The Cybersecurity Capability Maturity Model (C2M2)

مدل بلوغ قابلیت امنیت سایبری (C2M2)

مقدمه:
نفوذهای سایبری مکرر به انواع سازمان‌ها، نیاز به بهبود امنیت سایبری را نشان می‌دهد.
تهدیدهای سایبری همچنان در حال رشد هستند و یکی از جدی ترین تهدیدها هستند.
مدل: بلوغ قابلیت امنیت سایبری C2M2 می‌تواند به سازمان‌ها در همه بخش‌ها، انواع و اندازه‌ها، در ارزیابی و ساخت کمک کند.
بهبود برنامه های امنیت سایبری آنها و تقویت انعطاف پذیری عملیاتی آنها.
مدل: بلوغ قابلیت امنیت سایبری بر پیاده سازی و مدیریت شیوه های امنیت سایبری فناوری اطلاعات (IT) و فناوری عملیات (OT) تمرکز دارد.
دارایی ها و محیطی که در آن فعالیت می کنند.
از این مدل می توان برای موارد زیر استفاده کرد:
▪ تقویت قابلیت های امنیت سایبری سازمان ها.
▪ قابلیت های امنیت سایبری، سازمان ها را قادر می سازد تا به طور موثر و پیوسته مورد ارزیابی و معیار قرار دهند.
▪ به اشتراک گذاری: دانش، بهترین شیوه ها، به عنوان یک مرجع مرتبط در سراسر سازمان به معنای بهبود قابلیت های امنیت سایبری است.
▪ سازمان ها را قادر می سازد تا اقدامات و سرمایه گذاری ها را برای بهبود امنیت سایبری اولویت بندی کنند.
برای استفاده با روش و ابزار خود ارزیابی طراحی شده است (بنا به درخواست سازمان ) برای اندازه گیری و بهبود برنامه امنیت سایبری خود.
خودارزیابی با استفاده از ابزار را می توان در یک روز انجام داد.
تلاش برای ارزیابی دقیق تر علاوه بر این، C2M2 می تواند برای یک برنامه جدید امنیت سایبری جهت، هدایتِ توسعه استفاده شود.
راهنمایی توصیفی به جای تجویزی ارائه می دهد.
به کار گیری ابزار مقیاس پذیر برای پیاده سازی چارچوب امنیت سایبری
سازمان ها را قادر می سازد قابلیت های امنیت سایبری را به طور مداوم ارزیابی کنند.
سطوح توانایی را با عبارات معنادار ارتباط دهید و سرمایه گذاری های امنیت سایبری را اولویت بندی کنید.
این مدل می تواند توسط هر سازمانی، صرف نظر از مالکیت، ساختار، اندازه، سطح تکنولوژی، مورد استفاده قرار گیرد.
در درون یک سازمان، ذینفعان مختلف ممکن است از آشنایی با این سند بهره ببرند، این سند به طور خاص افرادی را در نقش های سازمانی زیر هدف قرار می دهد:
▪ تصمیم گیرندگان (مدیران) که تخصیص منابع و مدیریت ریسک در سازمان ها؛ اینها معمولاً رهبران ارشد هستند
▪ رهبران با مسئولیت مدیریت منابع و عملیات سازمانی مرتبط با دامنه های این مدل.
▪ تمرین‌کنندگان که مسئولیت حمایت از سازمان را در استفاده از این مدل (برنامه ریزی و مدیریت تغییرات در سازمان) دارند
تسهیلگران که مسئولیت رهبری خودارزیابی سازمان را توسط ابزار ارزیابی و تجزیه و تحلیل نتایج خودارزیابی بر عهده دارند
این سند اولین بار در سال 2012 منتشر شد و در سال 2014 در پشتیبانی از زیر ساخت های اصلی و حیاتی ایالات متحده آمریکا به روز شد.

