آیا سازمان شما برای مواجهه با ریسک‌ها آماده است؟ ایزو 31001: استاندارد طلایی مدیریت ریسک

ایزو 31010 به سازمان‌ها ابزارهای جامع و کارآمدی برای تحلیل و مدیریت ریسک‌ها ارائه می‌دهد و به آنها کمک می‌کند تا با استفاده از تکنیک‌های مناسب، ریسک‌ها را به‌طور مؤثر شناسایی و کنترل کنند.

صفحه اصلی
خدمات
ایزو 31010 - استاندارد مدیریت ریسک - ISO 31010:2019
ایزو 31010

پیام یا خواسته های خود را در این قسمت بنویسید. اگر  دقیقا نمی دانید که چه چیزی می خواهید و نیاز به مشاوره دارید، کارشناسان ما با شما تماس خواهند گرفت.

قبلاً درباره نقش ارزیابی ریسک که توسط سازمان بین‌المللی استانداردسازی (ISO) تحت استاندارد 31000 تعریف شده است، صحبت کرده‌ایم. برای خواندن مقاله‌ی مربوط به این استاندارد اینجا را کلیک کنید. و به طور کلی متوجه شده‌ایم که مدیریت ریسک یک عمل کلیدی برای حمایت از امنیت و رعایت مقررات است. برای حمایت بهتر از سازمان‌هایی که به ارزیابی ریسک نزدیک می‌شوند، ISO سند تکمیلی ISO/IEC 31010 با عنوان "تکنیک‌های ارزیابی ریسک" را منتشر کرده است.

در این مقاله، مروری کوتاه بر فرآیندها و تکنیک‌های توصیه‌شده در این سند ارائه خواهد شد.

ISO/IEC 31010 چیست؟

ISO 31010 یک استاندارد مدیریت ریسک است که توسط سازمان بین‌المللی استانداردسازی (ISO) توسعه یافته است. این استاندارد راهنمایی‌هایی برای ارزیابی و مدیریت ریسک در یک سازمان ارائه می‌دهد و به منظور استفاده به همراه سایر استانداردهای مدیریت ریسک ISO، مانند ISO 31000، طراحی شده است. این سند چارچوبی برای سازمان‌ها فراهم می‌کند تا با استفاده از تکنیک‌های مختلف ارزیابی ریسک، ریسک‌ها را شناسایی، ارزیابی و مدیریت کنند.

ISO 31010 به گونه‌ای طراحی شده است که انعطاف‌پذیر باشد و می‌تواند در زمینه‌ها و صنایع مختلف به کار گرفته شود. هدف این استاندارد کمک به سازمان‌ها در اتخاذ تصمیمات آگاهانه در مورد مدیریت ریسک و توسعه استراتژی‌های مدیریت ریسک است که به نیازها و شرایط خاص آنها تنظیم شده است.

راهنمای پیاده‌سازی ارزیابی ریسک در ISO 31010 چیست؟ قبل از ارائه مجموعه‌ای از تکنیک‌هایی که سازمان‌ها می‌توانند برای ارزیابی ریسک استفاده کنند، ISO 31010 شامل راهنمایی‌هایی در مورد چگونگی پیاده‌سازی این تکنیک‌ها است. توجه داشته باشید که این راهنمای پیاده‌سازی به منظور تکمیل راهنمای ISO 31000 در زمینه مدیریت ریسک و ترکیب تکنیک‌های تعریف‌شده در این سند در آن چارچوب طراحی شده است.

راهنمای کلی پیاده‌سازی شامل موارد زیر است:

  • برنامه‌ریزی ارزیابی: این فرآیند شامل آماده‌سازی سازمان برای ارزیابی‌های اولیه و مستمر ریسک است. این راهنماها شامل تعریف دامنه و هدف ارزیابی، درک زمینه سازمانی برای ارزیابی ریسک، جلب نظرات و تخصص کارشناسان درون سازمان، تعیین اهداف ارزیابی، تعیین معیارهای اندازه‌گیری ریسک و درک چگونگی تأثیر عوامل اجتماعی و انسانی بر ارزیابی و مدیریت ریسک مستمر است.
  • مدیریت اطلاعات: جمع‌آوری اطلاعات بخش حیاتی ارزیابی ریسک است و روش‌هایی که برای انجام این کار به کار می‌رود باید با معیارها و اهداف سازمان هماهنگ باشد. سازمان‌ها باید قادر باشند منبع اطلاعات (از جمله تعیین قابلیت اعتماد و دسته‌بندی منابع اطلاعات)، تحلیل داده‌ها در طول چرخه حیات تاریخی آن و شناسایی احتمالات اطلاعاتی را تعیین کنند. علاوه بر این، سازمان باید در این مرحله از فرآیند ارزیابی، مدل‌سازی داده‌ها و مدل‌های ریسک را انجام دهد. مدل‌سازی داده‌ها در این زمینه به معنای ترسیم مشکلات، نتایج و نمایشی از فرآیندها در قالب مدلی است که ارزیابی ورودی‌ها و خروجی‌ها را ممکن می‌سازد.
  • کاربرد تکنیک‌های ارزیابی: این راهنما نحوه تعیین منابع ریسک، شناسایی ریسک‌ها، بررسی اثربخشی کنترل‌های موجود و تحلیل احتمال وقوع ریسک‌ها را راهنمایی می‌کند. همچنین این راهنما سازمان‌ها را به دنبال کردن تکنیک‌های تعریف‌شده در پیوست A و B این سند هدایت می‌کند (که در زیر به تفصیل توضیح داده شده است).
  • بررسی تحلیل: سازمان‌ها باید بتوانند نتایج حاصل از ارزیابی ریسک خود را بر اساس مدل‌ها و معیارهایی که در مراحل قبلی توسعه داده شده‌اند، تأیید و اعتبارسنجی کنند. این شامل کار بر روی هر گونه عدم قطعیتی است که می‌تواند بر تحلیل این نتایج تأثیر بگذارد، مانند متغیرهای سیستمی یا منابع داده غیرقابل اعتماد. در نهایت، سازمان‌ها باید از نتایج برای تصمیم‌گیری استفاده کنند.
  • کاربرد نتایج در تصمیم‌گیری: هرگونه تصمیم‌گیری در مورد اندازه‌گیری ریسک‌ها و تأثیر آنها بر یک سیستم، تصمیم‌گیری در مورد ریسک‌های قابل قبول و انتخاب بین انواع مختلف ریسک باید بر اساس فرآیند ارزیابی ریسک توضیح‌ داده‌شده صورت گیرد.

تکنیک‌های ارائه‌شده در ISO 31010 فقط در بخش ارزیابی ریسک ISO 31000 قابل استفاده نیستند؛ بلکه می‌توانند از تمامی اجزای فرآیند مدیریت ریسک در ISO 31000 پشتیبانی کنند.

نمودار زیر نشان می‌دهد که کدام یک از تکنیک‌های ISO 31010 در هر مرحله از فرآیند ISO 31000 قابل اجرا هستند. فهرست تکنیک‌های مربوط به هر شماره در بخش بعدی این پست توضیح داده شده است.

 

نمودار ایزو 31010

 

تکنیک‌های ارزیابی ریسک که در ISO 31010 مطرح شده‌اند چیست؟

در راستای تحلیل فرآیند ارزیابی ریسک، ISO 31010 یک ضمیمه از تکنیک‌های خاص ارائه می‌دهد که سازمان‌ها می‌توانند برای پیگیری تحلیل خود از آنها استفاده کنند. علاوه بر این، این تکنیک‌ها به طور مشخص در فرآیند ارزیابی ریسک تعریف‌شده در ISO/IEC 31000 نقشه‌برداری شده‌اند.

