شکل زیر هفت مرحله مدیریت ریسک پروژههای فناوری اطلاعات را نشان میدهد که شامل برنامه ریزی ریسک، شناسایی ریسک، برآورد و تخمین ریسک، استراتژیهای برخورد با ریسک، کنترل و پایش ریسک، پاسخ به ریسک و ارزیابی ریسک میگردد.
۱- برنامه ریزی ریسک:
در این مرحله باید لیست ذینفعان و تعهدات آنها برای مدیریت ریسک تهیه میشود.
۲- شناسایی ریسک :
در این مرحله، دسته بندی ریسک از نظر نوع اثر و منشأ تولید آن و در نهایت لیست ریسکهای پیشبینی شده برای پروژه سیستم ارائه میشود.
- ریسکها از نظر نوع تأثیر، به سه دسته تقسیم بندی میشوند:
جدول ۲-۱: تقسیم بندی ریسکها از نظر نوع تأثیر
| نوع اثر | شرح |
| پروژه | ریسکهایی که روی زمانبندی و منابع پروژه اثر گذارند. |
| محصول | ریسکهایی که روی کیفیت و کارایی نرم افزار اثر گذارند. |
| کسب و کار | ریسکهایی که در توسعه سازمان اثرگذارند. |
- منشأ و عواملی که برای ریسکهای پروژههای فناوری اطلاعات و نرمافزاری وجود دارند، میتوانند وابسته به عوامل مختلفی باشند:
جدول ۲-۲: منشأ ریسک
| منشأ ریسک | شرح |
| فناوری | ریسکهایی که در صورت ناکارآمد بودن فناوری مانند نرمافزارها یا تجهیزات سخت افزاری حاصل میشوند. |
| افراد | ریسکهای ناشی از افراد از جمله کاربران، تیم پروژه، کارمندان و … |
| سازمانی | ریسکهایی که از سازمان نشأت میگیرند؛ مانند عدم تعهد، تغییر در مدیریت و … |
| ابزار | ریسکهای ناشی از ابزارهای مورد استفاده |
| ملزومات | ریسکهای ناشی از عدم شناسایی درست نیازمندیها و تغییرات عمده در آنها |
| تخمین | ریسکهای ناشی از تخمین نادرست زمان و هزینه |
| قانونی | ریسکهای ناشی از مسائل قانونی |
| فرآیند | ریسکهای ناشی از فرآیندهای ناصحیح |
| محیط | ریسکهای ناشی از محیط |
- در جدول زیر ۷ دسته بندی کلی برای ریسکهای ممکن در نظر گرفته شده و پس از آن لیست ریسکهای پیش بینی شده آورده شده است:
جدول ۲-۳: دسته بندی کلی ریسک ها
| ردیف | عنوان فاکتور ریسک | توصیف ریسک | اثرات ناشی از ظهور ریسک | روشهای کاهش ریسک |
| ۱ | ریسک دسترسی | منظور از ریسک دسترسی، خدشه «دسترسی غیر مجاز» به منابع اطلاعاتی، سخت افزار و نرم افزارهای کامپیوتری و (هر آنچه به عنوان سرمایه اصلی ذینفعان و متولی طرح میباشد) است که میزان اهمیت هر یک از اقلام سرمایهای، میتوان درجه ریسک آن را معین نمود. | * از دست دادن اطلاعات محرمانه
* از کار افتادن سخت افزار و نرم افزارهای کامپیوتری * از دست دادن فرصتهای توسعه فناوری اطلاعات |
* افزایش امنیت نرمافزاری و سختافزاری
* سطح بندی مناسب منابع سرمایه ای بر اساس اختیار افراد و تدوین سیاستهای کنترلی |
| ۲ | ریسک خدمترسانی و پاسخگویی به کاربران | چنانچه در ارائه خدمات به کاربران، نظارت و کنترلی صورت نپذیرد و میزان رضایتمندی یا دریافت خدمات توسط کاربران بررسی نشود، ریسک خدمترسانی و پاسخگویی به کاربران رخ میدهد. | * نارضایتی کاربران و کاهش اعتبار سازمانها
* از دست دادن فرصتهای بهره گیری مؤثر از فناوری اطلاعات |
* پیش بینی دلایل شکست پاسخگویی به کاربران و تمهید راهحلهای مناسب
* دریافت بازخورد از کاربران و بهبود مستمر در روش ارائه خدمت به آنان |