بلوغ مدیریت ریسک امنیت سایبری، ابتکار کاخ سفید به رهبری DOE در مشارکت با DHS و با همکاری کارشناسان بخش خصوصی و دولتی و نمایندگان و صاحبان دارایی و اپراتورها در زیربخش دپارتمان اصلی انرژی ایالات متحده آمریکا ایجاد شد
Department of Energy
The U.S. Department of Energy (DOE)
The United States Department of Homeland Security (DHS)
▪ مشارکت عمومی و خصوصی: تعداد زیادی از دولت ها ، صنایع و دانشگاه ها و سازمان ها در توسعه این مدل شرکت کردند و طیف وسیعی را ارائه کردند

مدل های بلوغ: مدل بلوغ معیاری را ارائه می‌کند که یک سازمان می‌تواند براساس آن ارزیابی شود. سطح فعلی، توانایی عملکردها، فرآیندها و روش‌های آن و تعیین اهداف و اولویت‌ها برای بهبود.
سطوح شاخص بلوغ (MILs) ، مجموعه ای از صفات هر سطح را تعریف می کند.
Maturity Indicator Levels (MILs)
▪ وضعیت فعلی آن را تعریف میکند.
▪ وضعیت آینده و بالغ تر آن را تعیین میکند.
▪ شناسایی قابلیت هایی که باید برای رسیدن به آن وضعیت آینده به دست آورد.

اهداف زیرساخت حیاتی: این مدل به طور منظم به اهداف زیرساخت های حیاتی اشاره می کند . اهداف را می توان به معنای اهداف صنعت، اهداف جامعه یا هر چیز دیگری تفسیر کرد. اهدافی که فراتر از اهداف تجاری یا عملیاتی خاص سازمان هستند اما سازمان در تحقق آن نقش و علاقه دارد و رویکردی سیستماتیک و انعطاف پذیری دارد.

معماری مدل این مدل در 10 حوزه سازماندهی شده است. این مدل شامل چهار سطح بلوغ (MILs) میباشد.
دامنه ها، اهداف و شیوه ها: شامل 342 روش امنیت سایبری است که در 10 دامنه گروه بندی می شوند. اینها اقداماتِ نشان دهنده فعالیت هایی است که یک سازمان می تواند برای ایجاد و بلوغ انجام دهد.
به عنوان مثال: مدیریت دارایی، تغییر و پیکربندی دامنه شامل پنج هدف است:
1. فهرست دارایی IT و OT را مدیریت کنید
2. مدیریت موجودی دارایی اطلاعات
3. پیکربندی دارایی را مدیریت کنید
4. تغییرات دارایی ها را مدیریت کنید
5. فعالیت های مدیریتی
مدل ترکیبی مجزا و همگرا برای بخش های گسترده نیز از قابلیت های اجرایی این سند می باشد به این شیوه که در SCOPE میتوان بنا بر اولویت بندی بخش های یک سازمان بزرگ را با گروه بندی در یک نقشه راه مورد سطح بندی قرار داد.

1-مدیریت دارایی، تغییر و پیکربندی (ASSET):

مدیریت دارایی های IT و OT سازمان، از جمله سخت افزار و نرم افزار، و دارایی های اطلاعاتی متناسب با ریسک زیرساخت های حیاتی و اهداف سازمانی.

2-مدیریت تهدید و آسیب پذیری (THREAT):

ایجاد و حفظ برنامه ها، رویه ها و فن آوری ها برای شناسایی ، ارزیابی ، تجزیه و تحلیل، مدیریت و پاسخگویی به تهدیدات و آسیب پذیری های امنیت سایبری، متناسب با خطر به زیرساخت های سازمان (زیر ساخت حیاتی، فناوری اطلاعات و عملیاتی) و اهداف سازمانی.

3-مدیریت ریسک (RISK):

ایجاد، راه اندازی و نگهداری یک برنامه مدیریت ریسک سایبری سازمانی برای شناسایی، ارزیابی، تجزیه و تحلیل و پاسخ به ریسک سایبری که سازمان در معرض آن است، از جمله واحدهای تجاری آن، شرکت های تابعه، زیرساخت های مرتبط به هم و ذینفعان.

4-مدیریت هویت و دسترسی (ACCESS):

ایجاد و مدیریت هویت برای نهادهایی که ممکن است به آنها دسترسی منطقی یا فیزیکی داده شود دارایی های سازمان، کنترل دسترسی به دارایی های سازمان، متناسب با ریسک به زیرساخت های حیاتی و اهداف سازمانی.

5-آگاهی از موقعیت (SITUATION):

ایجاد و حفظ فعالیت‌ها و فناوری‌ها برای جمع‌آوری، تجزیه و تحلیل، هشدار، گزارش، و استفاده از اطلاعات عملیاتی، امنیتی و تهدید، از جمله اطلاعات وضعیت و خلاصه از سایر حوزه‌های مدل، برای ایجاد آگاهی موقعیتی برای وضعیت عملیاتی سازمان و وضعیت امنیت سایبری.