  • جمع‌آوری دیدگاه‌ها از ذینفعان و کارشناسان (B1): این گروه از تکنیک‌ها بر نحوه جمع‌آوری اطلاعات از کارشناسان و دیگر ذینفعان به روشی دقیق و مؤثر تمرکز دارند. برخی از تکنیک‌های تعریف‌شده در اینجا شامل طوفان فکری ساختاریافته، به دست آوردن اجماع از گروهی از کارشناسان (تکنیک دلفی)، جلسات طوفان فکری 1-1 توزیع‌شده (تکنیک گروه اسمی)، مصاحبه‌ها و نظرسنجی‌ها می‌شود.
  • شناسایی ریسک‌ها (B2): این گروه از تکنیک‌ها بر چگونگی جمع‌آوری دقیق اطلاعات و شناسایی ریسک‌ها در سیستم‌های سازمان تأکید دارند. این تکنیک‌ها شامل استفاده از طبقه‌بندی و طبقه‌شناسی، استفاده از تحلیل حالات خرابی و اثرات (FMEA) و تحلیل حالات خرابی، اثرات و بحرانی بودن (FMCEA)، استفاده از مطالعات خطر و عملیات (HAZOP)، تحلیل سناریو و تکنیک‌های ساختاریافته "اگر چه می‌شود" (SWiFT) می‌شوند.
  • تعیین منابع ریسک (B3): این گروه از تکنیک‌ها بر ظرفیت سازمان برای درک صحیح علل ریسک‌ها از طریق مطالعه روابط ریسک تأکید دارند. این تکنیک‌ها شامل تحلیل منابع ریسک‌های غیرملموس (رویکرد سیندینیک) و تحلیل علّی تیمی (تحلیل ایشیکاوا) می‌شود.
  • تحلیل کنترل‌ها (B4): این گروه از تکنیک‌ها بر توانایی سازمان برای تعیین مناسب و کافی بودن کنترل‌ها برای ریسک‌های شناسایی‌شده تأکید دارند. این شامل تحلیل بوی‌تای، تحلیل خطر و نقاط کنترل بحرانی (HACCP) و تحلیل لایه‌های حفاظتی (LOPA) می‌شود.
  • درک پیامدها (B5): این تکنیک‌ها به سازمان کمک می‌کنند تا تأثیرات بزرگتر ریسک‌ها را بسته به زمینه و تاریخچه سیستم درک کند. این تکنیک‌ها شامل تحلیل بیزی، شبکه‌های بیزی و دیاگرام‌های تأثیر، تحلیل تأثیر کسب‌وکار (BIA)، تحلیل علّت و معلول (CCA)، تحلیل درخت رویداد (ETA)، تحلیل درخت خرابی (FTA)، تحلیل قابلیت اطمینان انسانی (HRA)، تحلیل مارکوف، شبیه‌سازی مونت کارلو و تحلیل تأثیر حریم خصوصی (PIA) می‌شود.
  • تحلیل وابستگی‌ها (B6): این تکنیک مستلزم آن است که سازمان نقشه‌برداری علّی انجام دهد یا از زنجیره‌های استدلال یا منطق استفاده کند که روابط بین رویدادها، کنترل‌ها و ریسک‌ها را نشان می‌دهد. این شامل نقشه‌برداری علّی و تحلیل تأثیر متقاطع می‌شود.
  • ارائه اندازه‌گیری ریسک (B7): این تکنیک‌ها راه‌هایی برای اندازه‌گیری تأثیر ریسک بر سیستم‌ها یا جامعه گسترده‌تر ارائه می‌دهند. این تکنیک‌ها شامل ارزیابی ریسک سم‌شناختی، ارزیابی ارزش در معرض خطر (VaR) و ارزش مشروط در معرض خطر می‌شوند.
  • ارزیابی اهمیت ریسک (B8): این گروه از تکنیک‌ها راه‌هایی برای تعیین چگونگی برخورد با ریسک در زمینه سازمان تعریف می‌کنند. این شامل آزمایش اصل "منطقی قابل اجرا" برای تحمل ریسک، استفاده از نمودارهای فراوانی-تعداد (F-N) و نمودارهای پارتو، ارزیابی بر اساس نگهداری مبتنی بر قابلیت اطمینان (RCM) و استفاده از نقشه‌برداری شاخص‌های ریسک می‌شود.
  • انتخاب بین گزینه‌ها (B9): این تکنیک‌ها به قابلیت سازمان در تصمیم‌گیری بین دو مسیر یا بیشتر برای مدیریت ریسک، از جمله تصمیم‌گیری درباره ریسک قابل قبول و کنترل‌های اعمال‌شده، مرتبط است. این تکنیک‌ها شامل تحلیل هزینه-فایده (CBA)، تحلیل درخت تصمیم، نظریه بازی و تحلیل چند معیاره (MCA) می‌شود. ثبت و گزارش‌دهی (B10): این تکنیک‌ها به توانایی سازمان در ثبت اطلاعات ریسک در یک پایگاه داده برای ارائه دیدگاه‌هایی درباره پتانسیل ریسک در حال تکامل و ارزیابی اشاره دارند. این تکنیک‌ها شامل رجیستری ریسک، نگهداری اسناد نگهداری و مدل‌سازی با منحنی‌های S می‌شوند.

