كيفية إجراء تحليل المخاطر

تحليل المخاطر هو منهج منظَّم لتحديد المخاطر وتقييمها وترتيب أولوياتها التي قد تؤثر في أهداف المؤسسة أو أصولها أو وظائفها. والغرض منه هو توفير أساس لاتخاذ قرارات مدروسة بشأن كيفية التعامل مع المخاطر — سواء بالحد منها أو نقلها أو قبولها أو تجنبها.

يتضمن تحليل المخاطر الشامل ستة مكونات جوهرية:

• الأصول المحمية

  ما الذي يحتاج إلى الحماية — المعلومات والأفراد والموارد المالية والسمعة والتوافر.

• التهديدات ونقاط الضعف

  ما الذي قد يسوء — من الهجمات الإلكترونية وإخفاقات الموردين إلى نقص الكوادر البشرية.

• تقييم الاحتمالية

  مدى احتمال وقوع حدث ما، استناداً إلى السوابق التاريخية والبيئة المحيطة.

• تقييم العواقب

  مدى خطورة النتيجة، معبَّراً عنها بمصطلحات قابلة للقياس (المال، وقت التوقف، فقدان العملاء).

• تقييم المخاطر

  الجمع بين الاحتمالية والعواقب ومقارنتهما بمستوى تحمُّل المخاطر لدى المؤسسة.

• خطة العمل

  ما الإجراءات التي ستُتخذ — مع تحديد المسؤول والموعد النهائي وآلية المتابعة.

تحليل المخاطر هو أساس العمل الأمني المنهجي في إطار أطر مرجعية مثل ISO 31000 وISO 27005 وNIS2 وGDPR وISO 27001. في بعض السياقات (ولا سيما السلامة المهنية)، تُسمى هذه العملية تقييم المخاطر — وكثيراً ما يُستخدم المصطلحان بالتبادل.

يكتسب تحليل المخاطر أهميته لثلاثة أسباب.

الامتثال التنظيمي. تشترط كل من NIS2 وGDPR وISO 27001 وDORA وغيرها من الأنظمة المماثلة توافر إدارة مخاطر موثَّقة. وبدون تحليل المخاطر، لا تستطيع المؤسسة إثبات أن عملها الأمني يسير وفق منهج منظَّم.

ترتيب أولويات الموارد. لا تمتلك أي مؤسسة ميزانية أمنية غير محدودة. يُبيِّن تحليل المخاطر المخاطرَ التي تستحق المعالجة الأولى فعلاً — بناءً على الاحتمالية والعواقب وتكلفة الإجراءات.

دعم القرار للقيادة. يُترجم تحليل المخاطر المخاطرَ التقنية والتشغيلية إلى لغة يستطيع الإدارة ومجلس الإدارة التصرف بناءً عليها. وهو يجعل الأمن قضيةً تجارية، لا قضية تقنية معلوماتية فحسب.

نسخة مكثَّفة من المنهج المنظَّم. كل خطوة مرتبطة بمقالة تفصيلية.

• الخطوة 1 — تحديد الأصول المحمية

  ابدأ بإدراج ما تحتاج المؤسسة فعلاً إلى حمايته: المعلومات والتوافر والأصول المالية والسمعة والأفراد والامتثال. وبدون تحديد الأصول المحمية، يغدو تحليل المخاطر تمريناً نظرياً مجرداً. اقرأ المزيد: تحديد الأصول المحمية →

• الخطوة 2 — تحديد النطاق

  حدِّد بوضوح ما يندرج ضمن النطاق — المؤسسة بأكملها أو عملية محددة أو نظام معين أو سلسلة توريد. حدِّد الأفق الزمني وأصحاب المصلحة المعنيين. اقرأ المزيد: النطاق والحدود →

• الخطوة 3 — تحديد التهديدات والمخاطر

  عمل منهجي متعدد الوظائف. استعرض التهديدات لكل أصل محمي، ولكل فئة من فئات التهديدات (إلكتروني، مادي، بشري، موردون، تنظيمي) ولكل سيناريو. أشرك كلاً من تقنية المعلومات وجانب الأعمال. اقرأ المزيد: تحديد التهديدات والمخاطر →