6-واکنش رویداد و حادثه، تداوم عملیات (RESPONSE):

ایجاد و حفظ برنامه‌ها، رویه‌ها و فناوری‌ها برای شناسایی، تجزیه و تحلیل، کاهش، به رویدادها و حوادث امنیت سایبری واکنش نشان داده و پس از آن بازیابی می شود و عملیات را ادامه می دهد در طول حوادث امنیت سایبری، متناسب با خطر زیرساخت های حیاتی و اهداف سازمانی

7-مدیریت ریسک شخص ثالث (THIRD-PARTIES):

ایجاد و حفظ کنترل برای مدیریت خطرات سایبری ناشی از تامین کنندگان و سایر موارد احزاب، متناسب با خطر زیرساخت های حیاتی و اهداف سازمانی.

8-مدیریت نیروی کار (WORKFORCE):

برنامه‌ها، رویه‌ها، فناوری‌ها و کنترل‌ها را برای ایجاد فرهنگ، ایجاد و حفظ کنید امنیت سایبری و اطمینان از شایستگی مستمر پرسنل، متناسب با خطر زیرساخت های حیاتی و اهداف سازمانی.

9-معماری امنیت سایبری (ARCHITECTURE):

ایجاد و حفظ ساختار و رفتار امنیت سایبری سازمان معماری، شامل کنترل‌ها، فرآیندها، فناوری‌ها و سایر عناصر، متناسب است با خطر زیرساخت های حیاتی و اهداف سازمانی.

10-مدیریت برنامه امنیت سایبری (PROGRAM):

ایجاد و حفظ یک برنامه امنیت سایبری سازمانی که راهبری و راهبردی را فراهم می کند. برنامه ریزی و حمایت مالی برای فعالیت های امنیت سایبری سازمان به نحوی که همسو باشد. اهداف امنیت سایبری با اهداف استراتژیک سازمان و خطرات حیاتی زیر ساخت.

سطوح شاخص بلوغ:

این مدل چهار سطح شاخص بلوغ (MILs)، MIL0 تا MIL3 را تعریف می کند که به طور مستقل برای هر دامنه در مدل اعمال می شود. MIL ها یک پیشرفت دوگانه بلوغ را تعریف می کنند: یک پیشرفت رویکرد و یک پیشرفت مدیریت که در بخش های زیر توضیح داده شده است. چهار جنبه از MIL ها برای درک و به کارگیری مدل مهم هستند.
سطوح شاخص بلوغ به طور مستقل برای هر حوزه اعمال می شود. در نتیجه، سازمانی که از این مدل استفاده می‌کند ممکن است با رتبه‌های MIL مختلف در حوزه‌های مختلف کار کند. به عنوان مثال، یک سازمان می تواند در MIL1 در یک دامنه، MIL2 در دامنه دیگر و MIL3 در دامنه سوم فعالیت کند. MIL ها در هر دامنه تجمعی هستند. برای به دست آوردن MIL در یک دامنه معین، یک سازمان باید تمام اقدامات را در آن سطح و سطوح قبلی خود انجام دهد. به عنوان مثال، یک سازمان باید تمام اعمال دامنه را در MIL1 و MIL2 انجام دهد تا به MIL2 در دامنه دست یابد. به طور مشابه، سازمان برای دستیابی به MIL3 باید تمام اقدامات را در MIL1، MIL2 و MIL3 انجام دهد.
ایجاد یک MIL هدف برای هر دامنه یک استراتژی موثر برای استفاده از مدل برای هدایت بهبود برنامه امنیت سایبری است. سازمان ها باید قبل از تعیین MIL های هدف، با شیوه های موجود در مدل آشنا شوند. سپس، آنها می توانند فعالیت های تجزیه و تحلیل شکاف و تلاش های بهبود را بر روی دستیابی به آن سطوح هدف متمرکز کنند.
عملکرد تمرین و دستاورد MIL باید با اهداف تجاری و استراتژی برنامه امنیت سایبری سازمان هماهنگ باشد. تلاش برای دستیابی به بالاترین MIL در همه حوزه ها ممکن است مطلوب نباشد. شرکت ها باید هزینه های دستیابی به یک MIL خاص را در مقابل مزایای بالقوه آن ارزیابی کنند. با این حال، این مدل به گونه ای طراحی شده است که همه شرکت ها، صرف نظر از اندازه، باید بتوانند MIL1 را در همه دامنه ها به دست آورند.