چرا مدیریت مؤثر ریسک این‌قدر مهم است؟

ارزیابی ریسک به سازمان‌ها کمک می‌کند تا تأثیرات احتمالی یک نقض امنیت سایبری و احتمال وقوع آن را درک کنند. با شناسایی نقاط ضعف و تهدیدهای احتمالی، سازمان‌ها می‌توانند برنامه‌ای برای پیشگیری، شناسایی و پاسخ به حوادث امنیت سایبری تدوین کنند.علاوه بر این، ارزیابی ریسک می‌تواند به سازمان‌ها کمک کند تا منابع خود را به شکلی مؤثرتر تخصیص دهند. همه ریسک‌ها یکسان نیستند و با ارزیابی و اولویت‌بندی ریسک‌ها، سازمان‌ها می‌توانند منابع خود را بر روی حیاتی‌ترین نقاط ضعف متمرکز کنند.در نهایت، بسیاری از چارچوب‌ها و استانداردهای نظارتی، مانند GDPR و PCI DSS، از سازمان‌ها می‌خواهند که به‌عنوان بخشی از تلاش‌های انطباقی خود، ارزیابی ریسک انجام دهند. عدم انجام ارزیابی ریسک و کاهش ریسک‌های شناسایی‌شده می‌تواند به خسارات مالی و آسیب به اعتبار منجر شود.

برخی از مزایای کلی ارزیابی صحیح ریسک شامل موارد زیر است:

اولویت‌بندی اقدامات امنیتی: ارزیابی ریسک به شناسایی نقاط ضعف و تهدیدهای احتمالی و ارزیابی آنها بر اساس اولویت‌های سازمان کمک می‌کند. با درک احتمال و تأثیر بالقوه یک حادثه امنیت سایبری، سازمان‌ها می‌توانند منابع خود را بر روی حیاتی‌ترین نقاط ضعف متمرکز کنند. بهبود تلاش‌های انطباقی: بسیاری از چارچوب‌ها و استانداردهای نظارتی از سازمان‌ها می‌خواهند که به‌عنوان بخشی از تلاش‌های انطباقی خود، ارزیابی ریسک انجام دهند. ارزیابی ریسک می‌تواند به سازمان کمک کند تا در صورت اختیاری بودن نیز، درک بهتری از وضعیت امنیتی خود داشته باشد. تقویت همکاری: ارزیابی ریسک می‌تواند به تسهیل ارتباط و همکاری بین ذینفعان مختلف کمک کند. با درگیر کردن آنها در فرآیند ارزیابی ریسک، سازمان‌ها می‌توانند اطمینان حاصل کنند که همه در مورد ریسک‌های امنیت سایبری و استراتژی‌های کاهش آنها هم‌نظر هستند.

۱۰ تکنیک ارزیابی ریسک در ISO 31010

این تکنیک‌ها به یک بخش خاص از فرآیند چارچوب مدیریت ریسک که در ISO 31000 مطرح شده است (در نمودار بالا مشاهده کنید) مربوط می‌شوند و اکثر آنها بر روی بخش ارزیابی ریسک متمرکز هستند. این تکنیک‌ها در ضمیمه A و ضمیمه B استاندارد ISO 31010 تعریف شده‌اند و بیشتر بر روی بخش ارزیابی ریسک فرآیند تمرکز دارند.

تکنیک‌های جمع‌آوری دیدگاه‌ها و نظرات از ذینفعان و کارشناسان موضوعی (SMEs)
1. طوفان فکری
طوفان فکری به دلیل عدم نیاز به مراجعه به ثبت ریسک، کاهش ریسک، یا پایگاه‌های داده مربوط به حالت‌های خرابی، تکنیکی ارزشمند برای شناسایی ریسک‌های مرتبط با فناوری‌های جدید است، قبل از آنکه داده‌های پرخطر در نظر گرفته شوند.

