نقش مديريت امنيت اطلاعات در كاهش ريسك عملياتی مؤسسات مالی
فعالیت بانکها، و مؤسسات مالی و اعتباری در حوزههای مختلف فعالیت از جمله اعطای تسهیلات، سرمایهگذاری، صدور انواع اوراق قرضه، صدور انواع گواهی سپرده، صدور ضمانتنامهها و گشایش انواع اعتبارات اسنادی و یا به عبارت دیگر، اقدام به ایفای نقش در بازارهای پول و سرمایه، آنها را در معرض مخاطرات و ریسکهای خاص اینگونه فعالیتها قرارداده است. از جمله ریسكهای با اهمیت میتوان به ریسك عملیاتی و اعتباری اشاره نمود.
نیاز روزافزون مؤسسات مالی و اعتباری به اطلاعات صحیح و بهروز در تعاملات و رشد سریع فنآوریهای نوین در عرصه اطلاعات و ارتباطات در عصر حاضر، ضرورت استقرار یك نظام مدیریت امنیت اطلاعات را در كاهش ریسكهای احتمالی بیش از پیش نمایان میسازد. این نوشتار سعی دارد ضمن اشاره به برخی از ویژگیهای این نظام مدیریتی به معرفی استانداردهای بینالمللی موجود در این زمینه بپردازد.
مفهوم ریسك و مدیریت آن
یک سازمان ممکن است بوسیله یك یا مجموعهای از اتفاقات کوچک و بزرگ دچار آسیب شود. سوانح و خطرات، شرایطی هستند که به صور گوناگون، سازمانها را با قابلیت پذیرش ضرر و زیان در قبال آنها مواجه میسازند. این ضررها ممکن است مربوط به سلامت کارکنان، ایمنی و عملكرد ماشینآلات، تجهیزات یا کل تأسیسات یک کارخانه، محیط زیست، محصول، داراییهای مالی و یا اطلاعات باشد و نیز میتواند داراییهای غیرمشهود یك سازمان مثل لطمه زدن به اعتبار و حیثیت آن را شامل شود.
ریسک، شامل ابعاد احتمالی قرار گرفتن در معرض یک سانحه، تکرار و طول مدت سانحه است و احتمالات حادثشدن یک واقعه را خواسته یا ناخواسته در نظر میگیرد. از اینرو ریسک را میتوان به رویدادهای غیر منتظره که معمولاً به صورت تغییر در ارزش داراییها یا بدهیها میباشد، تعریف کرد.
مدیریت ریسک، فرایندی است که هدف آن کاهش آثار زیانآور یک فعالیت از طریق اقدام آگاهانه برای پیشبینی حوادث ناخواسته و برنامهریزی برای اجتناب از آنها میباشد. بایستی توجه داشت كه:
- ریسك قابل حذف نیست.
- هدف از برنامههای مدیریت ریسك، رسانیدن ریسك به حدود قابل قبول است، نه حذف کامل ریسك.
- و از نظر عملی، ریسك صفر وجود ندارد.
انواع ریسک:
مخاطرات و ریسکهایی كه سازمانها با آن روبرو هستند بهلحاظ نوع فعالیتی كه آنها انجام میدهند، میتوانند متفاوت باشند. مهمترین مخاطرات و ریسکهایی که مؤسسات مالی و اعتباری با آن مواجه خواهند بود، عبارتنداز:
- 1- ریسك اعتباری: ریسک مربوط به زیانهای ناشی از عدم بازپرداخت یا بازپرداخت با تأخیر اصل یا فرع وام از طرف مشتری.
