ارزیابی ریسک امنیت فیزیکی در ۹ گام | راهنمای استاندارد سازمان‌ها

فهرست مطالب

ارزیابی ریسک امنیت فیزیکی چیست و چه کمکی می‌کند؟
گام اول: تعیین هدف و دامنه ارزیابی ریسک امنیت فیزیکی
گام دوم: شناسایی دارایی‌ها (Assets)
گام سوم: شناسایی تهدیدها (Threats)
گام چهارم: شناسایی آسیب‌پذیری‌ها (Vulnerabilities)
گام پنجم: برآورد احتمال (Likelihood)
گام ششم: برآورد پیامد (Impact)
گام هفتم: محاسبه ریسک ذاتی (Inherent Risk)
گام هشتم: انتخاب کنترل‌ها و محاسبه ریسک باقیمانده (Residual Risk)
گام نهم: مستندسازی و بازبینی دوره‌ای
سوالات متداول درباره ارزیابی ریسک امنیت فیزیکی
جمع‌بندی؛ ارزیابی ریسک امنیت فیزیکی به‌عنوان زبان مشترک امنیت و مدیریت

تقویت دوربین‌ها، اضافه‌کردن نگهبان یا نصب گیت‌های جدید فقط زمانی منطقی است که پشت آن یک ارزیابی ریسک امنیت فیزیکی دقیق وجود داشته باشد. سازمان‌هایی که به‌جای حدس و گمان، از ارزیابی ریسک استفاده می‌کنند، هم هزینهٔ کمتری برای تجهیزات می‌پردازند، هم می‌توانند سطح امنیت واقعی خود را با عدد و ماتریس به مدیریت گزارش دهند. در این راهنما، فرآیند تحلیل ریسک امنیت فیزیکی را در ۹ گام استاندارد مرور می‌کنیم تا برای هر سایت یا ساختمان یک مدل تکرارپذیر و قابل دفاع داشته باشید.

ارزیابی ریسک امنیت فیزیکی چیست و چه کمکی می‌کند؟

به‌طور خلاصه، تحلیل ریسک امنیت فیزیکی یعنی پاسخ دادن سیستماتیک به این سه سؤال:

چه دارایی‌هایی را می‌خواهیم محافظت کنیم؟
چه تهدیدهایی آن‌ها را هدف قرار می‌دهند؟
احتمال و پیامد هر تهدید چقدر است و چه کاری برای کاهش آن انجام می‌دهیم؟

خروجی این فرآیند، یک تصویر شفاف از ریسک‌های واقعاً مهم و برنامه‌ای برای کنترل آن‌هاست؛ نه یک لیست طولانی از مشکلاتی که کسی برای‌شان بودجه و زمان ندارد.

گام اول: تعیین هدف و دامنه ارزیابی ریسک امنیت فیزیکی

قبل از شروع هر ارزیابی ریسک امنیت فیزیکی باید دامنه و هدف را دقیق تعریف کنید:

کدام سایت‌ها، ساختمان‌ها یا واحدها در دامنه هستند؟
افق زمانی ارزیابی چیست؟ (مثلاً یک سال آینده)
خروجی مورد انتظار چیست؛ فقط لیست ریسک‌ها یا ماتریس ریسک، ریسک باقیمانده و برنامه اقدام با برآورد هزینه؟

هرچه دامنه روشن‌تر باشد، گزارش نهایی قابل استفاده‌تر است و تیم امنیتی در جزئیات کم‌اهمیت گم نمی‌شود.

گام دوم: شناسایی دارایی‌ها (Assets)

در ارزیابی ریسک امنیت فیزیکی، دارایی فقط «کالا» نیست. معمولاً دارایی‌ها را در چند دسته تعریف می‌کنیم:

انسانی: کارکنان، مراجعین، مدیران کلیدی
فیزیکی: ساختمان، تجهیزات، انبار، خودروها و صندوق‌ها
اطلاعاتی: اسناد حساس کاغذی، نسخه‌های پشتیبان
اعتباری: شهرت برند و اعتماد مشتریان

برای هر سایت، یک جدول ساده بسازید و دارایی‌های کلیدی را با یک عدد اهمیت (مثلاً از ۱ تا ۵) مشخص کنید. این کار در اولویت‌بندی ریسک‌ها در ادامه، نقش مهمی دارد و پایهٔ تحلیل ریسک امنیت فیزیکی را تشکیل می‌دهد.