طوفان فکری برای تولید ایده‌ها بسیار مؤثر است و بهترین نتیجه را زمانی دارد که با سایر تکنیک‌های جمع‌آوری دیدگاه همراه باشد.

2. تکنیک دلفی
تکنیک دلفی شامل همکاری با یک پنل از کارشناسان برای جمع‌آوری نظرات آنها درباره ریسک است، مانند احتمال وقوع ریسک‌های خاص، بحرانی بودن ریسک‌های مشخص، روش‌های مقابله با ریسک، چرخه‌های عمر احتمالی انواع مختلف ریسک‌ها و غیره.

در این فرآیند، هر کارشناس سوالاتی را در چندین دور پاسخ می‌دهد. کارشناسان در طول این فرآیند در یک اتاق قرار نمی‌گیرند؛ آنها سوالات خود را به‌صورت آنلاین دریافت کرده و به‌صورت ناشناس پاسخ می‌دهند تا از تأثیرگذاری نظرات دیگران بر پاسخ‌های در حال پیشرفت جلوگیری شود.

پس از هر دور، یک هماهنگ‌کننده خلاصه‌ای از پاسخ‌ها تهیه کرده و آنها را برای بازخورد به گروه ارائه می‌دهد. هر کارشناس سپس نظراتی در مورد پیشنهادات خود از دیگر اعضای پنل دریافت کرده و فرصت دارد تا بر اساس بازخوردها پاسخ خود را اصلاح کند. این فرآیند تا رسیدن به اجماع دیدگاه‌ها ادامه می‌یابد.

همان‌طور که در نمودار بالا نشان داده شده است، تکنیک دلفی می‌تواند در بیشتر چرخه‌های عمر فرآیند ISO 31000 زمانی که برآورد احتمال وقوع حوادث و اثرات عدم قطعیت مورد نظر است، به‌کار گرفته شود. این تکنیک به ویژه زمانی مفید است که قضاوت کارشناسی برای سناریوهای پیچیده لازم باشد.

تکنیک دلفی برای جمع‌آوری نظرات کارشناسی به‌طور سیستماتیک بسیار سودمند است.

3. تکنیک گروه اسمی
تکنیک گروه اسمی هدف دارد تا با در نظر گرفتن نظرات متنوع، در مورد یک مشکل به اجماع برسد. این تکنیک مشابه طوفان فکری است، اما نظرات هر فرد به صورت خصوصی جمع‌آوری می‌شود، نه در یک جلسه گروهی.

سپس هر ایده با گروه به اشتراک گذاشته می‌شود و اعضا درباره بهترین ایده‌ها رأی می‌دهند. ایده‌ها ممکن است برای توضیحات بیشتر بحث شوند، اما به چالش کشیده یا بی‌اعتبار نمی‌شوند.

تکنیک گروه اسمی یک انتخاب عالی برای درگیر کردن اعضای ساکت‌تر گروه در فرآیند تصمیم‌گیری است.

4.  تکنیک مصاحبه‌های ساختاریافته یا نیمه‌ساختاریافته
این تکنیک دو روش دارد: ساختاریافته و نیمه‌ساختاریافته. در روش ساختاریافته، سوالات به ترتیب از پیش تعیین‌شده‌ای پرسیده می‌شوند تا در تمام مصاحبه‌ها سازگاری حفظ شود. در روش نیمه‌ساختاریافته، پس از تکمیل مجموعه‌ای از سوالات اصلی، از مصاحبه‌شونده سوالات پیگیری بر اساس پاسخ‌های او پرسیده می‌شود.

مصاحبه‌ها برای جمع‌آوری اطلاعات دقیق در مورد ریسک‌های خاص بسیار مفید هستند.

5. تکنیک نظرسنجی
یک روش جمع‌آوری داده بسیار محبوب است. نظرسنجی‌ها بر اساس ابتکارات خاص مدیریت ریسک به کارشناسان موضوعی ارسال می‌شوند. نظرسنجی‌ها همچنین می‌توانند بینش‌های کارشناسی مفیدی در مورد روش‌های ایده‌آل تحلیل ریسک و درک کلی از ریسک‌های مورد پرسش فراهم کنند.

