ارزیابی ریسک چیست

ارزیابی ریسک چیست؟ نکات مهم در ارزش گذاری دارایی در امنیت اطلاعات

با سلام در این مقاله قصدمان پرداختن به تجزیه و تحلیل کیفی خطر در امنیت اطلاعات است که البته موارد کیفی آن در نقش ها و مسئولیتها در امنیت اطلاعات و مدیریت ریسک بحث شد و در واقع هدف اصلی تکمیل موضوع مربوطه است که امیدوارم مورد استفاده باشد.

1. Risk Assessment یا ارزیابی ریسک
2. فرایند ارزش گذاری دارایی ها
3. ضوابط انتخاب حفاظت
4. 1- تحلیل سود و هزینه
5. ساده ترین عملیات برای محاسبه سود و هزینه به قرار زیر است
6. 2-تهیه کتابچه راهنمای کاربر
7. 3-حسابرسی و پاسخگویی / ممیزی
8. 4-توانایی بازیابی
9. 5-روابط فروشنده
10. 6-اگاهی های امنیتی
11. مشخص نمودن گروه های کاری برای آموزش شامل گروه های پیشنهادی زیر :

Risk Assessment یا ارزیابی ریسک

در این خصوص همان طور هم که قبلا گفته شد کیفیت RA برای حفظ عناصر مهم مورد نظر ما تلاشی برای پایین آوردن هزینه های بالا انجام نمیدهد البته لازم به ذکر است که در این گام ,انالیز خطر پزیری بر اساس سناریو های از قبل طراحی شده جلو خواهد رفت و در تجزیه و تحلیل کیفی خطر یک فرکانس نموداری از تهدیدات و تاثیر آنها بر داده های مهم در نظر گرفته میشود .

با این حال در ارزیابی کیفی ریسک جدی بودن تهدیدات امنیتی و حساسیت نسبی بر روی دارایی ها و داده ها با ایجاد یک رتبه بندی مشخص که قابلیت جایگزاری در یک مقیاس اندازه گیری در نظر گرفته شده برای هر نوع سناریو مشخص میشود در توصیف یک سناریو خوب باید بگویم که باید مطابق با تهدیدهایی باشد که دارایی های ما را میتواند هدف قرار دهد بنابر این شناخت تهدیدات در یک سناریو و از دست دادن بلقوه دارایی ها و انتخاب اقدامات حفاظتی مناسب برای کاهش خطر باید در نظر گرفته شود. حال با دانستن موارد بالا و به وجود آمدن یک لیست مشخص از تهدیدات موجود و ارزش دارایی ها و منابع قابل تهدید میتوانیم به مراحل تهیه سناریو بپردازیم که شامل موارد زیر است.

1. مدیران IT ابتدا باید در سناریو خود تهدیدات عمده موجود در سازمان ها را رسیدگی مناسب بکنند.
2. سناریو باید توسط مدیران ارشد سازمانها بر اساس واقعیتهای موجود مورد ارزیابی قرار بگیرد و به نوعی مهر تایید بر آنها بخورد.
3. تیم های RA باید در ادامه بر اساس ارزیابی پادمان های مختلف برای هر کدام از تهدیدات توصیه های ایمنی لازم را باید به مدیران متذکر باشند. و یافته های خود را آماده و تسلیم مدیریت بکنند (هرگز به طور خود سرانه اقدام به تصمیم گیری نکنید)
4. پس از تکمیل سناریو نهایی در جهت حفظ منابع ان را در چارچوب مشخص برای اجرا به واحد ارزیابی ریسک چیست های مربوطه ارسال و بر کار آنها درحفظ پادمان های مربوطه نظارت کامل داشته باشید.

فرایند ارزش گذاری دارایی ها

توجه داشته باشید که این ارزیابی یک گام اساسی در تمام روشهای ممیزی امنیت است که در هر دو مورد کمی وکیفی مورد استفاده قرار میگیرد .سه عنصر اصلی در این فرایند شامل موارد زیر است

1. هزینه های اولیه و مستمر سازمان شامل صدور مجوز های خرید وحمایت وتوسعه دارایی های اطلاعاتی.
2. ارزش دارایی های سازمان شامل عملیات تولید و تحقیق و توسعه وفعال بودن مدل کسب و کار
3. ارزش دارایی های تاسیس شده در بازار های خارجی و ارزش تخمینی از مالکیت معنوی (اسرار تجاری , اختراعات ثبت شده , کپی رایت و . )

حال به جدول مقایسه ای زیر در مورد کیفیت و کمیتهای RA توجه کنید.