- 2- ریسک بازار: ریسک مربوط به زیانهای محتمل بر داراییهای مؤسسه براساس تغییرات و نوسانات عوامل بازار (مانند نرخ ارز، نرخ بهره، قیمت سهام و … )
- 3- ریسک عملیاتی: عموماً ناشی از اشتباهات انسانی یا اتفاقات و خطای تکنیکی تعریف میشود. این ریسک شامل تقلب (موقعیتی که معاملهگرها اطلاعات غلط میدهند)، اشتباهات مدیریتی و فرایندهای ناکافی یا ناصحیح داخل سازمان میباشد. خطای تکنیکی ممکن است ناشی از نقص در اطلاعات، پردازش معاملات، یا به طور کلی هر مشکل دیگری كه در سطح سازمان روی میدهد، باشد. ریسکهای عملیاتی ممکن است منجر به ریسکهای اعتباری و بازار شوند.
- 4- ریسک قانونی: زمانی مطرح میشود که یک معامله از نظر قانونی قابل انجام نباشد. ریسک قانونی در کل با ریسک اعتباری مرتبط است زیرا طرفین معامله در صورت زیان در یک معامله به دنبال بستر قانونی برای زیر سؤال بردن اعتبار معامله میگردند.
- 5- ریسک کفایت سرمایه: عموماً ابعاد مختلف ریسك در شركتهای مالی به طور مستقیم یا غیر مستقیم تحت تأثیر هزینه سرمایه و میزان سرمایه است. سرمایه یكی از عوامل كلیدی در تعیین میزان امنیت بانکها و مؤسسات مالی و اعتباری است. سرمایه كافی در شركتهای مالی به عنوان یك ابزار امنیتی برای سایر ابعاد ریسك در طول دوره فعالیت تجاری بانک و مؤسسه است. سرمایه، نقاط ضعف محتمل در سایر ابعاد مالی شركت را جذب میكند. لذا، سرمایه مبنایی برای حفظ تأمینكنندگان منابع مالی شركت بهحساب میآید.
- 6- ریسک نرخ بازده: ریسك نرخ بازده عبارت است از تغییری كه در ارزش اوراق قرضه ناشی از تغییر در نرخ بازده آن اتفاق میافتد. از طرف دیگر احتمال تغییر در دریافتهای آتی حاصل از فروش یك اوراق بهادار و همچنین عدم توان پرداخت سود در آن به ریسك بازده اشاره دارد. توان تولید شركت، تغییر در تقاضا و شرایط رقابتی، تغییر در ریسك ملی و ساختار اقتصادی، ریسك سیاسی، همه و همه میتواند سود شركتها و به تبع آن توان پرداخت سود بیشتر به اوراق بهادار را تحت تأثیر قرار دهد. به نوعی كه تمامی تغییرات احتمالی در وقایع بازرگانی، در نهایت تأثیر خود را در ریسك سهام به جا میگذارد.
- 7- ریسک نقدینگی: ریسک نقدینگی دارایی، که با نام ریسک نقدینگی بازار محصول هم شناخته میشود، زمانی ظاهر میشود که معامله با قیمت پیشبینیشده قابل انجام نباشد (به دلیل تغییر وضعیت نسبت به زمان معامله عادی). این ریسک در بین گونههای داراییها و در زمان وابسته به شرایط بازار تغییر میکند. بعضی داراییها مانند ارزهای اصلی یا اوراق قرضه، بازارهای عمیقی دارند و در اغلب مواقع به راحتی با نوسان کمی در قیمت، نقد میشوند اما این امر در مورد همه داراییها صادق نیست. در مورد بانکها، ریسک نقدینگی به دلیل کمبود و عدم اطمینان در میزان نقدینگی بانک ایجاد میشود. حالت دیگری که باعث افزایش ریسک نقدینگی میشود این است که بازارهایی که منابع بانک در آنها قرار دارد دچار کمبود نقدینگی شوند. ریسک نقدینگی با سایر ریسکهای مالی مختلط است و به همین دلیل سنجش و کنترل آن با دشواری روبرو است.