نظرسنجی‌ها برای جمع‌آوری مقادیر زیادی از اطلاعات روش‌های ارزیابی ریسک با زمینه‌سازی موثر هستند.

  1. تکنیک‌های شناسایی ریسک
    2.1 - چک‌لیست‌ها، طبقه‌بندی‌ها و طبقه‌شناسی‌ها
    چک‌لیست‌ها با ارائه لیستی از عدم قطعیت‌ها که در طول یک ممیزی ریسک باید مورد توجه قرار گیرند، رویکردی ساختاریافته برای شناسایی ریسک‌ها ارائه می‌دهند. چک‌لیست‌ها پایه و اساس تحلیل‌های پیچیده‌تر ریسک، مانند تحلیل سناریو، تحلیل خطر و تحلیل علل ریشه‌ای را فراهم می‌کنند.

    با ارائه داده‌های شاخص ریسک بنیادی، نتایج چک‌لیست‌ها گام‌های اولیه حمایتی را برای هماهنگی با استانداردهای شناسایی ریسک ISO 9001 بند 6.1 فراهم می‌کنند.

    چک‌لیست‌ها باید بر اساس تخصص کارشناسان موضوعی و اطلاعات مدلی که از شناسایی ریسک‌ها و کنترل‌ها پشتیبانی می‌کند، باشند.

    2.2 - تحلیل حالت‌های خرابی و اثرات (FMEA) و تحلیل حالت‌های خرابی، اثرات و بحرانی بودن (FMECA)
    FMEA (تحلیل حالت‌های خرابی و اثرات) و نسخه متفاوت آن FMECA (تحلیل حالت‌های خرابی، اثرات و بحرانی بودن) روش‌های سیستماتیکی برای شناسایی حالت‌های بالقوه خرابی در فرآیندها هستند.

    این روش‌ها هدف دارند تا بینشی در مورد نحوه خرابی یک فرآیند خاص و تأثیرات این خرابی ارائه دهند. بر اساس این بینش‌ها، حالت‌های خرابی بحرانی می‌توانند در اقدامات کاهش‌دهنده اولویت‌بندی شوند.

    چهار مولفه اصلی روش‌شناسی تحلیل حالت‌های خرابی عبارتند از:

    تحلیل حالت‌های خرابی را می‌توان در حوزه‌های مختلف سازمان به کار گرفت تا قابلیت اطمینان و ایمنی فرآیندها را بهبود بخشد.

    .3 - مطالعات خطر و عملیات (HAZOP)
    مطالعات خطر و عملیات یک رویکرد سیستماتیک برای شناسایی ریسک‌ها و مسائل عملیاتی بر اساس معیارهای ریسک ارائه می‌دهند.

    اگرچه HAZOP یک رویکرد سیستماتیک برای شناسایی مسائل خطر و عملیاتی است، اما می‌تواند منابع زیادی را مصرف کرده و نیازمند تخصص برای اجرای مناسب باشد.

    2.4 - تحلیل سناریو
    مجموعه‌ای از تکنیک‌ها برای تعیین نتایج قابل قبول از طریق مدل‌های پیش‌بینی‌کننده. تحلیل سناریو شامل بررسی ریسک‌های مرتبط با نتایج سناریوهای احتمالی است.

    تحلیل سناریو یک رویکرد ساختاریافته برای بررسی ریسک‌های مرتبط با نتایج آینده است.

    2.4 - تکنیک ساختاریافته "چه می‌شود اگر" (SWIFT)
    SWIFT یک روش شناسایی ریسک در سطح بالا است که از طوفان فکری ساختاریافته (تکنیک 1.1 را ببینید) استفاده می‌کند. این تکنیک کلمات راهنما (مانند زمان‌بندی و مقدار) را با عبارات "چه می‌شود اگر؟" و "چگونه می‌تواند" ترکیب می‌کند تا ریسک‌ها را در سطح یک سیستم یا زیرسیستم شناسایی کند.