در قسمت PROPERTY به ترتیب از بالا به پایین شما با این موارد زیر مواجه هستید :

1. تجزیه و تحلیل هزینه وسود
2. هزینه های سخت مالی
3. توانایی های خودکار
4. حدس و گمان های درگیر با کار
5. محاسبات پیچیده
6. حجم اطلاعات مورد نیاز
7. زمان
8. درگیری های کاری
9. سهولت ارتباطات

ضوابط انتخاب حفاظت

پس از تجزیه وتحلیل کامل خطر تدابیر و اقدامات متقابل باید مورد تحقیق و بررسی قرار بگیرد چندین اصول استاندارد وجود دارد که در انتخاب روش های حفاظتی برای حصول اطمینان از همسو بودن روش های حفاظتی با تهدیدات و انتخاب موثر ترین روشهای پیاده سازی و کنترل آنها به عنوان معیار های مهم مورد استفاده است.

1- تحلیل سود و هزینه

که از طریق فرایندی تحت عنوان Cost-Benefit مشتق میشود و شامل موارد زیر است :

1. هزینه های خرید و توسعه و یا صدور مجوز های حفاظتی
2. هزینه های نصب و راه اندازی های فیزیکی و اختلال درامور جاری در طول نصب و تست ادوات حفاظتی (مانند دوربین های مدار بسته)
3. هزینه های معمول تخصیص یافته برای امور تعمیر و نگهداری سیستم ها

ساده ترین عملیات برای محاسبه سود و هزینه به قرار زیر است

(هزینه های قبل از اجرا) – (هزینه های بعد از اجرای حفاظت) – (هزینه های حفاظتی سالانه)= ارزش های حفاظتی سازمان

به عنوان مثال : اگر هزینه های آنالیز یک تهدید 10.000 $ قبل از اجرا باشد و هزینه های اجرای عملیات حفاظتی 1.000 $ باشد وهزینه های سالانه 500$ باشد پس از آن طبق فورمول بالا ارزش موارد حفاظتی سازمان برابر با 8.500$ در سال خواهد بود. این مقدار به نسبت هزینه های راه اندازی از بابت به نفع یا عدم سود مورد بررسی قرار میگیرد که آیا روش انتخابی مناسب است یا نه؟ و علاوه بر این روی اجرای برنامه های حفاظتی خاص نیز در تصمیم گیری ها موثر خواهد بود.که ناشی از به وجود آمدن یک سری مسئولیتهای قانونی به وجود آمده از تهدیدات در سازمانها خواهد بود و همچنین مقدار به دست امده برای تصمیم در مورد اجرای بعضی پادمان های امنیتی میتواند مورد استفاده باشد.

2-تهیه کتابچه راهنمای کاربر

میتوان آن را بهترین راه برای در امان ماندن از خطاهای انسانی در جهت استفاده نادرست از سیستمهای نرم افزاری دانست که باید دقیقا تمام مراحل مورد استفاده از نرم افزار ها و نکات امنیتی مربوط به حین کار د رآنها اورده شود که البته نباید استفاده از آن برای کاربر دشوار باشد ته به راحتی توسط کاربر مورد پزیرش قرار بگیرد و به عنوان یک امر عادی تلقی شود که افراد آن را جزء وضایف روزانه خود بدانند

3-حسابرسی و پاسخگویی / ممیزی

در توابع حفاظتی جایی هم باید برای تست و پاسخ گویی افراد و نرم افزار ها هم در نظر گرفته شود تا افراد در مقابل آنچه که انجام میدهند مسئولیت پذیر و پاسخگو باشند.

4-توانایی بازیابی

سیستم های حفاظتی امنیتی طراحی شده برای سازمان باید امکاناتی را فراهم کند که امکان تنظیمات مجدد با ویژگی های زیر را برای ما فراهم بکند.

• بدون تخریب دارایی ها و منابع در تنظیمات مجدد و به روز رسانی ها
• بدون ایجاد دسترسی به کانال های ارتباطی مخفی در تنظیمات مجدد
• بدون از دست دادن امنیت داده ها یا افزایش جلوگیری بیش از حد در دسترسی به داده ها در تنظیمات مجدد .
• نرفتن منابع به حالتی که اوپراتورهای مجازبدون داشتن دسترسی کامل نتوانند از انها استفاده کنند.

