ریسک عمیاتی و ریسک فناوری اطالعات همگرایی
(KRIs) توسعه شاخصهای کلیدی ریسک مدیران ریسک عملیاتی
همکاری در شناسایی ریسکها
( کسب و کار ارتباط با مدیران)مدیریت ریسکها اطالعات مدیریت فناوری
ITریسک های عملیاتی مربوط به همکاری در شناسایی
اطالعات چارچوب یکپارچه مدیریت ریسک فناوری مدیران خدمات فناوری اطالعات
ذینفعان و مالکان ریسک های فناوری اطالعات
مالکان/ذینفعان مدیریت ریسک فن اوری اطالعات
ERMهمسویی با
ارزیابی ریسک مسئولیت کلیدی مدیران تداوم کسب و کار
مدیران تداوم کسب وکار
مدیران امنیت فناوری اطالعات موقعیت ریسک امنیتی در میان دسته های دیگر از ریسک فناوری اطالعات تثبیت
کسب دید بهتر از ریسک های مرتبط با فناوری اطالعات و پیامد های مالی آنها برای سرمایه گذاری ها مدیریت سهام و
اوراق بهادار مدیر ارشد مالی
اعضاء حاکمیت شرکتی بررسی و نظارت بر مسئولیت حاکمیتی و دیگر نقش حاکمیتی فناوری اطالعات
مدیران کسب و کار فهم اهمیت ریسک فناوری اطالعات در کل سازمان
ذینفعان و مالکان ریسک های فناوری اطالعات
مالکان/ذینفعان مزایای شناسایی ریسک فن اوری اطالعات
ITحسابرسان داخلی تجزیه و تحلیل بهتر از ریسک ها در طرح ها و گزارشات ممیزی
تنظیم کنندگان قوانین و مقررات پشتیبانی ارزیابی تنظیم کنندگان قوانین و مقررات از رویکرد نظارت مدیریت ریسک سازمان
حسابرسان خارجی فناوری اطالعات راهنمایی بیشتر سطوح ریسکهای مرتبط با فناوری اطالعات جهت افزایش کیفیت کنترل داخلی
بیمه پشتیبانی در ایجاد پوشش بیمه مناسب فناوری اطالعات و توافق بر سطوح ریسک
در همکاری با شرکت های بیمه، مرجعی برای ارزیابی و بصورت واقعی وجود دارد که چگونگی برخورد سازمان را در
هنگام مواجه با ریسک مشخص می نماید
آژانس های رتبه بندی
اصول مدیریت ریسک فناوری اطالعات
Cost/Benifit Continuous
improvement
Accountability & Cooperation
ERM Aligment
Business Aligment
communication
همسویی با کسب و کار
هزینه و بازده
همسویی با ERM
گسترش تعامالت
هماهنگی و پاسخگویی
بهبود مستمر
اهداف و استراتژی
تمرکز بر نتیجه کسب و کار
رویکرد یکپارچه
تحلیل ریسک فناوری اطالعات
اولویت بندی ریسک ها
اجرای کنترل های ریسک
متعادل سازی کنترل ها
اشتهای ریسک
فرایندهای تصمیم گیری
یکپارچگی مدیریت ریسک
تبادل به موقع، دقیق و روشن اطالعات
یکپارچه سازی اصول و روش ها
تبادل یافته های فنی
افزایش حساسیت مدیریت
افزایش پاسخگویی در کلیه سطوح
مشارکت افراد کلیدی سیستم
پاسخگویی، اندازه گیری و یکپارچه سازی
ایجاد درک عدم دستیابی به اهداف
شناسایی فرایند های کلیدی و ریسک های مرتبط
شناسایی محرک های به روز کننده چهارچوب ها
اولویت بندی شیوه های مدیریت ریسک
ردیابی تهدیدات و ریسک ها
سطح ریسک خیلی پایین تر
از اشتهای ریسک
A
سطح ریسک پایین تر از
اشتهای ریسک
B
سطح ریسک متناسب با
اشتهای ریسک
C ظرفیت
سطح ریسک باالتر از
اشتهای ریسک
D E
سطح ریسک باالتر از
ظرفیت ریسک
حد پایین
حد باال
420
340
315
ظرفیت، اشتها و سطح ریسک سازمان
ITظرفیت، اشتها و سطح ریسک
خسارت مالی
خیلی کم
وقفه در کسب و کار خدشه به شهرت سازمان
کم
متوسط
زیاد
خیلی زیاد
درصد Xتعداد تراکنش های نا موفق کمتر از درصد Xناراضی،کمتراز کاربران درصد Xکمتر از