• الخطوة 4 — تقييم الاحتمالية والعواقب

  استخدم مصفوفة 5×5 بمقاييس محددة بوضوح. حدِّد ما تعنيه كل درجة فعلياً — من حيث المال أو وقت التوقف أو فقدان العملاء أو أي وحدة قياس أخرى. اقرأ المزيد: الاحتمالية والعواقب →

• الخطوة 5 — ترتيب أولويات الإجراءات

  الناتج النهائي ليس خلايا حمراء في المصفوفة — بل هو قائمة مرتبة من الإجراءات. اختر استراتيجية لكل مخاطرة: الحد منها أو نقلها أو قبولها أو تجنبها. رتِّب الأولويات وفق الأثر مقابل الجهد المبذول. اقرأ المزيد: ترتيب أولويات الإجراءات خارج المصفوفة →

• الخطوة 6 — الحفاظ على التحليل حياً

  تحليل المخاطر ليس مشروعاً لمرة واحدة. راجعه بانتظام وحدِّثه عند وقوع الحوادث والتغييرات والمتطلبات التنظيمية الجديدة. وتُعدّ الملكية الواضحة للتحليل أمراً لا غنى عنه. اقرأ المزيد: الحفاظ على التحليل حياً →

• الخطوة 7 — ربط التحليل بالأطر المرجعية

  تأكد من أن تحليل المخاطر يستوفي متطلبات الأطر المنطبقة — ISO 27001 وNIS2 وGDPR وDORA وغيرها. اقرأ المزيد: تحليل المخاطر والامتثال →

[اقرأ الدليل الرئيسي الكامل خطوة بخطوة →](/guide/genomfora-riskanalys)

تفرض الأطر المختلفة متطلبات متباينة على طريقة إجراء تحليل المخاطر وتوثيقه.

• ISO 31000 — إدارة المخاطر العامة

  المعيار الدولي لإدارة المخاطر على المستوى الشامل. يُحدِّد المبادئ والإطار والعملية. يُستخدم أساساً للمعايير الأخرى. تعرَّف على المزيد حول ISO 31000 →

• ISO 27005 — مخاطر أمن المعلومات

  يركز تحديداً على المخاطر المرتبطة بأمن المعلومات. يكمل ISO 27001 ويوفر منهجية تفصيلية لتقييم المخاطر.

• ISO 27001 — إدارة أمن المعلومات

  يشترط توافر تقييم موثَّق للمخاطر وخطة معالجة المخاطر. يُعدّ تحليل المخاطر جزءاً محورياً من عملية الاعتماد. تعرَّف على المزيد حول ISO 27001 →

• توجيه NIS2

  تشريع سويدي سارٍ منذ عام 2025. يشترط اتخاذ تدابير إدارة المخاطر للكيانات الأساسية والمهمة ضمن البنية التحتية الحيوية والرعاية الصحية والإدارة العامة وغيرها. تعرَّف على المزيد حول NIS2 →

• GDPR وتقييم أثر حماية البيانات (DPIA)

  عند معالجة البيانات الشخصية التي تنطوي على مخاطر عالية، يجب إجراء تقييم أثر حماية البيانات (DPIA) — وهو نوع محدد من تحليل المخاطر. تعرَّف على المزيد حول تحليل مخاطر GDPR →

• DORA — قانون المرونة التشغيلية الرقمية

  يُنظِّم المرونة التشغيلية للقطاع المالي داخل الاتحاد الأوروبي. يشترط إدارة شاملة لمخاطر تقنية المعلومات والاتصالات.

• MSBFS 2020:6

  لوائح وكالة الطوارئ المدنية السويدية بشأن العمل المنهجي لأمن المعلومات للجهات الحكومية.

[أي إطار مرجعي ينطبق على مؤسستك؟ →](/guide/genomfora-riskanalys#step-7)

يُميِّز تحليل المخاطر الناضج بين ثلاثة مقاييس للمخاطرة لكل خطر. وهذه هي المصطلحات التي يتوقع رؤيتها مدققو ISO 27001 ومجالس الإدارة:

• المخاطرة الإجمالية (المخاطرة الكامنة)

  المخاطرة دون أي ضوابط أو معالجات. ما أسوأ سيناريو محتمل؟ ضرورية لتبرير الاستثمارات.