یک نکته : BACK DOORS : درب پشتی , (قلاب تعمیر و نگهداری) علاوه بر آنکه آن را به عنوان یک ابزار در دست هکر ها برای نفوذ به سیستم ها میشناسید با ید بگویم که اساسا یک عنصر بیگناه برنامه نویسی در نرم افزار ها است. که برنامه نویسان از آن برای دسترسی به بخشهای داخلی نرم افزار ها برای دور زدن موانع امنیتی در هنگام بروز اختلال مورد استفاده قرار میگیرد تا بتوانند به رفع ایرادات بپردازند ( یک در اضطراری برای ورود و خروج) بنابر این از این تابع پر ارزش باید متخصصین امنیت در نرم افزار ها اگاه باشند

5-روابط فروشنده

اعتبار, قابلیت اطمینان , عملکرد گذشته فروشنده و تولید کننده محصولات باید مورد بررسی قرار بگیرد. علاوه بر این open source بودن نرم افزار ها هم باید مورد بررسی قرار بگیرد تا امکانات مربوط به نحوه تغییر تنظیمات امنیتی آن ارزیابی شود در رابطه با نرم افزار های غیر open source هم که راهی برای جلو گیری ازافشای روشهای اختصاصی تولید و طراحی نرم افزار ها است باید پشتیبانی فروشنده و اسناد و مدارک تضمین های امنیتی محصول مورد توجه قراربگیرد.

6-اگاهی های امنیتی

این مورد یکی از عناصر نادیده گرفته شده از مدیریت امنیت است چرا که بسیاری از متخصصین امنیت خودشان هم دچار غفلت می شوند و فراموش می کنند که مردم اغلب ضعیف ترین حلقه در زنجیره امنیت هستند و نیازمند اموزش و آگاهی در غیر این صورت چطور میتوانند مسئله را درک کنند که تا حدود زیادی متاثر از موقعیت امنیتی کلی در سازمانها است. توجه داشته باشید که کارمندان باید از نیاز به امنیت اطلاعات و حفاظت از آنها آگاه باشند همیشه این را بدانید که اوپراتور ها نیازمند آموزش و کسب مهارتهای مورد نیاز امنیتی با توجه به نیاز شغلیشان هستند و این بر عهده دست اندر کاران امنیتی است که از این مورد برای پیاده سازی و حفظ و کنترل های امنیتی استفاده کنند. اموزش مفاهیم اصلی امنیت اطلاعات در کارکنان باعث تغییر و بهبود رفتار و نگرش آنها در جهت کمک به حفظ داده ها خواهد بود و این خود یک سرمایه گزاری مناسب در امنیت خواهد شد. به مثالهای زیر توجه شود:

• کاهش قابل اندازه گیری اقدامات غیر مجاز پرسنل
• افزایش قابل ملاحظه اثر بخشی کنترل های امنیتی
• کمک برای جلو گیری از تقلب و سوءاستفاده از منابع محاسباتی سازمان و کاهش جرائم دولتی توسط افراد.

این مهم است که جلسات آگاهی های دوره ای برای کارمندان جدید الورود وتازه کار برگزار شود وتوجه کنید که مطالب تخصصی باید در حد امکان ساده سازی شده و قابل درک برای افراد باشد تا آنها بدانند که در مواجه با مخاطبانشان چطور باید از منابع سازمان محافظت کنند سعی کنید آموزش های خود را در قالب سمینارها . پوستر های اموزشی . خبر نامه های درون شرکتی . استفاده از شبکه وب درون سازمانی . فیلم های آموزشی . استفاده از بنر های بدو ورود . استفاده از متعلقات تبلیغاتی مانند لیوان , قلم و پد موس , یادداشتهای چسبنده و. بهره ببرید.

مشخص نمودن گروه های کاری برای آموزش شامل گروه های پیشنهادی زیر :

1. اموزش فنی امنیت برای پرسنل IT ومدیران
2. اموزش پیشرفته امنیت اطلاعات برای متخصصین امنیت و سیستم های حسابرسان
3. اموزش امنیت برای مدیران ارشد و مدیران عملیاتی ومدیران واحد کسب و کار
4. اموزش اگاهی برای بخشهای خاص و یا پرسنل دارای موقعیتهای حساس امنیتی
5. اموزشهای شغلی مرتبط با امنیت برای اپراتور ها و کاربران خاص

یک نکته: شروع خوب برای تعریف محتوای برنامه اموزشی امنیت میتواند موضوعاتی مانند سیاستهای امنیتی سازمان , استانداردها , دستورالعمل ها, روشهای در حال استفاده و استفاده از موارد اتفاق افتاده بدون سرزنش افراد در جمع و ایجاد حالات آسیب پزیری های امنیتی فرضی برای مشاهده نوع واکنش افراد در مواجه با بحران های امنیتی جهت پیشگیری و آگاه سازی مناسب است.پیروز و سربلند باشید

ارزیابی ریسک قسمت 2

ارزیابی ریسک یک فرآیند جمع‌آوری اطلاعات براي اتخاذ تصمیمات علمی و شفاف براي تعیین سطح ریسک مربوط به یک خطر است. کنترل ریسک، طرح‌ها یا استراتژی‌هایی هستند که ریسک‌ها را تا سطح قابل‌قبول کاهش می‌دهند. تعیین میزان یا سطح ریسک قابل‌قبول وظیفه بخش مدیریتی است.