| ۳ | ریسک جامعیت داده | اگر برای گزارشات مدیریتی یا توسعه خدمات سازمانها، از داده نادرست استفاده شود، ریسک جامعیت داده رخ میدهد. همچنین از منظر برونسازمانی نیز، چنانچه اطلاعات کاربران درست به سازمانها ارائه نگردد یاداده نادرست به کاربران و ذینفعان ارائه گردد. نیز خود باعث برهم ریختگی و اختلال در خدمترسانی سازمانها گردیده و ریسک جامعیت داده رخ میدهد. | * از دست دادن فرصتهای سازمانها
* ظاهر شدن ناکارآمدی در فرآیندهای خدمت رسانی سازمان ها * تأثیر منفی بر کاربران |
* اختصاص راهحل امنیتی و سطح دسترسی به اقلام دادهای
* کنترل و نظارت پیوسته بر یکپارچگی داده |
| ۴ | ریسک سوءاستفاده | امکان اختلال در منابع سازمانی، یا دستکاری و از بین بردن رکوردهای سازمانی به عنوان ریسک سوءاستفاده دیده میشود. از بیرون سازمان نیز ممکن است افراد غیر مجازی به کانالهای ارتباطی نفوذ نمایند و به اطلاعات محرمانه دسترسی پیدا کنند یا این که از منابع و داراییهای سازمان، استفاده نادرست نمایند که این امر خود منجر به وقوع ریسک سوءاستفاده خواهد شد. | * اختلال در ارائه خدمات سازمانها
* از دست دادن اطلاعات محرمانه و منابع با ارزش سازمانی * کاهش اعتبار و اعتماد سازمانی * از دست دادن فرصتهای بهرهگیری مؤثر از فناوری اطلاعات در خدمترسانی |
* افزایش امنیت دسترسی به اطلاعات و منابع سازمانی
* کنترل و نظارت پیوسته بر دسترسی به منابع سازمانی |
| ۵ | ریسک حقوقی-قانونی | در ارائه خدمات دولتی بر بستر فناوری اطلاعات میبایست بررسی شود که نیازمندیهای حقوقی-قانونی آن پوشش داده شود، در صورت عدم پوشش نیازمندیهای حقوقی-قانونی، ریسک حقوقی-قانونی رخ میدهد. | * انحرافات حقوقی-قانونی
* ایجاد مشکل در ارائه خدمات |
* تعیین نیازمندیها و بررسی وجود بستر حقوقی-قانونی قبل از ارائه خدمات و رفع موانع موجود |
| ۶ | ریسک فرهنگی-آموزشی | آماده پذیری کارکنان داخل سازمانها برای ارائه خدمات و همچنین کاربران برای دریافت خدمات، میبایست قبل از ارائه خدمات و همچنین همزمان با آن، مورد بررسی قرار گیرد که در صورت عدم وجود بستر فرهنگی،ریسک فرهنگی-آموزشی مورد توجه قرار گیرد. | * تعلل و کندی در ارائه خدمات
* عدم استقبال یا رضایت از ارائه خدمات |
* بستر سازی فرهنگی و آموزش اختصاصی کارکنان سازمان برای ارائه خدمات
* آموزشهای عمومی کاربران و ایجاد فضای مناسب برای استقبال و پذیرش خدمات سازمانها |
| ۷ | ریسک صدمهپذیری (از کار افتادن) منابع سختافزاری | این ریسک در صورتی رخ میدهد که منابع سخت افزاری ای که در دسترسی و استفاده کارکنان سازمان یا کاربران است، دچار وقفه یا خرابی گردد. میزان اهمیت تجهیزات سختافزاری در ارائه خدمات،بحرانی بودن و نسبت درجه ریسک را مشخص مینماید. | * نا کارآیی در فرآیندهای ارائه خدمات
* نارضایتی کاربران و کاهش اعتبار بهرهگیری از فناوری اطلاعات در ارائه خدمات |
* اخذ سیاستهای تست منابع سختافزاری و رفع خرابیها
* در نظر گرفتن نسخههای پشتیبانی برای سخت افزارها |
۳- برآورد و تخمین ریسک:
بعد از شناسایی ریسکها، در این مرحله احتمال وقوع و تأثیر آن بر روی پروژه باید بررسی شود که برای این منظور از روش کمی استفاده شده و یک سری پارامترهایی برای احتمال وقوع و اثر ریسک در نظر گرفته شده است که جداول آن به صورت زیر میباشد؛ که با توجه به آنها، درجه و رتبه ریسک مشخص میگردد.