- 8- ریسک پول یا نرخ ارز: ریسك نرخ ارز عبارت است از احتمال از دست دادن اصل و فرع سرمایه به دلیل كاهش قدرت خرید پول. تورم از طرف دیگر نرخ بهره را نیز افزایش میدهد. این امر بهنوبه خود موجب كاهش ارزش اوراق بهادار خواهد شد.
شكل 1، ریسکهایی كه بانكها و مؤسسات مالی و اعتباری با آن مواجه هستند را نشان میدهد. همانطور كه در این شكل مشاهده میشود، یكی از عمده مخاطرات ناشی از ریسك عملیاتی، ریسك فناوری است كه در این مقاله محور اصلی بحث میباشد.
شكل 1- نمودار ریسكهای احتمالی بانكهاو مؤسسات مالی
مدیریت ریسکهای عملیاتی با مدیریت ریسکهای اعتباری و بازار متفاوت است. مؤسسات مالی و اعتباری میتوانند برای ارزشگذاری ریسک عملیاتی گزینههایی را انتخاب کنند و از طریق یکی از رویکردهای زیر آن را ارزیابی کنند:
- رویکرد شاخص مبنا: سرمایه با استفاده از یک شاخص نماینده (مانند درآمد خالص) برای ارائه ریسک عملیاتی کلی، تخصیص داده میشود.
- رویکرد استانداردشده : سازمان به خطوط کاری خاص تقسیم میشود. هرکدام از این تقسیمات یک شاخص برای خود دارند (مثلاً متوسط سالانه داراییها، درآمد خالص یا نرخ خطا). این روش نیازمند ردیابی و ردگیری دادههای ضررها و ارزیابی مدیریت است.
- رویکرد ارزیابی درونی: در این روش از تحلیلهای ریسک کمی استفاده مینماید. سازمانهای ارائهدهنده خدمات مالی نیاز خواهند داشت با توجه به تأثیر سوانح تبادلات بر روی کسب و کار، آنها را دستهبندی نمایند. پایگاه دادههای «ضررها» برای محاسبه احتمال و شدت خسارت مورد انتظار در هرکدام از خطوط کسب و کار مورد استفاده قرار میگیرد. هزینه سرمایه بر مبنای تجربه خسارتهای عملیاتی در یک چارچوب ارزیابی شارژ میشوند.
فنآورى اطلاعات و مدیریت مخاطرات ناشی از آن:
عصر كنونی را بایستی بدون شک عصر اطلاعات و ارتباطات نامید. گسترش روزافزون فنآوری ارتباطات و اطلاعات و همگراشدن آنها، ظهور اینترنت و رسانههای مرتبط گواهی بر این مدعاست. تفاوت این عصر با سایر اعصار را بایستی در سرعت تغییرات فنآوریها، و رشد سریع و چشمگیر علوم دانست كه همه اینها در سایه ارتباطات وسیع و دسترسی همگانی به اطلاعات میسر گردیدهاست. فنآورى اطلاعات، به نحو فزایندهاى بر چگونگى عملكرد و نحوه كارآیى سازمانها و شركتها اعم از دولتى و خصوصى اثرگذاشته است، و نقش سیستمهاى مبتنى بر فنآورى اطلاعات در انجام كارآمد امور ادارى و تجارى انكار ناشدنى است.
در حال حاضر، اطلاعات مهمترین گنجینه برای سازمانها و اشخاص به حساب میآید و از بین رفتن و حتی آسیبدیدن آن منجر به صرف زمان، هزینه و نیروی کار غیر قابل تصوری جهت دستیابی به آنها میشود و در برخی موارد اصول کاری و موجودیت یک سازمان را مورد تهدید قرار میدهد. فنآوری اطلاعات همانند سكه میتواند دو رو داشته باشد، هم فرصت و هم تهدید! اگر به همان اندازهای که به فكر توسعه و فراگیری آن هستیم، به ایمنسازی آن توجه نکنیم، میتواند به سادگی تبدیل به یک تهدید و مصیبت بزرگ شود. تجسم مسائل زیر میتواند ما را در درك بهتر موضوع یاری رساند:
- مبالغ حسابها با هك شدن اطلاعات حسابهای بانکی، کلمات عبور کارتهای بانکی و … جا به جا شود.