خلاصه ویژگی های سطح شاخص بلوغ؛ ویژگی های سطح:

MIL0 • تمرین ها انجام نمی شود
MIL1 • اقدامات اولیه انجام می شود اما ممکن است موردی باشد
MIL2 ویژگی های مدیریت: • شیوه ها مستند شده است • منابع کافی برای پشتیبانی از فرآیند فراهم شده است ویژگی رویکرد: • تمرینات کاملتر یا پیشرفته تر از MIL1 هستند
MIL3 ویژگی های مدیریت: • فعالیت ها توسط خط مشی ها (یا سایر دستورالعمل های سازمانی) هدایت می شوند. • پرسنلی که تمرینات را انجام می دهند، مهارت ها و دانش کافی دارند • مسئولیت، پاسخگویی، و اختیار برای انجام اقدامات تعیین شده است • اثربخشی فعالیت ها ارزیابی و پیگیری می شود ویژگی رویکرد: • تمرینات کامل تر یا پیشرفته تر از MIL2 هستند

تشریح دامنه ها به جزئیات:

مدیریت دارایی، تغییر و پیکربندی (ASSET):

هدف: مدیریت دارایی های IT و OT سازمان، از جمله سخت افزار و نرم افزار، و دارایی های اطلاعاتی متناسب با خطر زیرساخت های حیاتی و اهداف سازمانی. دارایی چیزی با ارزش برای یک سازمان است. برای اهداف مدل، دارایی‌هایی که باید در نظر گرفته شوند، دارایی‌های سخت‌افزار و نرم‌افزار IT و OT، و همچنین اطلاعات ضروری برای اجرای عملکرد هستند. دامنه مدیریت دارایی، تغییر و پیکربندی (ASSET) شامل پنج هدف است:
1. فهرست دارایی IT و OT را مدیریت کنید
2. مدیریت موجودی دارایی اطلاعات
3. پیکربندی دارایی را مدیریت کنید
4. تغییرات دارایی ها را مدیریت کنید
5. فعالیت های مدیریتی
موجودی دارایی هایی که برای ارائه عملکرد مهم هستند، منبع مهمی در مدیریت ریسک سایبری است. ثبت اطلاعات مهم، مانند نسخه نرم افزار، مکان فیزیکی، مالک دارایی و اولویت، بسیاری از فعالیت های مدیریت امنیت سایبری دیگر را فعال می کند. به عنوان مثال، یک موجودی دارایی قوی می تواند محل استقرار نرم افزاری را که نیاز به وصله دارد، شناسایی کند. مدیریت پیکربندی دارایی شامل تعریف یک خط پایه پیکربندی و اطمینان از پیکربندی دارایی ها بر اساس خط مبنا است. معمولاً، این روش برای اطمینان از اینکه دارایی های مشابه به همان روش پیکربندی شده اند اعمال می شود. با این حال، در مواردی که دارایی‌ها منحصربه‌فرد هستند یا باید پیکربندی‌های جداگانه داشته باشند، مدیریت پیکربندی دارایی شامل کنترل خط پایه پیکربندی دارایی هنگام استفاده از آن برای بهره‌برداری و اطمینان از اینکه دارایی مطابق با خط پایه پیکربندی می‌شود. مدیریت تغییرات در دارایی ها شامل تجزیه و تحلیل تغییرات درخواستی برای اطمینان از وارد نکردن آسیب پذیری های غیرقابل قبول به محیط عملیاتی، حصول اطمینان از اینکه همه تغییرات از فرآیند مدیریت تغییر پیروی می کنند، و شناسایی تغییراتِ غیرمجاز است. کنترل تغییر برای کل چرخه عمر دارایی، از جمله تعریف الزامات، آزمایش، استقرار و نگهداری، و بازنشستگی از بهره برداری اعمال می شود.