درصد Yتا Xتعداد تراکنش های نا موفق بین درصد Yتا Xکاربران ناراضی ، بین درصد Yتا Xبین
درصد Wتا Yتعداد تراکنش های نا موفق بین درصد Wتا Yکاربران ناراضی ، بین درصد Wتا Yبین
درصد Zتا Wتعداد تراکنش های نا موفق بین درصد Zتا Wکاربران ناراضی ، بین درصد Zتا Wبین
درصد Zتعداد تراکنش های نا موفق بیش از درصد Zکاربران ناراضی ، بیشتر از درصد Zبیش از
همسویی با اهداف کسب و کار -اصول ریسک فناوری اطالعات
رویکرد یکپارچه و کاربردی
تمرکز بر نتیجه کسب و کار
اهداف و استراتژی سازمان
تحلیل ریسک فناوری اطالعات
توانمند سازی و بازدارندگی
پیشگیری از بین رفتن ارزش ها
تولید ارزش ها
1
2
3
4
5
6
7
ERMریسک فناوری اطالعات و همسویی با
تعریف روشن و واضح اهداف شرکت و اشتهای ریسک
ITبررسی فرایندهای تصمیم گیری شرکت از دیدگاه ریسک
فلسفه مدیریت ریسک و یکپارچگی سازمان
1
2
3
تعادل هزینه ها و مزایای مدیریت ریسک-اصول ریسک فناوری اطالعات
اولویت بندی ریسک ها بر مبنای ریسک پذیری شرکت
فایده–اجرای کنترل های ریسک بر مبنای تحلیل هزینه
متعادل سازی کنترل ها برای پوشش چندین ریسک و افزایش بهره وری
1
2
3
گسترش تعامالت-اصول ریسک فناوری اطالعات
تبادل به موقع، دقیق و روشن اطالعات برای تصمیم گیری های ریسک محور
یکپارچه سازی اصول و روش مدیریت ریسک در سراسرشرکت
ترجمه یافته های فنی به مدارک قابل فهم
1
2
3
شناسایی فرایند های کلیدی و ریسک های مرتبط
ایجاد درک عدم دستیابی به اهداف
شناسایی محرک های به روز کننده چهارچوب ها
اولویت بندی شیوه های مدیریت ریسک و تعبیه در فرایندهای تصمیم گیری
استفاده از شیوه های مدیریت ریسک ساده برای ردیابی تهدیدات و ریسک ها
1
2
3
4
5
بهبود مستمر عملکرد روزانه -اصول ریسک فناوری اطالعات
:ارزیابی مداوم ریسک، نقش ها، مسوولیت ها، ابزار، تکنیک ها، و معیارهای در کل شرکت با تاکید بر موارد ذیل
افزایش حساسیت مدیریت به مدیریت ریسک فناوری اطالعات
اجرایی عملیات افزایش پاسخگویی در کلیه سطوح
مشارکت افراد کلیدی سیستم همانند مالکان و افراد هیات مدیره در مدیریت ریسک فناوری
پاسخگویی، اندازه گیری و یکپارچه سازی مدیریت ریسک در سیستم پاداش
جهت دهی از باال و از طریق ابزار سیاست ها، فرایندها
تشویق فرهنگ آگاهی محور از باال
اطمینان از تعهد مدیریت در حوزه ریسک عملیاتی
1
2
3
4
5
6
7
هماهنگی و پاسخگویی -اصول ریسک فناوری اطالعات
مدیریت بر مبنای مفروضات مشخص
پذیرش ریسک توسط افراد مجاز و با تمرکز بر مدیریت کسب و کار
8
9
EXAMPLES
IT Benefit/Value Enablement
• Technology enabler for new business initiatives
• Technology enabler for efficient operations
IT Programme and Project
Delivery
• Project quality
• Project relevance
• Project overrun
IT Operations and Service Delivery
• IT service interruption
• Security problems
• Compliance issues
Fail to Gain
Business Value
Gain
Preserve
Business Value
Lose
نتایج شناسایی ریسک فناوری اطالعات
فناوری برای طرح توانمندسازی • جدیدهای کسب و کار
فناوری برای توانمندسازی • کارآمدعملیات
بهبود بهره وری و اثر بخشی فرایند های کسب و کار
ارائه برنامه ها و پروژه های فناوری اطالعات