• المخاطرة الصافية / المخاطرة المتبقية

  المخاطرة بعد احتساب الضوابط القائمة. وهذه هي القيمة التي تُقارَن بمستوى تحمُّل المخاطر لديك.

• المخاطرة المستهدفة

  المستوى الذي تسعى إلى بلوغه بعد تنفيذ المعالجات المخططة. تُظهر الفجوة بين المخاطرة الصافية والمستهدفة ما إذا كانت الإجراءات المخططة كافية.

لماذا يهم ذلك؟ المخاطرة ذات الإجمالي المرتفع والصافي المنخفض (بفضل ضوابط قوية) تحتاج إلى صون الضوابط لا إلى معالجات جديدة. اقرأ المزيد في دليل سجل المخاطر →

مصدران يُسرِّعان العمل — نموذج Excel مجاني وتطبيق RiskNote.

• نموذج تحليل المخاطر القابل للتنزيل (Excel)

  نموذج Excel منظَّم يتضمن مصفوفة 5×5 وقائمة جرد الأصول المحمية وقائمة الإجراءات — مبني وفق ISO 31000. تنزيل مفتوح بلا تسجيل. نزِّل النموذج →

• RiskNote — تحليل مخاطر مدعوم بالذكاء الاصطناعي في 20 دقيقة

  تطبيق للهاتف المحمول يرشدك خلال عملية تحليل المخاطر. تصف نشاط الأعمال، فيقترح الذكاء الاصطناعي المخاطر ذات الصلة بناءً على القطاع والأصول المحمية، وتحصل على سجل مخاطر منظَّم بمصفوفة 5×5 في 20 دقيقة. يعمل مع NIS2 وGDPR وISO 27001 وISO 31000. متاح على iOS وAndroid، بـ 11 لغة. تعرَّف على المزيد حول RiskNote →

مواد تفصيلية معمَّقة لكل خطوة من خطوات المنهج.

• تحديد الأصول المحمية

  ما الذي يحتاج فعلاً إلى الحماية — وكيف تتجنب إغفال الأصول الحيوية غير المرئية. اقرأ التعمُّق →

• النطاق والحدود في تحليل المخاطر

  كيفية تحديد حدود واضحة دون إغفال التبعيات. اقرأ التعمُّق →

• تحديد التهديدات والمخاطر

  منهج متعدد الوظائف بأربعة منظورات: الأصل وفئة التهديد والسيناريو وسلسلة التوريد. اقرأ التعمُّق →

• الاحتمالية والعواقب — مقاييس فعَّالة

  كيفية تعريف مستويات مصفوفة 5×5 بمصطلحات قابلة للقياس يمكنك الدفاع عنها. اقرأ التعمُّق →

• ترتيب أولويات الإجراءات خارج المصفوفة

  لماذا الخلايا الحمراء ليست خطة عمل — وكيف تحقق أقصى أثر مقابل أدنى جهد. اقرأ التعمُّق →

• الحفاظ على تحليل المخاطر حياً

  دورات المراجعة والملكية والمحفزات التي تُبقي التحليل خارج الأدراج. اقرأ التعمُّق →

• تحليل المخاطر والامتثال

  كيفية ربط التحليل بـ ISO 27001 وNIS2 وGDPR وDORA دون ازدواجية في العمل. اقرأ التعمُّق →

تحليل المخاطر لا يعني ملء جدول Excel فارغ بالفئات. بل يعني الفهم — بطريقة منظَّمة — لما تحتاج المؤسسة إلى حمايته، وما الذي قد يسوء، وأي الإجراءات تحقق أكبر أثر مقابل أقل جهد.

المنهج سبع خطوات: الأصول المحمية ← النطاق ← التهديدات والمخاطر ← التقييم ← ترتيب أولويات الإجراءات ← المتابعة المستمرة ← ربط الأطر المرجعية.

أدوات مثل RiskNote تجعل المنهج في متناول مزيد من الناس — دون أن تحلّ محل الحكم البشري.

المنهجية أولاً. الأدوات ثانياً. والأمن دائماً.

هل لديك أسئلة حول تحليل المخاطر، أو تودّ مناقشة كيفية ملاءمة RiskNote لمؤسستك؟ تواصل معنا →