    • برنامه‌ریزی: دامنه، معیارها و اهداف تحلیل تعیین می‌شوند.
    • اجرا: تحلیل برای شناسایی حالت‌های خرابی و تأثیرات آنها بر سایر فرآیندها انجام می‌شود.
    • مستندسازی: نتایج و اقدامات پیشگیرانه پیشنهادی مستند می‌شوند.
    • نگهداری: مستندات تحلیل مطابق با تغییرات جدید به‌روز نگه داشته می‌شوند.

 تکنیک‌های تعیین منابع، علل و عوامل محرک ریسک‌ها

 1. رویکرد سیندینیک
رویکرد سیندینیک (که به عنوان علم خطر ترجمه می‌شود) به بررسی نظرات مختلف میان ذینفعان (ناسازگاری‌ها) پرداخته و ابهاماتی که بین منابع ریسک و عوامل محرک آن (کمبودها) وجود دارد را شناسایی می‌کند.

2. تحلیل ایشیکاوا
تحلیل ایشیکاوا (نمودار استخوان ماهی) یک تلاش گروهی برای درک علل احتمالی رویدادهای مطلوب و نامطلوب است. این رویدادها در یک نمودار شبیه استخوان ماهی نمایش داده می‌شوند، جایی که عوامل بالقوه در دسته‌های گسترده‌ای از علل - انسانی، فنی، سازمانی و غیره - سازماندهی شده‌اند.

3. تحلیل علل ریشه‌ای
تحلیل علل ریشه‌ای (RCA) هدف دارد که علت ریسک‌ها را که از چندین منبع بالقوه ناشی می‌شوند، شناسایی کند. این منابع شامل تکنیک‌های فرآیند طراحی، ویژگی‌های سازمانی، خطای انسانی و رویدادهای خارجی از طرف فروشندگان ثالث می‌شوند.

تکنیک‌های تحلیل کنترل‌ها

1. تحلیل بَوتای
تحلیل بوتای یک نمایش گرافیکی از علل رخدادها است که به پیامدهای مربوطه آنها متصل می‌شود. گاهی اوقات به عنوان یک درخت خطای ساده‌شده در نظر گرفته می‌شود، نمودار بوتای نشان‌دهنده کنترل‌هایی است که بر احتمال و پیامدهای رخدادها تأثیر می‌گذارند.

2. تحلیل خطر و نقاط کنترل بحرانی (HACCP)
HACCP برای اطمینان از اینکه ریسک‌های شناسایی‌شده با کنترل‌های نظارتی در طول مدت فرآیند، به جای پس از اتمام آن، مدیریت می‌شوند، مفید است.

مدیریت سطح حمله می‌تواند از تلاش‌های HACCP پشتیبانی کند، زیرا این روش به طور مداوم وضعیت امنیتی را برای اختلالات ناشی از ریسک‌های جدید نظارت می‌کند.

3. تحلیل لایه‌های حفاظتی (LOPA)
LOPA تأثیر کنترل‌های امنیتی بر کاهش سطح کلی ریسک را ارزیابی می‌کند. یک راه‌حل ارزیابی امنیتی می‌تواند در چنین تحلیلی مفید باشد، زیرا تأثیر وضعیت امنیتی را که از ریسک‌های امنیتی و تلاش‌های اصلاحی ناشی می‌شود، کمی‌سازی می‌کند.استاندارد ایزو 31010:2019 به عنوان یک ابزار مهم در مدیریت ریسک، به سازمان‌ها کمک می‌کند تا با استفاده از تکنیک‌های متنوع و جامع، ریسک‌ها را به‌طور مؤثر شناسایی، ارزیابی و مدیریت کنند. این استاندارد با ارائه روش‌های مختلف برای تحلیل و اندازه‌گیری ریسک، امکان اتخاذ تصمیمات آگاهانه و مبتنی بر داده‌های دقیق را فراهم می‌آورد. ایزو 31010 با ارائه تکنیک‌های مختلف از جمله تحلیل‌های کیفی و کمی، به سازمان‌ها این امکان را می‌دهد که ریسک‌ها را از زوایای مختلف بررسی کنند. این تنوع تکنیک‌ها، سازمان‌ها را قادر می‌سازد تا به عمق مسائل ریسک پرداخته و راه‌حل‌های مناسب را شناسایی کنند.