بوجود اوردن راههای جدید بهبود راهکارهای موجود برای
کسب و کار
عملیات و سرویس های فناوری اطالعات
ورشکستگی یا کاهش ارزش سازمان
افزایش کیفیت پروژه• افزایش ارتباطات پروژه• کاهش سرریز پروژه•
ITوقفه در خدمات • امنیتیمشکالت ایحاد • مسائل مربوط به تطبیقایجاد •
مدیریت عملیات و توسعه و تملیک پشتیبانی
تداوم فعالیت و برون سپاری فناوری مدیریت امنیت بازیابی خسارت
اطالعات
فرایندهای مدیریت فناوری
اطالعات
شناسایی، اکتساب، نصب و نگهداری
مناسب سیستمها وتجهیزات فن آوری
اطالعات
مدیریت تغییر
توافق نامه ارائه خدمات
SLA
مدیریت ریسک
بررسی ریسک استراتژیک بررسی ریسک شهرت بررسی ریسک عملیاتی بررسی ریسک استراتژیک
حاکمیت ریسک
نظارت ارزیابی اثربخشی فرآیندهای عملیاتی و کنترلهای داخلی
سنجش کفایت تطابق اقدامات بعمل آمده و روشهای کنترل داخلی با سیاست های فن آوری اطالعات
فرایند فناوری اطالعات
نظارت بر اجرا،
پشتیبانی و نگهداری
طرح تداوم فعالیت
انجام آزمون های بحران
طبقه بندی و حفاظت اطالعات
احراز هویت و کنترل
دسترسی
امنیت فیزیکی
و پرسنلی
BV,RFP ،بررسی
پروپوزال و انعقاد قرارداد
مدیریت پروژه
بررسی ریسک شهرت
ایجاد چارچوب و رویکرد نظارت
ها و پیشنهادات اقدامات اصالحیشناسایی نارسایی
تایید بودجه، تأمین وجوه، ذخیره گیری، الزامات و استاندارد مالی
سیستم های موثر در فرایند شناسایی ریسک فناوری اطالعات
System Characterization
Threat Identification
Vulnerability Identification
Control Analysis
Identify threat / vulnerability
Likelihood Determination
Impact Analysis
Control Recommendations
Risk Determination
Results Documentation
مراحل اجرایی
شناسایی دارایی ها
شناسایی تهدیدها
شناسایی آسیب ها
تحلیل کنترل ها
آسیب/شناسایی تهدید
تعیین احتمال
تجزیه و تحلیل شدت
پیشنهاد کنترل ها
تعیین ریسک
مستند سازی نتایج
داده 1
نرم افزار 2
سخت افزار 3
اتاق 4
ساختمان 5
منطقه 6
شناسایی دارایی ها
شناسایی دارایی ها
داده
نرم افزار
سخت افزار
اتاق
ساختمان
منطقه
شناسایی دارایی ها
داده
نرم افزار
سخت افزار
اتاق
ساختمان
منطقه
تسهیالت
ترازنامه
مشتریان
شناسایی دارایی ها
داده
نرم افزار
سخت افزار
اتاق
ساختمان
منطقه
بانکداری اینترنتی
GL
Core banking
شناسایی دارایی ها
داده
نرم افزار
سخت افزار
اتاق
ساختمان
منطقه
Server
Switch/Router
شناسایی دارایی ها
داده
نرم افزار
سخت افزار
اتاق
ساختمان
منطقه
Server Room
شناسایی دارایی ها
داده
نرم افزار
سخت افزار
اتاق
ساختمان
منطقه
سایت پایگاه داده
شناسایی دارایی ها
داده
نرم افزار
سخت افزار
اتاق
ساختمان
منطقه
سایت پشتیبان
سایت بحران
اصلی سایت
31
عنوان تهدید
منشاء تهدید
شرح آسیب پذیری
صاحب فرایند
مسؤل مستقیم
کنترل فعلی
احتمال رویداد
شدت تاثیر
سطح ریسک
اندازه ریسک
پاسخ نوعکنترل فوریت به ریسک
پیشنهادیمدیر کنترل
پشتیبان اصلی
سایر پشتیبان
ها
احتمال ریسک
باقیمانده
شدت تاثیر
ریسک باقیمانده
سطح ریسک
باقیمانده اقدامات
کاربرگ مدیریت ریسک
عنوان تهدید
منشاء تهدید
شرح آسیب پذیری
صاحب فرایند
مسؤل مستقیم
کنترل فعلی
احتمال رویداد
شدت تاثیر
سطح ریسک
اندازه ریسک
پاسخ نوعکنترل فوریت به ریسک
پیشنهادیمدیر کنترل
پشتیبان اصلی
سایر پشتیبان
ها
احتمال ریسک