- اطلاعات موجود در ثبت اسناد و املاک جا به جا شده، تغییر یابد و یا حذف شود.
- دانش فنی یک کارخانه که با یک فرمولاسیون خاص دارای برند خوبی است، به سرقت رود.
- تمامی اطلاعات دانشجویان یك دانشگاه دستكاری شده و یا تغییر یابد و یا امكان دستیابی در نتایج آزمونهای ورودی به دانشگاهها فراهم شود.
- و نظایر آن …
بنابراینIT به همان اندازه که باعث رفاه و افزایش توانمندیهای ما میشود، میتواند خطرناک باشد و سازمان و حتی کشور را فلج نماید. لذا جهت حفظ اطلاعات و مدیریت آنها و جلوگیری از هر گونه سوء استفاده میبایست بر اساس آخرین دستاوردهای روز دنیا و استانداردهای مربوطه نسبت به ایمنسازی آن اقدام كرد.
همانطور كه سیستمهاى مبتنى بر ICT و IT امروزه به عنوان اصلىترین عامل مؤثر در تعیین برنامهها و تصمیمگیرىهای سازمان شناخته میشود، بهرهگیرى از فنآورى اطلاعات در مدیریت ریسك و به تبع آن بكارگیرى تكنیكهاى مدیریت ریسك در فنآوری اطلاعات میتواند تأثیرى شگرف بر چگونگى سر و سامان دادن به فعالیتهاى سازمانها و مدیریت سیستمهاى مكانیزه داشته باشد.
اطلاعات و مدیریت امنیت آن:
اطلاعات، بهلحاظ معنایی طیف متنوعی را از كاربرد روزمره تا محیطهای فنی دارد. اطلاعات مجموعهای از آگاهیهاست، اطلاعات چی، كجا، چطوری یك موضوع است و به معنای جزئیاتی است كه در موضوعی به آن نیاز داریم. در علوم رایانه اطلاعات، دادههای پردازش شده است كه دارای ارزش و اعتبار میباشد. همانطور كه در بخشهای گذشته به آن اشاره شد، نیاز روزافزون به اطلاعات و استفاده از فنآوریهای اطلاعات و ارتباطات در تمامی سازمانها و بنگاههای اقتصادی و بخصوص بانكها و مؤسسات مالی و اعتباری و تهدیدات ناشی از بكارگیری آن، ضرورت داشتن یك نظام مدیریت امنیت اطلاعات را بیش از پیش بر ما نمایان میسازد.
همانگونه كه اشاره شد، ریسكهایی كه هر سازمان با آن مواجه است، بسته به زمینه فعالیت آن متفاوت است (گرچه ریسكهای مشتركی نیز در این میان وجود دارد). شكل 2 میزان نسبی مخاطرهپذیری سیستمهای اطلاعاتی را بسته به نوع فعالیت آن سازمان نشان میدهد.
شكل 2- میزان نسبی در معرض ریسک بودن یک سیستم اطلاعاتی در بخشهای مختلف
واضح است كه عدم توجه به تأمین امنیت فضای تبادل اطلاعات و برخورد نادرست با این مقوله، مانعی بر سر راه گسترش فضای مذكور در جامعه و جلب اعتماد مدیران در بكارگیری روشهای نوین نظارتی و اطلاعرسانی خواهد شد. به همین جهت است كه ضرورت ایجاد یك نظام منسجم در سطح ملی در خصوص فضای تبادل اطلاعات و ایجاد امنیت آن با در نظر گرفتن ویژگیهای خاصی كه دارد، بیش از پیش مشخص میشود. برخی از این ویژگیها عبارتند از اینكه:
- امنیت فضای تبادل اطلاعات، مفهومی كلان و مبتنی بر حوزههای مختلف دانش است.
