چارچوبهای رایج مدیریت ریسک فناوری اطلاعات (IT)
چارچوبهای متعددی برای مدیریت ریسک IT وجود دارد که بر اساس استانداردها و نیازهای صنایع مختلف طراحی شدهاند. این چارچوبها ساختاری استاندارد و یک روند کاری مشخص در اختیار تیمهای IT قرار میدهند تا بتوانند سیاستها، اقدامات کاهش ریسک و سامانههای پایش خود را بر آن اساس بنا کنند.
در ادامه، برخی از چارچوبهای رایج مدیریت ریسک IT آورده شده است:
| چارچوب | سازمان منتشرکننده | توضیح درباره چارچوب |
|---|---|---|
| ISO 27001 و ISO 27002 | سازمان بینالمللی استاندارد (ISO) و کمیسیون بینالمللی الکتروتکنیک (IEC) | ایجاد کنترلهایی برای کاهش ریسکهای امنیت اطلاعات ناشی از دسترسی غیرمجاز و حملات سایبری |
| NIST 800-53 و NIST CFS | مؤسسه ملی استاندارد و فناوری آمریکا (NIST) | تأمین امنیت سامانههای اطلاعاتی که دادههای دولتی را ذخیره و منتقل میکنند |
| AICPA و SOC 2 | انجمن حسابداران رسمی آمریکا (AICPA) | کاهش ریسکهای ناشی از نقض امنیت دادههای مشتریان؛ مبتنی بر پنج اصل: محرمانگی، در دسترسبودن، یکپارچگی، حریم خصوصی و امنیت |
| EBIOS | آژانس امنیت سایبری فرانسه (ANSSI) | چارچوبی برای مدیریت ریسک سایبری با تمرکز بر امنیت اطلاعات؛ رایج در نهادهای عمومی فرانسه |
| CMMC | مؤسسه ملی استاندارد و فناوری آمریکا (NIST) | الزام پیمانکاران و زیرپیمانکاران دولت آمریکا به رعایت استانداردهای امنیت اطلاعات |
| OCTAVE Allegro | دانشگاه کارنگی ملون، برای وزارت دفاع ایالات متحده | روش خودمحور برای ارزیابی ریسک که بر کاهش ریسکهای عملیات IT تمرکز دارد؛ مناسب سازمانهای کوچک با تیمهای IT محدود |
| FAIR | جک ای. جونز، مؤسسه FAIR | روش کمی برای ارزیابی ریسک که آن را به صورت مالی و عددی اندازهگیری میکند |
صنعت دولتی: چارچوبهای NIST 800-53 و CMMC برای اطمینان از امنیت دادههای دولتی و انطباق پیمانکاران با استانداردهای امنیتی.
صنعت مالی: SOC 2 برای ارزیابی ریسکهای امنیتی در دادههای مالی و حفاظت از اطلاعات مشتری.
صنعت فناوری اطلاعات (IT): ISO 27001 و OCTAVE Allegro برای مدیریت ریسکهای امنیتی در سامانههای IT و زیرساختها.
ادامه مطلب در صفحه بعدی...