گام سوم: شناسایی تهدیدها (Threats)

حالا باید ببینیم چه چیزی می‌تواند به این دارایی‌ها آسیب بزند. چند نمونه تهدید رایج در تحلیل ریسک امنیت فیزیکی عبارت‌اند از:

سرقت (مسلحانه یا بدون سلاح)
نفوذ غیرمجاز در ساعات تعطیلی
خرابکاری داخلی یا تبانی
حریق عمدی یا غیرعمدی
درگیری و تجمعات
تهدیدهای محیطی مثل سیل، زلزله یا نشت مواد خطرناک اطراف سایت

توصیهٔ عملی این است که برای هر نوع سایت (بانک، انبار، بیمارستان، مجتمع اداری) یک لیست تهدید مجزا تهیه کنید تا ارزیابی ریسک امنیت فیزیکی دقیق‌تر و واقع‌بینانه‌تر شود.

گام چهارم: شناسایی آسیب‌پذیری‌ها (Vulnerabilities)

تهدید به‌تنهایی کافی نیست؛ باید ببینیم کجا و چگونه می‌تواند موفق شود. در این گام از ارزیابی ریسک امنیت فیزیکی، نقاط ضعف سیستم فعلی را لیست می‌کنیم، مانند:

نبود دوربین در ورودی‌های جانبی یا پارکینگ
کنترل نشدن تردد کارکنان و پیمانکاران با کارت یا لیست مجوز
روشنایی ناکافی در محوطه و راهروها
گشت‌زنی نامنظم نگهبانان و نبود مسیر گشت ثابت
نبود سناریوی واکنش به رخداد (حمله، دزدی، حریق)
ضعف در قفل‌ها، درب‌ها، دیوارها و حصارها

حاصل این مرحله، نقشه‌ای است از اینکه هر تهدید از کدام در وارد می‌شود و کجا بیشترین ریسک را برای امنیت فیزیکی ایجاد می‌کند.

گام پنجم: برآورد احتمال (Likelihood)

برای هر سناریوی ترکیبی «دارایی + تهدید + آسیب‌پذیری»، باید احتمال وقوع را برآورد کنیم. در اغلب مدل‌های تحلیل ریسک امنیت فیزیکی از مقیاس کیفی ۱ تا ۵ استفاده می‌شود:

۱ – بسیار کم (تقریباً بعید)
۲ – کم
۳ – متوسط
۴ – زیاد
۵ – بسیار زیاد (احتمال بالا در یک سال آینده)

بهتر است معیارها را از قبل تعریف کنید؛ مثلاً «بیش از ۳ رخداد مشابه در سال = زیاد». این کار باعث می‌شود امتیازدهی در ارزیابی ریسک امنیت فیزیکی بین سایت‌های مختلف، مقایسه‌پذیر شود.

گام ششم: برآورد پیامد (Impact)

اگر رخداد اتفاق بیفتد، شدت پیامد چقدر است؟ در این گام از ارزیابی ریسک امنیت فیزیکی موارد زیر را در نظر بگیرید:

خسارت مالی مستقیم (سرقت، تخریب اموال)
توقف عملیات (از کار افتادن شعبه یا انبار)
آسیب به جان افراد (مجروح یا فوت)
پیامدهای قانونی و نظارتی
ضربه به شهرت و اعتماد مشتریان

برای Impact هم می‌توانید از مقیاس ۱ تا ۵ استفاده کنید؛ از «خسارت جزئی» تا «فاجعه‌آمیز». این عدد بعداً در محاسبه ریسک در ماتریس ریسک امنیتی استفاده می‌شود.

گام هفتم: محاسبه ریسک ذاتی (Inherent Risk)

اکنون می‌توانیم برای هر سناریو، مقدار ریسک را حساب کنیم. رایج‌ترین فرمول در ارزیابی ریسک امنیت فیزیکی این است:

Risk = Likelihood × Impact

مثال: اگر احتمال ۴ (زیاد) و پیامد ۵ (فاجعه‌آمیز) باشد، ریسک ۲۰ و در محدوده قرمز قرار می‌گیرد. برای ارائه به مدیریت، سناریوها را روی یک ماتریس ریسک ۵×۵ قرار دهید تا تصویر بصری روشنی از ریسک‌های قرمز و نارنجی داشته باشید.

گام هشتم: انتخاب کنترل‌ها و محاسبه ریسک باقیمانده (Residual Risk)

حالا نوبت اقدام است. برای هر ریسک پررنگ، باید مشخص کنیم با آن چه می‌کنیم:

پذیرش ریسک
کاهش ریسک (کنترل‌های فیزیکی، رویه‌ای، آموزشی)
انتقال ریسک (مثلاً از طریق بیمه)
اجتناب از ریسک (تغییر طرح، جابه‌جایی سایت و…)

در این گام از ارزیابی ریسک امنیت فیزیکی معمولاً فهرستی از کنترل‌های پیشنهادی تهیه می‌شود؛ مانند:

افزایش روشنایی و نصب دوربین در محوطه پشتی
تعریف مسیر گشت اجباری و ثبت دیجیتال گشت‌ها
کنترل دسترسی کارت‌محور برای اتاق‌های حساس
آموزش نگهبانان برای مدیریت سناریوهای خاص (سرقت، گروگان‌گیری، حریق)

بعد از تعریف کنترل‌ها، دوباره احتمال و پیامد را بعد از اجرا تخمین بزنید. این عدد جدید، «ریسک باقیمانده» است و نشان می‌دهد اجرای طرح تا چه حد ریسک را کم کرده است.