 یکی از نقاط قوت این استاندارد، تمرکز بر تحلیل وابستگی‌ها و تعاملات بین ریسک‌ها و کنترل‌های مربوطه است. این رویکرد به سازمان‌ها کمک می‌کند تا روابط پیچیده بین ریسک‌ها را درک کرده و تعاملات آنها را به‌درستی مدیریت کنند.ایزو 31010 به سازمان‌ها ابزارهایی برای اندازه‌گیری و ارزیابی تأثیرات ریسک ارائه می‌دهد که شامل تحلیل‌های سم‌شناسی، ارزش در ریسک (VaR) و تحلیل تأثیرات حفاظت داده‌ها می‌شود. این ابزارها به سازمان‌ها کمک می‌کنند تا تأثیرات گسترده‌تر ریسک را در سیستم‌های مختلف شناسایی کنند و بر اساس آن‌ها تصمیم‌گیری کنند.با توجه به تکنیک‌های ارائه‌شده برای ارزیابی اهمیت ریسک و انتخاب بین گزینه‌های مختلف درمان ریسک، این استاندارد به سازمان‌ها امکان می‌دهد تا اولویت‌بندی مناسبی انجام دهند و استراتژی‌های مؤثری برای مدیریت ریسک‌ها پیاده‌سازی کنند.استاندارد ایزو 31010 بر اهمیت ثبت و گزارش‌دهی مداوم اطلاعات ریسک تأکید دارد. با استفاده از تکنیک‌های ثبت و گزارش‌دهی، سازمان‌ها می‌توانند پیشرفت در مدیریت ریسک را پیگیری کنند و اطمینان حاصل کنند که ذینفعان از عملکرد برنامه مدیریت ریسک مطلع هستند.در نهایت، ایزو 31010:2019 با فراهم کردن چارچوبی جامع برای تحلیل و مدیریت ریسک، به سازمان‌ها کمک می‌کند تا به‌طور مؤثر به چالش‌های ریسک پاسخ دهند و بهبود مستمر در استراتژی‌های مدیریت ریسک خود داشته باشند. استفاده مؤثر از این استاندارد می‌تواند به سازمان‌ها در دستیابی به اهداف استراتژیک و کاهش تأثیرات منفی ریسک‌ها کمک کند.

سوالات متداول ایزو 31010 - استاندارد مدیریت ریسک - ISO 31010:2019

ایزو 31010:2019 یک استاندارد بین‌المللی برای مدیریت ریسک است که به سازمان‌ها کمک می‌کند تا با استفاده از تکنیک‌های مختلف، ریسک‌ها را شناسایی، ارزیابی و مدیریت کنند. هدف این استاندارد ارائه روش‌ها و تکنیک‌های جامع برای تحلیل و اندازه‌گیری ریسک و اتخاذ تصمیمات مبتنی بر داده‌های دقیق است.
ایزو 31010 تکنیک‌های متنوعی برای تحلیل و ارزیابی ریسک ارائه می‌دهد، از جمله تحلیل‌های کیفی و کمی مانند تحلیل‌های علت و معلول، تحلیل درخت خطا، شبیه‌سازی‌های مونت کارلو، و تحلیل‌های سم‌شناسی. این تکنیک‌ها به سازمان‌ها کمک می‌کنند تا ریسک‌ها را از زوایای مختلف بررسی کرده و تصمیمات بهتری اتخاذ کنند.
ثبت و گزارش‌دهی اطلاعات ریسک در ایزو 31010 اهمیت زیادی دارد زیرا به سازمان‌ها این امکان را می‌دهد که پیشرفت در مدیریت ریسک را پیگیری کنند و اطمینان حاصل کنند که ذینفعان از عملکرد برنامه مدیریت ریسک مطلع هستند. این فرآیند به بهبود مستمر استراتژی‌های مدیریت ریسک و شفافیت در ارتباطات با ذینفعان کمک می‌کند.
افزودن دیدگاه جدید
About text formats

Restricted HTML

  • تگ‌های HTML مجاز: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • خطوط و پاراگراف‌ها بطور خودکار اعمال می‌شوند.
  • Web page addresses and email addresses turn into links automatically.