- امنیت، با توجه به هزینه و كارایی تعریف میشود و مقولهای نسبی است.
- امنیت، متأثر از مجموعه آداب، سنن و اخلاقیات حاكم بر جامعه است.
- امنیت در فضای تبادل اطلاعات، از روند تغییرات سریع فنآوریهای مرتبط تأثیرپذیر است.
امنیت اطلاعات به مفهوم حفاظت و مراقبت از اطلاعات و سیستمهای اطلاعاتی در مقابل هرگونه مخاطره و تهدید است. مخاطرات و تهدیدهای این حوزه شامل دسترسی، كاربرد، افشاء، قطع، تغییر یا انهدام غیر مجاز اطلاعات است. استاندارد ISO 27001 ، امنیت اطلاعات را حفظ محرمانگی، جامعیت یا صحت، و در دسترس بودن اطلاعات در مقابل مخاطرات، تهدیدها و آسیبپذیریها تعریف میكند. جامعیت اطلاعات به مفهوم تأمین نمودن درستی و تمامیت اطلاعات و روشهای پردازش است به عبارت دیگر اطلاعات فقط توسط افراد مجاز قابل تغییر باشد. محرمانگی بیان میدارد اطلاعات فقط در دسترس افرادی است كه مجاز به دسترسی به آنها هستند و در دسترس بودن به معنای دسترسی به اطلاعات توسط كاربر مجازاست، زمانیكه نیازمند آن اطلاعات است. علاوه براینها سایر ویژگیها از قبیل اصالت، قابلیت جوابگویی و اعتبار، انکارناپذیری، و قابلیت اطمینان اطلاعات نیز میتوانند مشمول این حفاظت باشند.
در این راستا، امنیت اطلاعات از طریق اجرای مجموعهای از كنترلها كه شامل سیاستها، عملیات، رویهها، ساختارهای سازمانی و فعالیتهای نرمافزاری است، حاصل میشود. این كنترلها باید بهمنظور اطمینان از تحقق اهداف امنیتی مشخص هر سازمان برقرار شوند.
نظام مدیریت امنیت اطلاعات
بیشتر سازمانها در مواجهه با تهدیدات امنیتی، سیاست خرید محصولات امنیتی مانند دیواره آتش و برنامههای ضد ویروس و بکارگیری آنها در سیستمهای رایانهای را دنبال میكنند. اما استفاده از گرانقیمتترین محصولات امنیتی بدون شناخت و تحلیل دقیق نیازهای امنیتی، و استفاده از رویههای استاندارد در بکارگیری و کنترل سیستمهای امنیتی و بهروزرسانی مداوم این سیستمها به تنهایی كارساز نخواهند بود.
نظام مدیریت امنیت اطلاعات (ISMS)، در مجموع یك رویكرد نظاممند به مدیریت اطلاعات حساس بمنظور محافظت از آنهاست. نظام مدیریتی مذكور باید شامل روشهای ارزیابی، محافظت، مستندسازی و بازنگری باشد، كه این مراحل در قالب یك چرخه بهبود مستمر (PDCA) تحققپذیر است. (چرخه یادشده كه به چرخه دمینگ نیز معروف است، نقش محوری در تشریح و تحقق استانداردهایISO دارد.)
استانداردهای BS7799 و ISO 27001 استانداردهای بینالمللی برای استقرار و بهبود سیستم مدیریت امنیت اطلاعات در سازمانها به شمار میآیند. تاریخچه ورود این استانداردها با BS7799 شروع شده است كه در دوره خود كاملترین و معروفترین استاندارد در این زمینه بوده است. این استاندارد در سال 1987 توسط مؤسسه CCSC تدوین گردید، سپس با توجه به گذشت زمان و تجارب مختلف از سنجش میزان امنیت اطلاعات توسط CCSC و مرکز محاسبات بینالمللی NCC و یک کنسرسیوم از کاربران، یک نسخه استاندارد امنیت با عنوان مستندات راهبری PD003 در انگلستان منتشر شد و نسخه بازنگری شده این استاندارد در سال 1995 با عنوان استاندارد ISO ثبت گردید.