ارزیابی و مدیریت ریسک

همانطور که در ارزیابی ریسک قسمت 1 اشاره شد ارزیابی ریسک به سازمان این کمک را می کند تا اولویت خود را در مبحث ایمنی به‌درستی شناسایی و در تخصیص منابع به‌دقت عمل نماید تا بیشترین تأثیر در سیستم مدیریت ایمنی پدیدار شود.

حال مدیریت و ارزیابی ریسک به‌عنوان مجموعه‌ای از فعالیت‌ها به همراه استفاده از منابع به‌منظور کنترل و نظارت بر سیستم موردمطالعه و باهدف کنترل ریسک و آثار آن به کار می‌رود. مدیریت ریسک به‌منظور کاهش خطرات بالقوه ناشی از وقوع مخاطرات مرتبط با ریسک‌های منتسب به هرکدام از جنبه‌های مدیریت یک سیستم مورداستفاده قرار می‌گیرد.

ارزیابی ریسک یک فرآیند جمع‌آوری اطلاعات براي اتخاذ تصمیمات علمی و شفاف برای تعیین سطح ریسک مربوط به یک خطر است. در واقع ارزیابی ریسک یک روش ساختار یافته و سیستماتیک براي شناسایی خطرات و برآورد ریسک براي رتبه‌بندی تصمیمات جهت کاهش ریسک به یک سطح قابل‌قبول است.

در ارزیابی ریسک انجام برخی از اعمال بسیار مهم‌اند. این امور موجب می‌شوند که در ارزیابی ریسک شما بهترین نتیجه را دریافت کنید. این امور شامل موارد زیر می‌باشند در خصوص هرکدام به‌صورت کامل توضیح داده‌شده است.

مستندسازی:

همه ارزیابی‌های ریسک ارزیابی ریسک چیست انجام‌شده، بایستی به‌طور کامل مستند شوند و براي صحه‌گذاری و پیگیري، نگهداري گردند. ارزیابی ریسک که بر اساس فن‌های شناخته‌شده انجام می‌شود بایستی شامل اسامی افراد شرکت‌کننده در ارزیابی، تاریخ انجام، نتایج و اقدامات پیگیري باشد. براي این کار بایستی از برگه‌های کاري جهت گرفتن داده‌ها و اطلاعات استفاده نمود.

محاسبه مقدار ریسک

ریسک معمولاً به‌صورت عددي بیان می‌شود که از حاصل‌ضرب احتمال وقوع در شدت واقعه به دست می‌آید. عدد ریسک واحد خاصی ندارد و بنابراین به‌صورت تنها معنی و مفهومی نخواهد داشت. به‌عنوان‌مثال اگر گفته شود که ریسک انجام کار یا فعالیت خاص برابر 20 است هیچ‌گونه مفهومی را نمی‌رساند.

معیارهاي عمومی ریسک

این معیارها فقط به‌عنوان راهنما بکار می‌روند و می‌تواند در صورت لزوم جهت تناسب با سیستم یا فعالیت تحت مطالعه تغییر کنند. معیارها بایستی توسط همه اعضاي تیم شرکت‌کننده در ارزیابی ریسک پیش از شروع کار توافق گردد.

سطح پذیرش ریسک

با محاسبه ریسک (ریسک= احتمال× شدت ) هر یک از خطرات شناسایی‌شده، با تعداد زیادي از ریسک‌ها مواجه خواهیم شد که کمترین آن‌یک و بالاترین آن 25 خواهد بود.

مطابق متن استانداردهاي سیستم مدیریت ایمنی و بهداشت حرفه‌ای، ریسک‌ها به دودسته کلی تقسیم می‌شوند:

• ریسک‌های غیرقابل‌قبول
• ریسک‌های قابل‌قبول

وقتی ماتریس ریسک و خطوط تعیین‌کننده میزان ریسک قابل‌قبول تهیه و در اختیار طراح، سازنده و بهره‌بردار گذاشته شد آن‌وقت او متوجه می‌شود که براي کاهش کدام دسته از ریسک‌ها باید تلاش کرده و راه‌هایی را براي اجرا پیشنهاد نماید.

سپس سیستم مدیریتی تصمیم می‌گیرد که کدام‌یک از آن‌ها یا همه آن‌ها به مورد اجرا گذاشته شوند که خود این تصمیم‌گیری نیاز به مطالعات مدیریتی دیگري دارد. تعیین میزان یا سطح ریسک قابل‌قبول توسط افراد فنی و محاسبان ریسک عملی نمی‌گردد، بلکه وظیفه بخش مدیریتی است. میزان ریسک قابل‌قبول به مسائل مختلفی ازجمله مسائل اجتماعی، اقتصادي و توانایی‌های فنی و زمانی بستگی دارد و مدیریت ارشد سازمان باید میزان پذیرش ریسک در سازمان ارزیابی ریسک چیست را تعیین نماید.