مدیریت تهدید و آسیب پذیری (THREAT):

هدف: ایجاد و حفظ برنامه‌ها، رویه‌ها و فناوری‌ها برای شناسایی، ارزیابی ،تجزیه و تحلیل، مدیریت و پاسخگویی به تهدیدات و آسیب‌پذیری‌های امنیت سایبری، متناسب با خطر زیرساخت‌های سازمان (مانند اهداف حیاتی، فناوری اطلاعات، و عملیاتی) و سازمان. تهدید امنیت سایبری به عنوان هر شرایط یا رویدادی با پتانسیل تأثیر نامطلوب بر عملیات سازمانی (شامل مأموریت، عملکرد، تصویر یا شهرت)، منابع یا سایر سازمان‌ها از طریق فناوری اطلاعات، یا زیرساخت‌های ارتباطی از طریق دسترسی، تخریب، افشای غیرمجاز تعریف می‌شود. ، تغییر اطلاعات یا انکار خدمات. تهدیدات برای اطلاعات، فناوری اطلاعات، OT، و دارایی های زیرساخت ارتباطی متفاوت است و ممکن است شامل عوامل مخرب، بدافزارها (مانند ویروس ها و کرم ها) و حملات انکار سرویس توزیع شده (DDoS) باشد. آسیب‌پذیری امنیت سایبری یک ضعف یا نقص در IT، OT، سیستم‌ها یا دستگاه‌های ارتباطی، رویه‌ها یا کنترل‌های داخلی است که می‌تواند توسط یک تهدید مورد سوء استفاده قرار گیرد. دامنه مدیریت تهدید و آسیب پذیری (THREAT) شامل سه هدف است:
1. آسیب پذیری های امنیت سایبری را کاهش دهید
2. به تهدیدات پاسخ دهید و اطلاعات تهدید را به اشتراک بگذارید
3. فعالیت های مدیریتی.
شناسایی و پاسخ تهدید با جمع‌آوری اطلاعات مفید تهدید از منابع معتبر، تفسیر آن اطلاعات در چارچوب سازمان و عملکرد و پاسخ به تهدیدهایی که ابزار، انگیزه و فرصتی برای تأثیرگذاری بر ارائه خدمات دارند، آغاز می‌شود. یک نمایه تهدید شامل توصیف قصد، قابلیت و هدف احتمالی تهدیدات برای عملکرد است. نمایه تهدید را می توان برای هدایت شناسایی تهدیدهای خاص، فرآیند تجزیه و تحلیل ریسک شرح داده شده در حوزه مدیریت ریسک و ایجاد وضعیت عملیاتی و سایبری توصیف شده در حوزه آگاهی موقعیت استفاده کرد. کاهش آسیب‌پذیری‌های امنیت سایبری با جمع‌آوری و تجزیه و تحلیل اطلاعات آسیب‌پذیری آغاز می‌شود. کشف آسیب‌پذیری ممکن است با استفاده از ابزارهای اسکن خودکار، آزمایش‌های نفوذ شبکه، تمرین‌های امنیت سایبری و ممیزی‌ها انجام شود. تجزیه و تحلیل آسیب پذیری باید تأثیر محلی آسیب پذیری (اثر بالقوه آسیب پذیری بر دارایی در معرض دید) و همچنین اهمیت دارایی برای ارائه عملکرد را در نظر بگیرد. آسیب پذیری ممکن است باشد.
با اجرای کنترل‌های کاهش‌دهنده، نظارت بر وضعیت تهدید، اعمال وصله‌های امنیت سایبری، جایگزینی تجهیزات منسوخ یا انجام سایر فعالیت‌ها رفع می‌شود.

مدیریت ریسک (RISK):