در فوریه سال 1998 نسخه دوم استاندارد BS7799 تحت عنوان سیستم مدیریت امنیت اطلاعات ISMS)) منتشر شد. در سال 2000 با افزودن الحاقیهای به استاندارد BS7799 که بهعنوان ISO ثبت شده بود این استاندارد تحت عنوان راهنمای اجرای استاندارد امنیت اطلاعات ISO/IEC17799 به ثبت رسید. استاندارد BS7799 در سال 2002 مجدداٌ مورد بازنگری قرار گرفت و در نهایت آخرین نگارش استاندارد ISMS در 28 ژوئن سال 2005 تحت عنوانISO/IEC FDIS 27001:2005 (Draft BS7799-2:2005) توسط کمیته IST/33 سازمان بینالمللی استاندارد ISO منتشر شد.
استقرار و اجرای سیستم مدیریت امنیت اطلاعات
فعالیتهای مربوط به پیادهسازی سیستم مدیریت امنیت اطلاعات بر اساس چرخه دمینگ به همراه گروهای ذینفع و روابط آنها با یکدیگر در شکل 3 و جدول ذیل آن نشان داده شدهاست.
شكل 3- مدل سیستم مدیریت امنیت اطلاعات
فعالیتهایی که در هر مرحله از استقرار سیستم اجرا میشوند عبارتند از:
همانند نظامهای مدیریت كیفیت، نظام مدیریت امنیت اطلاعات نیز در دو بخش فرایندها و محصولات مطرح است. بخش فرایندها بر طراحی و اجرای دستورالعملهای مدیریتی بهمنظور برقراری و حفظ امنیت اطلاعات استوار است و بخش محصولات، یك نظام مدیریتی است كه سازمان بهمنظور بكارگیری محصولات نرمافزاری معتبر در زیرساختهای فناوری اطلاعات خود برای برقراری و حفظ امنیت اطلاعات خویش از آن بهره میگیرد. چیزی كه این دو بخش را به هم پیوند میدهد میزان انطباق با بخشهای استاندارد است كه در یكی از چهار رده حفاظت ناكافی، حفاظت حداقل، حفاظت قابل قبول و حفاظت كافی قرار میگیرد.
پیادهسازی ISMS در یك سازمان مراحل ذیل را در بر میگیرد:
- آمادهسازی اولیه: حصول اطمینان از همراهی مدیریت ارشد سازمان، انتخاب و آموزش اعضای تیم راهانداز.
- تعریف نظام مدیریت امنیت اطلاعات: شامل تعریف چشمانداز و چهارچوب نظام در سازمان است.
- ایجاد سند سیاست امنیت اطلاعات: شامل مجموعهای از عبارات اجرایی در جهت پیشبرد اهداف امنیتی سازمان.
- ارزیابی مخاطرات: شناسایی و ارزیابی سرمایههایی كه نیاز به محافظت دارند و تعیین میزان آسیبپذیری اطلاعات و سرمایههای فیزیكی مرتبط.
- آموزش و آگاهیبخشی: كاهش آسیبپذیری كاركنان مؤثر در حلقه امنیت اطلاعات از طریق آموزش.
- آمادگی برای ممیزی: آگاهی از نحوه ارزیابی چارچوب مدیریتی سازمان و فراهم نمودن آمادگی برای انجام ممیزی.
- ممیزی: شناسایی شرایط لازم برای اخذ گواهینامه در سازمان.
- كنترل و بهبود مستمر: كنترل و ارتقاء اثربخشی نظام مدیریتی پیادهسازی شده، مطابق مدل بهرسمیت شناخته شده.