کنترل ریسک

کنترل ریسک، طرح‌ها یا استراتژی‌هایی هستند که ریسک‌ها را تا سطح قابل‌قبول کاهش می‌دهند. جایی که سطح ریسک در طبقه بالا قرار گیرد، به اقدامات کنترلی نیاز دارند. اقدامات کنترلی بایستی در اولویت اول بر پارامتر احتمال اعمال گردد و ارزیابی ریسک چیست در مرحله بعد، بر پارامتر شدت تعریف گردد. در برخی موارد، بایستی براي هر دو پارامتر، اقدامات کنترلی تعیین شود.

چگونگی تصمیم‌گیری براي کنترل خطر با توجه به ماتریس ارزیابی ریسک:

هنگامی‌که ماتریس براي خطرهاي شناخته‌شده رسم شد و سطح یا میزان ریسک قابل‌قبول و غیرقابل‌قبول معین گردید، کلیه خطرهایی که در منطقه غیرقابل‌قبول ماتریس قرار دارند، باید براي آن‌ها اقدامات کنترلی پیشنهاد گردد تا سیستم مدیریت به‌تبع آن‌ها تصمیم به اجرا بگیرد.

در مورد هر خطر، معمولاً بیش از یک‌راه حل براي کنترل یا کاهش ریسک مربوطه پیشنهاد می‌گردد تا دست مدیریت براي تصمیم‌گیری باز باشد و بتواند با توجه به امکانات و توانایی‌های کاري خود در انتخاب یک یا چندراه حل پیشنهادي تصمیم بگیرد. مهم این است که قبل از اجراي هر اقدام براي کاهش ریسک، باید مجدداً مورد ارزیابی قرار گیرد، تا معلوم شود که میزان کاهش چقدر بوده است و آیا در حد انتظار و قابل‌قبول است یا خیر؟

پس از اجراي این راه‌حل‌ها، شکل ماتریس ریسک تغییر کرده و تعداد خطرهاي موجود در بخش ریسک‌های غیرقابل‌قبول مرتباً کم می‌شود.

تکنیک ارزیابی ریسک

سازمان در انواع و اندازه‌های مختلف با گستره‌ای از ریسک‌ها مواجه هستند که ممکن است بر دستیابی آن‌ها به اهدافشان تأثیر بگذارند. این اهداف می‌توانند با گسترهای از فعالیت‌های سازمان مرتبط باشند، از ابتکارهای راهبردی گرفته تا عملیات، فرآیندها و پروژه‌های سازمان می‌توانند به‌صورت پیامدهای اجتماعی، محیطی، فنّاورانه، ایمنی و امنیتی، اقدامات تجاری، مالی و اقتصادی و همچنین تأثیرات اجتماعی، فرهنگی، سیاسی و اعتباری منعکس شوند.

تکنیک ارزیابی ریسک

مهم‌ترین تکنیک‌های ارزیابی ریسک به‌صورت خلاصه در این مطلب آمده است. تمام فعالیت‌های یک سازمان در ریسک‌هایی دخیل هستند که بایستی مدیریت شوند. فرآیند مدیریت ریسک از طریق به‌حساب آوردن عدم قطعیت و احتمال رخدادها و اوضاع‌واحوال آینده (خواسته و ناخواسته) و تأثیرات آن‌ها بر اهداف موردتوافق، به تصمیم‌گیری کمک می‌کند. مدیریت ریسک شامل به‌کارگیری روش‌های منطقی و سیستماتیک برای موارد زیر است: تبادل اطلاعات و مشاوره در کل این فرآیند؛ ایجاد فضایی برای شناسایی، تحلیل، سنجش و برخورد با ریسک مربوط به هر فعالیت، فرآیند، وظیفه یا محصول؛ پایش و بازنگری ریسک‌ها؛ گزارش دهی و ثبت مناسب نتایج . ارزیابی ریسک قسمتی از مدیریت ریسک است که فرآیندی ساختاریافته را فراهم می‌آورد تا چگونگی تحت تأثیر قرار گرفتن اهداف را شناسایی کند و ریسک را پیش از تصمیم‌گیری در این مورد که آیا به برخورد بیشتر نیاز است، از جنبه‌ی عواقب و احتمال آن تحلیل می‌کند. ارزیابی ریسک تلاش می‌کند به پرسش‌های اساسی زیر پاسخ گوید:

با شناسایی ریسک چه اتفاقی ممکن است رخ دهد و چرا؟

عواقب آن اتفاق کدم‌اند؟ احتمال وقوع آن‌ها در آینده چقدر است؟

آیا عواملی وجود دارند که عواقب ریسک را تخفیف دهند یا احتمال ریسک را کاهش دهند؟

آیا سطح ریسک قابل‌تحمل یا قابل‌قبول است و آیا نیاز به برخورد بیشتر است؟

تکنیک PHA

PHA روشی ساده و استنتاجی است که هدف آن شناسایی خطرات و موقعیت‌ها و رخدادهای خطرناکی است که می‌توانند به فعالیت، تسهیلات یا سیستمی معین آسیب برسانند. تکنیک ارزیابی ریسک PHP ، معمولاً در ابتدای تکوین پروژه، درزمانی مورداستفاده قرار می‌گیرد که اطلاعات کمی در مورد جزئیات طراحی یا روش‌های اجرایی بهره‌برداری موجود است و اغلب پیشرو مطالعات بیشتر یا ارائه اطلاعات برای مشخص نمودن طراحی سیستم است. همچنین در زمان تحلیل سیستم‌های موجود برای تعیین اولویت خطرات و ریسک‌ها برای تحلیل بیشتر یا درجایی که اوضاع ‌و احوال مانع استفاده از فنی گسترده‌تر می‌شوند، مفید است.

تکنیک ارزیابی ریسک HAZOP فن HAZOP در ابتدا برای تحلیل سیستم‌های فرآیند شیمیایی تکوین شد، اما به انواع دیگر از سیستم‌ها و عملیات پیچیده بسط داده‌شده است. این موارد عبارتند از سیستم‌های مکانیکی و الکترونیک، روش‌های اجرایی و سیستم‌های نرم‌افزار و حتی تغییرات سازمانی و طراحی و بازنگری قرارداد قانونی . فرآیند HAZOP می‌تواند به تمام اشکال انحراف از مقصود طراحی بنا به نقص‌های طراحی، جزء /اجزاء، روش‌های اجرایی طراحی‌شده و اقدامات انسانی، بپردازد. در حال حاضر این تکنیک ارزیابی ریسک بیشتر در فرآیندهای عملیاتی پالایشگاه و پتروشیمی‌ها استفاده می‌شود.

تکنیک BIA

تکنیک ارزیابی ریسک BIA ، تحلیل پیامد بر کسب‌وکار که ارزیابی پیامد بر کسب‌وکار نیز نامیده می‌شود، تحلیل می‌کند که چگونه ریسک‌های مخل و مخرب کلیدی می‌توانند بر بهره‌برداری‌های سازمان اثر بگذارند و توانمندی‌هایی را شناسایی و کمی سازی می‌کند که برای مدیریت آن موردنیاز هستند.

تکنیک ارزیابی ریسک تحلیل علت ریشه‌ای (RCA (Root cause analysis تحلیل ضرر و زیانی بزرگ برای ممانعت از وقوع مجدد آن معمولاً تحلیل علت ریشه‌ای (RCA)، تحلیل وقوع یا تحلیل زیان نام می‌گیرد. RCA روی از دست دادن دارایی‌ها به علت انواع 2 خرابی علت ریشه‌ای (RCFA) مختلف وقوع خرابی متمرکز است، درحالیکه تحلیل زیان بیشتر مربوط به زیان‌های مالی یا اقتصادی به علت عوامل خارجی یا فجایع است. این تحلیل تلاش می‌کند، به‌جای این‌که تنها به نشانه‌های واضح فوری بپردازد، علل ریشه‌ای یا اصلی را شناسایی کند.

تکنیک حالات خرابی فرآیند FMEA

تحلیل حالت‌های وقوع خرابی و تأثیرات (FMEA)، تکنیک ارزیابی ریسک است برای شناسایی نحوه عدم موفقیت اجزاء، سیستمها یا فرآیندها در انجام مقصود موردنظر است. این تکنیک باِ صورت کمی با بررسی وقوع ، شدت و کنترل موضوعات را بررسی می نماید. تکنیک ارزیابی ریسک تحلیل درخت خرابی FTA فنی است برای شناسایی و تحلیل عواملی که می‌توانند به رخداد نامطلوب مشخصی (به نام رخداد بالا) کمک کنند.

عوامل عِلی به‌صورت استقرایی شناسایی می‌شوند، به صورتی منطقی سازمان‌دهی می‌شوند و به‌طور تصویری در نموداری درختی نمایش داده می‌شوند که عوامل علمی و ارزیابی ریسک چیست رابطه منطقی آن‌ها را با رخداد بالا ترسیم می‌کند تکنیک ارزیابی ریسک ، تحلیل علت و معلولی تحلیل علت و معلولی روشی ساختاریافته برای شناسایی علل احتمالی رخدادی نامطلوب یا یک مشکل است. این تحلیل عوامل کمک‌کننده احتمالی را در دسته‌های گسترده سازمان‌دهی می‌کند تا تمام فرض‌های ممکن بتوانند بررسی شوند.