جدول ۲-۴: احتمال وقوع ریسک و مقدار عددی متناظر
| احتمال وقوع | مقدار عددی |
| کم (Low) | ۱ |
| متوسط (Moderate) | ۲ |
| زیاد (High) | ۳ |
جدول ۲-۵: اثر ریسک و مقدار عددی متناظر
| اثر ریسک | مقدار عددی |
| ناچیز | ۱ |
| قابل تحمل | ۲ |
| خطرناک | ۳ |
| فاجعه انگیز | ۴ |
با توجه به جداول بالا، رتبه ریسک به صورت زیر محاسبه میشود:
| رتبه ریسک = احتمال وقوع ریسک x تأثیر ریسک |
رابطه ۲-۱
که برای ریسکهای پروژه، معمولا احتمال وقوع،تأثیر و رتبه ریسک،در جدولی به صورت زیر قرار میگیرد:
جدول ۲-۶: احتمال وقوع، تأثیر و رتبه ریسک
| ردیف | شرح ریسک | احتمال وقوع | تأثیر ریسک | رتبه ریسک |
| تأثیر x احتمال |
۴- استراتژیهای برخورد با ریسک:
هدف این مرحله، رسیدگی به ریسکهای مختلف میباشد. استراتژی و نحوه برخورد با ریسک باید مشخص شود. در کل چهار نوع استراتژی برای برخورد با ریسک وجود دارد که عبارتند از:
- قبول یا رد ریسک
- اجتناب کامل از ریسک
- کاهش احتمال یا اثر ریسک
- انتقال ریسک به یک فرد دیگر
که در نتیجه، استراتژی برخورد با ریسکهای شناسایی شده، معمولا در جدولی بدین شکل قرار داده میشوند:
جدول ۲-۷: ریسک و استراتژی برخورد
| ردیف | شرح ریسک | استراتژی برخورد | نوع استراتژی |
۵- کنترل و پایش ریسک:
در این مرحله باید ریسکهایی که شناسایی شده اند؛ تحت نظارت و کنترل قرار گیرند که هر ریسکی شاخصهای خاص خودش را دارد و همچنین ممکن است تأثیرات و احتمال وقوع آنها تغییر پیدا کند؛ بنا بر این،ممکن است در این مرحله، تصمیمات جدیدی نسبت به برخورد با ریسکها گرفته شود.
جدول ۲-۸: شاخص ریسک
| ردیف | شرح ریسک | شاخص (Indicator) |
۶- پاسخ به ریسک:
بعد از کنترل و پایش ریسکها،در این مرحله،مالکان ریسک باید عملکرد لازم برای ریسکی که متعهد شده اند را انجام دهند و همچنین منابع لازم را در اختیار بگذارند؛ لذا در جدولی به شکل زیر، مالک (مالکان) ریسکهای مربوط به پروژه قید میشوند.
۷- ارزیابی ریسک:
در این مرحله، باید ریسکها و عملکردهای مربوط به آنها مستند سازی شوند تا بتوان از آنها برای انجام عملکرد بهتر در پروژههای بعدی استفاده نمود.
۲-۲-۴-۱- مدیریت ریسک امنیت اطلاعات
مدیریت و تحلیل مخاطرات یکی از فعالیتهای مهم در طراحی امنیت محسوب میشود و دارای چرخهای است که برای ادامه بقای یک سیستم امنیتی باید مرتباً و در طول حیات سازمان تکرار شود؛ به این معنا که برای مخاطرات سازمان، پس ارزیابی و تحلیل هر یک از آنها، سیاست مقابله ای مناسبی جهت برطرف کردن و یا کاستن از میزان ضرر مربوطه تعریف و پیادهسازی میشود؛سپس نحوه کارکرد این سیاست کنترلی و میزان تأثیر آن اندازهگیری میشود تا بر اساس آن مجدداً چرخه مدیریت مخاطرات با خطرات جدید آغاز به کار نماید.
[۱] Indicator
[۲] Risk Owners