نتیجهگیری
متأسفانه مقوله امنیت در ایران چندان جدی گرفته نشده و حداکثر محدود به فروش و نصب دیواره آتش و آنتیویروس است. اما در چند سال اخیر سازمانهای معدودی اقدام به پیادهسازی راهكارهای امنیتی و استقرار استاندارد مدیریت امنیت اطلاعات نمودهاند. امید است این استاندارد به كوشش سازمانها و نهادهای وابسته و صاحبنظران حوزه فنآوری اطلاعات و سیستمهای مدیریتی به شكل مؤثرتری بررسی و كاربردی شود.
هر چند بكارگیری نظام مدیریت امنیت اطلاعات و اخذ گواهینامههای مربوطه بهتنهایی نشاندهنده برقراری امنیت كامل در یك سازمان نیست، اما استقرار این نظام مزایایی دارد.
- در سطح سازمانی، تضمینی است برای التزام به اثربخشی تلاشهای امنیتی در همه سطوح و نمایشی از تلاشهای مدیران و كاركنان سازمان در این زمینه است.
- در سطح قانونی، اخذ گواهینامه به اولیای امور ثابت میكند كه سازمان تمامی قوانین و قواعد اجرایی در این زمینه را رعایت میكند.
- در سطح اجرایی، استقرار این نظام باعث اطلاع دقیقتر از سیستمهای اطلاعاتی و ضعف و قوت آنها میشود. علاوهبر این چنین سیستمی استفاده مطمئنتر از سختافزار و نرمافزار را تضمین میكند.
- در سطح تجاری، تلاشهای مؤثر سازمان به منظور حفاظت از اطلاعات، اطمینان خاطر بیشتری را در شركا و مشتریان فراهم میآورد.
- در سطح مالی، این اقدام باعث كاهش هزینههای مرتبط با مسائل امنیتی و كاهش احتمالی حق بیمههای مرتبط میشود.
- در سطح پرسنلی، افزایش آگاهی ایشان از نتایج برقراری امنیت اطلاعات و مسئولیتهای آنها در مقابل سازمان از مزایای بكارگیری چنین نظامی است.
منابع
- 1- جورج سادوسکای و دیگران، راهنمای امنیت فناوری اطلاعات، گروه مترجمین مهدی میردامادی، زهرا شجاعی، محمدجواد صمدی، دبیرخانه شورای عالی اطلاعرسانی، چاپ اول، 1384
- 2- دشتی، افسانه، ” استانداردهای امنیت، آشنایی با استاندارد BS7799″، ماهنامه شبکه، شماره 54، خرداد ۱۳۸۴
- 3- ذاکری، اسلامیان، “نگاهی اجمالی بر مدیریت ریسک در سیستم بانکی”، اداره آمار و برنامهریزی بانک سینا، فروردین ماه 1388
- 4- محمدى نوده، عبدالرحمن، ” نقش فنآورى اطلاعات در مدیریت ریسك”، itiran.com
- 5- “نظام مدیریت امنیت اطلاعات (ISMS)”، شركت بهبود صنعت مهرگان behboudsanat.com
- 6- شبكه اطلاعرسانی قاصدك، ghasedak.com
- 7- سلیمانی، محسن، “مدیریت ریسك در مبادلات الكترونیك”، راهكار مدیریت، mgtsolution.com
- 8- پورمند، علی، ” استانداردی برای مدیریت امنیت اطلاعات”، خبرگزاری فارس
- 9- نوده فراهانی، محمدرضا، “مدیریت ریسكهای استراتژیك لیزینگ”، روزنامه سرمایه، شماره 902، سال 1387
- 10- نوده فراهانی، محمدرضا، “پیمان بینالمللی نظارت بر امور بانكی (بازل)”، فصلنامه تخصصی داخلی رهآورد لیزینگ، شماره 4، سال 1389