گام نهم: مستندسازی و بازبینی دوره‌ای

آخرین گام در تحلیل ریسک امنیت فیزیکی، تبدیل همهٔ این تحلیل‌ها به گزارش قابل استفاده است. پیشنهاد برای ساختار گزارش:

خلاصه مدیریتی
دامنه و روش ارزیابی
لیست دارایی‌ها و تهدیدهای کلیدی
ماتریس ریسک و مهم‌ترین ریسک‌های قرمز
کنترل‌های پیشنهادی، زمان‌بندی و برآورد هزینه
ریسک باقیمانده و KPIهای پیشنهادی برای پایش

این گزارش باید حداقل سالی یک بار و هر زمان که تغییر مهمی در سایت رخ می‌دهد (تغییر کاربری، توسعه ساختمان، اضافه شدن سیستم جدید و…) بازبینی شود تا ارزیابی ریسک امنیت فیزیکی همیشه به‌روز و قابل اتکا بماند.

سوالات متداول درباره ارزیابی ریسک امنیت فیزیکی

۱) ارزیابی ریسک امنیت فیزیکی هر چند وقت یک‌بار باید انجام شود؟

به‌طور معمول توصیه می‌شود ارزیابی ریسک امنیت فیزیکی حداقل سالی یک‌بار انجام شود و هر زمان که تغییر مهمی در سایت رخ می‌دهد (تغییر کاربری، توسعه ساختمان، اضافه شدن سیستم جدید) بازبینی شود.

۲) در ارزیابی ریسک امنیت فیزیکی از چه روشی برای امتیازدهی استفاده کنیم؟

ساده‌ترین روش، استفاده از مقیاس ۱ تا ۵ برای احتمال و پیامد و محاسبه ریسک با فرمول Risk = Likelihood × Impact است. سپس می‌توان نتایج را در یک ماتریس ریسک ۵×۵ نمایش داد تا تصویر روشنی از وضعیت ریسک امنیت فیزیکی به دست آید.

۳) خروجی نهایی ارزیابی ریسک امنیت فیزیکی باید شامل چه چیزهایی باشد؟

یک گزارش استاندارد شامل خلاصه مدیریتی، دامنه و روش کار، لیست دارایی‌ها و تهدیدها، ماتریس ریسک، فهرست کنترل‌های پیشنهادی با زمان‌بندی و هزینه، ریسک باقیمانده و چند KPI پیشنهادی برای پایش امنیت فیزیکی است.

۴) تفاوت ریسک ذاتی و ریسک باقیمانده در ارزیابی ریسک امنیت فیزیکی چیست؟

ریسک ذاتی، سطح ریسک قبل از اعمال هر کنترل امنیتی است و نشان می‌دهد اگر هیچ کاری نکنیم چه اتفاقی می‌افتد. ریسک باقیمانده، سطح ریسک پس از اجرای کنترل‌های پیشنهادی است و نشان می‌دهد سیستم بعد از طرح حفاظتی تا چه حد امن‌تر شده است.

جمع‌بندی؛ ارزیابی ریسک امنیت فیزیکی به‌عنوان زبان مشترک امنیت و مدیریت

وقتی تحلیل ریسک امنیت فیزیکی به‌صورت استاندارد انجام شود، امنیت از یک «هزینه مبهم» به یک سرمایه‌گذاری قابل‌دفاع و قابل‌اندازه‌گیری تبدیل می‌شود. می‌توانید نیاز به دوربین، گیت یا نیروی نگهبان را با عدد و ماتریس توضیح دهید، نه فقط با احساس.

مهم‌تر از همه، دقیق می‌دانید کدام ریسک‌ها را آگاهانه پذیرفته‌اید و کدام‌ها را باید حتماً کاهش دهید. اگر در سازمان‌تان با ریسک‌های امنیتی درگیر هستید، شروع با یک ارزیابی ریسک امنیت فیزیکی استاندارد، بهترین نقطهٔ آغاز برای طراحی هر طرح حفاظتی حرفه‌ای است.

مدیر سایت

19 آبان 1404