با این ‌حال به‌خودی‌خود علل حقیقی را نشان نمی‌دهد، چراکه این علل را تنها می‌توان با شواهد حقیقی و آزمون تجربی فرض‌ها تعیین نمود. اطلاعات در یک نمودار استخوان ماهی (که ایشیکاوا نیز نام دارد) یا گاهی نمودار درختی سازمان‌دهی می‌شود

تکنیک تحلیل لایه‌های حفاظت (LOPA )

Layers of protection analysis LOPA روشی نیمه کمی برای برآورد ریسک‌های مربوط به رخداد یا سناریویی نامطلوب است. این روش تحلیل می‌کند که آیا اقدامات کافی برای کنترل یا تخفیف ریسک موجود هستند.

تکنیک ارزیابی قابلیت اطمینان انسانی (HRA)

Human reliability assessment ارزیابی قابلیت اطمینان انسانی (HRA) به پیامد انسان‌ها بر عملکرد سیستم می‌پردازد و می‌توان آن را برای سنجش تأثیرات خطای انسانی بر سیستم به کاربرد. بسیاری از فرآیندها دارای قابلیت خطای انسانی هستند، به‌ویژه هنگامی‌که زمان موجود برای تصمیم‌گیری اپراتور، کوتاه است. احتمال این‌که مشکلات به‌قدر کافی گسترش‌یافته و جدی شوند، می‌تواند پایین باشد. بااین‌حال گاهی اقدام انسانی تنها دفاع برای ممانعت از پیشروی وقوع خرابی اولیه در جهت سانحه است.

تکنیک نگهداری مبتنی بر قابلیت اطمینانRCM

Reliability centered maintenance روشی است برای شناسایی خط‌مشی‌هایی که بایستی برای نگهداری مبتنیی بر قابلیت اطمینان (RCM) مدیریت وقوع خرابی‌ها پیاده‌سازی شوند تا به‌طور کارآمد و اثربخش به ایمنی، آمادگی و اقتصاد موردنیاز بهره‌برداری برای تمام انواع تجهیزات دست یابند. RCM در حال حاضر یک متدولوژی به اثبات رسیده و پذیرفته‌شده است که در گستره وسیعی از صنایع به کار می‌رود.

این مطلب توسط مهندس پیام خرازیان تهیه‌شده است انتشار مطلب با ذکر نام پیام خرازیان و آدرس سایت بلامانع است

ارزیابی ریسک

ارزیابی ریسک کیفی یک روش منطقی برای تعیین اندازه کمّی و کیفی خطرات و بررسی پیامدهای بالقوه ناشی از حوادث احتمالی بر روی افراد، مواد، تجهیزات و محیط است. در حقیقت از این طریق میزان کارآمدی روش های کنترلی موجود مشخص شده و داده های باارزشی برای تصمیم گیری در زمینه کاهش ریسک، خطرات، بهسازی سیستم های کنترلی و برنامه ریزی برای واکنش به آن ها فراهم می شود.
روش های عددی (به انگلیسی: Quantitative) که نتیجه در نهایت به یک عدد منتهی می شود
روش های کیفی (به انگلیسی: Qualitative) که نتیجه حاکی از کیفیت ارزیابی ریسک چیست خاصی در زمینه ریسک خواهد بود.
روش های نیمه کمی (به انگلیسی: Semi-Quantitative) که در بیشتر این روش ها از ماتریس ریسک استفاده می شود.
ارزیابی ریسک کمّی نیازمند محاسبه دو مؤلفه ریسک یعنی شدت پیامدِ رخداد و احتمالِ روی دادن آن رخداد می باشد. برای بدست آوردن وزن احتمال یا وزن شدت پیامد سه نوع راهکار وجود دارد.
ارزیابی ریسک، فرایندی است که نیازمند تجربه، تخصص و دقت بالا بوده و می بایست در قالب کارتیمی و با بهره گیری از توان مسئولین و کارشناسان انجام پذیرد. این فعالیت تیمی نیز زمانی به نتیجه دلخواه دست خواهد یافت که تیم ارزیاب، علاوه بر برخورداری از تجربه و تخصص لازم، از زبان مشترکی نیز در درک مفاهیم و روش های مورد استفاده برخوردار باشند.
افراد مختلف از یک ریسک مشخص، برداشت هایی گوناگون دارند. برآورد میزان ریسک از سوی افراد غیرعلمی با نتایج آماری و معادلات ریاضی ریسک همخوانی ندارد. مفهوم ریسک دو جنبه گوناگون را در بر می گیرد:

. رابطه بین ارزیابی ریسک و مدیریت ریسک چیست؟

. رابطه بین ارزیابی ریسک و مدیریت ریسک چیست؟
ارزیابی ریسک، فرآیند شناسایی، یافتن منابع و ارزیابی ریسک فردی و روابط متقابل بین ریسکهاست. آن یک رویکرد سیستماتیک برای تجزیه و تحلیل تاثیر وقایع آینده برای دستیابی به اهداف سازمانی را فراهم می کند. فرایند ارزیابی ریسک خودش معمولا شامل ارزیابی داده های موجود و استفاده از قضاوت برای تعیین اهمیت حوادث بالقوه آینده و احتمال وقوع آنها می باشد. ارزیابی موثر ریسک، منجر به تدوین پاسخ به ریسک می شود.
بنابراین، ارزیابی ریسک فعالیتی با گرایش به سمت تعیین نیاز برای اقدامات بیشتر است.
مدیریت ریسک، از سوی دیگر، شامل ارزیابی ریسک و همچنین فعالیت های مرتبط با مدیریت ریسک می باشد. این فعالیت ها شامل سیاست ها، فرآیندها، شایستگی، گزارش دهی، روش شناسی و سیستم ها می باشد. هشت مولفه مدیریت ریسک شرکتی COSO – با چارچوب یکپارچه، دیدگاهی را برای درک آنچه مدیریت ریسک زمانی که در طول استراتژی تنظیم و در سراسر شرکت اعمال می شود، فراهم می سازد. این چارچوب شامل سه بخش – هدف تنظیم، شناسایی و ارزیابی ریسک – که برای ارزیابی موثر ریسکها ضروری است.

رابطه بین ارزیابی ریسک و ارزیابی کارایی چیست؟
ارزیابی ریسک یک فعالیت رو به جلو، به کار رفته برای رویدادهای ممکن آینده با شناسایی تاثیر بالقوه در دستیابی به اهداف و احتمال وقوع در بیش از یک افق زمانی تعریف شده است. ارزیابی کارایی یک فعالیت به صورت گذشته نگر می باشد که برای ارزیابی کارایی یک واحد، یک فرایند و یا یک تابع علیه یک هدف از پیش تعیین شده و یا استاندارد در طی یک دوره زمانی می باشد.
ارزیابی ریسک به ارزیابی کارایی مرتبط باشد، زیرا هر دو فعالیت برای اهداف اعمال می شوند. به عنوان مثال، همانطور که در چارچوب COSO توضیح داده شده، ارزیابی ریسک با هدف تنظیم برای ایجاد یک زمینه موثر برای شناسایی حوادث بالقوه آینده ای سبب می شود که ریسکها و فرصت ها را ایجاد کند. ارزیابی ریسک به نحو مطلوب باید مدیریت تحمل ریسک را در نظر بگیرد همانطور که در COSO به عنوان سطح قابل قبول تغییرنسبی با دستیابی به یک هدف خاص تعریف شده است. تحمل ریسک اغلب بهترین روش اندازه گیری شده با استفاده از واحدهای مشابه بکار رفته برای اندازه گیری هدف مرتبط می باشد.
ارزیابی کارایی به طور مستقیم با اندازه گیری یک هدف که اغلب در طول فعالیت ارزیابی کارایی بکار رفته سرو کار دارد. ارزیابی کارایی به یک هدف از پیش تعریف شده و یا استاندارد، در چارچوب یک هدف تعریف شده، نیاز دارد. تحمل ریسک اغلب با استفاده از اندازه گیری کارایی همانطور که یک چارچوب را برای تعریف محدودیت تغییر کارایی قابل قبول تنظیم شده، صورت می گیرد. هنگامی که دامنه تغییرات تنظیم می شوند، اندازه گیری کارایی تحت نظارت قرار می گیرد تا اطمینان حاصل شود که کارایی در داخل مرزهایش اداره می شود. بنابراین تحمل ریسک بکار می رود تا اطمینان حاصل شود که تغییر کارایی به سطح قابل قبول کاهش می یابد. اپراتورها به طور غریزی ارزیابی کارایی را به دلیل اینکه آنها مبنای روزمره ندارد درک می کنند. به عنوان مثال، یک مرتبه شکاف کارایی شناسایی شد، اپراتورهای اغلب در درک علت ریشه­ی شکاف تمرکز می کنند، و طرحی را برای بهبود فرایند برای بستن شکاف پیاده کرده، و بر کارایی نظارت می کنند تا اطمینان حاصل کنند که شکاف دوباره ظهور نمی کند. اگر شکاف دوباره ظهور کرد، دوباره چرخه بهبود برای از بین بردن آنها آغاز می شود. ارزیابی ریسک، از سوی دیگر، یک فعالیت مشکل برای اپراتورها می باشد، زیرا آن به حوادث بالقوه آتی و نه وقایع تاریخی گذشته می پردازد. هنگامی که ارزیابی ریسک و ارزیابی کارایی به طور موثر ترکیب شد، تمرکز مدیریت بر انتظار بیشتر و واکنش کمتر می باشد.