باقیمانده
شدت تاثیر
ریسک باقیمانده
سطح ریسک
باقیمانده اقدامات
کاربرگ مدیریت ریسک
مستقیم مسؤل صاحب فرآیند شرح آسیب پذیری منشاء تهدید عنوان تهدید
عنوان تهدید
منشاء تهدید
شرح آسیب پذیری
صاحب فرایند
مسؤل مستقیم
کنترل فعلی
احتمال رویداد
شدت تاثیر
سطح ریسک
اندازه ریسک
پاسخ نوعکنترل فوریت به ریسک
پیشنهادیمدیر کنترل
پشتیبان اصلی
سایر پشتیبان
ها
احتمال ریسک
باقیمانده
شدت تاثیر
ریسک باقیمانده
سطح ریسک
باقیمانده اقدامات
کاربرگ مدیریت ریسک
اندازه ریسک سطح ریسک شدت تاثیر احتمال رویداد کنترل فعلی
عنوان تهدید
منشاء تهدید
شرح آسیب پذیری
صاحب فرایند
مسؤل مستقیم
کنترل فعلی
احتمال رویداد
شدت تاثیر
سطح ریسک
اندازه ریسک
پاسخ نوعکنترل فوریت به ریسک
پیشنهادیمدیر کنترل
پشتیبان اصلی
سایر پشتیبان
ها
احتمال ریسک
باقیمانده
شدت تاثیر
ریسک باقیمانده
سطح ریسک
باقیمانده اقدامات
کاربرگ مدیریت ریسک
سایر پشتیبان ها پشتیبان اصلی مدیر کنترل کنترل پیشنهادی فوریت نوع پاسخ به ریسک
عنوان تهدید
منشاء تهدید
شرح آسیب پذیری
صاحب فرایند
مسؤل مستقیم
کنترل فعلی
احتمال رویداد
شدت تاثیر
سطح ریسک
اندازه ریسک
پاسخ نوعکنترل فوریت به ریسک
پیشنهادیمدیر کنترل
پشتیبان اصلی
سایر پشتیبان
ها
احتمال ریسک
باقیمانده
شدت تاثیر
ریسک باقیمانده
سطح ریسک
باقیمانده اقدامات
احتمال ریسک باقیمانده
شدت تاثیر ریسک سطح ریسک باقیمانده باقیمانده
اقدامات
پشتیبان مدیر کنترل مدیریت ریسک سایر پشتیبان ها اصلی
پیگیری مدیریت
ریسکاقدامات اقدامات نهایی
حسابرسی
کاربرگ مدیریت ریسک
اندازه ریسک
پاسخ نوعکنترل فوریت به ریسک
پیشنهادیمدیر کنترل
پشتیبان اصلی
سایر پشتیبان ها
احتمال ریسک
باقیمانده
شدت تاثیر ریسک
باقیمانده
سطح ریسک
باقیماندهوضعیت اقدامات
کنترلارزیابی
احتمال ریسکشدت تاثیر
ریسکسطح ریسک
اندازه ریسک
نوع پاسخ به ریسک
ارزیابی عملکرد
13مراحل به بعد
کاربرگ مدیریت ریسک
ارزیابی احتمال وضعیت کنترل ریسک
شدت تاثیر به بعد 13مراحل ارزیابی عملکرد ریسک نوع پاسخ به اندازه ریسک سطح ریسک ریسک
Aتحلیل ریسکهای سامانه
:تهدید عنوان
:شرح آسیب پذیری های موجود
:کنترل های فعلی جهت جلوگیری از تهدید
:امتیاز ریسک (احتمال ×شدت )
:شدت تاثیر ریسک (کم، متوسط، زیاد)
:احتمال ریسک (کم، متوسط، زیاد)
برای کاهش ریسک توصیه هایی
:امتیاز ریسک باقیمانده (احتمال ×شدت )
:باقیمانده شدت تاثیر ریسک (کم، متوسط، زیاد)
:احتمال ریسک باقی مانده (کم، متوسط، زیاد)
:نام تکمیل کننده :تاریخ
عدم بکاپ گیری منظم اطالعات-1
عدم وجود روال کنترل تغییر-2
عدم وجود روال مدیریت دسترسی-3
عدم پیچیدگی گذر واژه -4
امنیتی patchعدم نصب به موقع -5
فقدان مکانیزمهای شناسایی و احراز هویت -6
فرایند پشتیبانی دارای روال است-1
فرایند ثبت درخواست وجود دارد-2
کلمه رمز ادمین مناسب و قوی است-3
فایروال نصب شده است-4
فرایندی منظم برای به روز رسانی سیستم عامل و پچ ها وجود دارد-5
ظرفیت سنجی سخت افزار انجام شده است -6
هک سایت
زیاد زیاد زیاد
متوسط متوسط زیاد
به روز رسانی فایروال ها و سیستم عام -1
بستن ورود به سایت از خارج از کشور یا نواحی پر ریسک و مخاصم -2
پشتیبانی به موقع از اطالعات -3
با تشکر از توجه شما
top related