هدف: ایجاد، راه اندازی و نگهداری یک برنامه مدیریت ریسک سایبری سازمانی برای شناسایی، تجزیه و تحلیل و پاسخ به ریسک سایبری که سازمان در معرض آن است، از جمله واحدهای تجاری، شرکت های تابعه، زیرساخت های مرتبط به هم و سهامداران. ریسک سایبری به عنوان احتمال آسیب یا ضرر ناشی از دسترسی، استفاده، افشای غیرمجاز، اختلال، اصلاح یا تخریب دارایی های IT، OT یا اطلاعات تعریف می شود. ریسک سایبری یکی از اجزای محیط ریسک کلی است و به استراتژی و برنامه مدیریت ریسک سازمانی وارد می شود. ریسک سایبری را نمی توان به طور کامل حذف کرد، اما می توان آن را از طریق فرآیندهای تصمیم گیری آگاهانه مدیریت کرد. دامنه مدیریت ریسک (RISK) شامل پنج هدف است:
1. راهبرد و برنامه مدیریت ریسک سایبری را ایجاد و حفظ کنید
2. شناسایی ریسک سایبری
3. ریسک سایبری را تجزیه و تحلیل کنید
4. به ریسک سایبری پاسخ دهید
5. فعالیت های مدیریتی
مدیریت ریسک سایبری شامل چارچوب بندی، شناسایی و ارزیابی، پاسخ به (پذیرش، اجتناب، کاهش، انتقال) و نظارت بر ریسک ها به گونه ای است که با نیازهای سازمان همسو باشد. کلید انجام این فعالیت ها درک مشترک از استراتژی مدیریت ریسک سایبری است. استراتژی مدیریت ریسک سایبری جهت تجزیه و تحلیل و اولویت بندی ریسک سایبری را ارائه می دهد و تحمل ریسک را تعریف می کند. استراتژی مدیریت ریسک سایبری ممکن است شامل یک روش تجزیه و تحلیل ریسک، استراتژی نظارت بر ریسک، و شرح نحوه اداره برنامه ریسک سایبری باشد. استراتژی مدیریت ریسک سایبری باید با استراتژی مدیریت ریسک سازمانی هماهنگ باشد تا اطمینان حاصل شود که ریسک سایبری به گونه ای مدیریت می شود که با ماموریت و اهداف تجاری سازمان سازگار باشد.
ریسک‌ها به‌گونه‌ای شناسایی، دسته‌بندی و اولویت‌بندی می‌شوند که به سازمان کمک می‌کند تا به طور مداوم به ریسک‌ها واکنش نشان دهد و آن‌ها را رصد کند. ثبت ریسک - لیستی از ریسک های شناسایی شده و ویژگی های مرتبط - نیز این فرآیند را تسهیل می کند. ادغام ریسک ها در دسته بندی ها، سازمان را قادر می سازد تا یک ثبت ریسک ایجاد کند که منعکس کننده محیط ریسک فعلی است و می تواند به طور موثر با منابع موجود مدیریت شود.
دامنه های دیگر در مدل (آگاهی موقعیتی، واکنش رویداد و حادثه، تداوم عملیات، و معماری امنیت سایبری) به شیوه‌های ریسک اشاره دارد و نشان می‌دهد که چگونه اقدامات موجود در مدل هنگام اتصال از طریق یک برنامه مدیریت ریسک سایبری تقویت می‌شوند. و اطلاعات تولید شده از طریق فعالیت‌ها در حوزه‌های مدیریت تهدید و آسیب‌پذیری و مدیریت ریسک شخص ثالث برای به‌روزرسانی خطرات سایبری و شناسایی خطرات جدید استفاده می‌شود.

مدیریت هویت و دسترسی (ACCESS):

هدف: ایجاد و مدیریت هویت برای اشخاصی که ممکن است دسترسی منطقی یا فیزیکی به دارایی های سازمان داشته باشند. کنترل دسترسی به دارایی های سازمان، متناسب با ریسک زیرساخت های حیاتی و اهداف سازمانی. برای اهداف این دامنه، کنترل دسترسی برای دسترسی منطقی به دارایی‌های مورد استفاده در ارائه عملکرد، دسترسی فیزیکی به دارایی‌های مرتبط با عملکرد، و سیستم‌های کنترل دسترسی خودکار (منطقی یا فیزیکی) مربوط به عملکرد اعمال می‌شود. شیوه‌های مدیریت دسترسی نامناسب می‌تواند منجر به استفاده غیرمجاز، افشا، تخریب یا اصلاح و همچنین قرار گرفتن غیرضروری در معرض خطرات سایبری شود. دامنه مدیریت هویت و دسترسی (ACCESS) شامل چهار هدف است:
1. ایجاد و حفظ هویت
2. دسترسی منطقی را کنترل کنید
3. دسترسی فیزیکی را کنترل کنید
4. فعالیت های مدیریتی
ایجاد و حفظ هویت ها با تهیه و حذف (حذف هویت های موجود در زمانی که دیگر نیازی به آنها نیست) هویت ها برای موجودیت ها آغاز می شود. نهادها ممکن است شامل افراد (داخلی یا خارجی سازمان) و همچنین دستگاه‌ها، سیستم‌ها یا فرآیندهایی باشند که نیاز به دسترسی به دارایی‌ها دارند. در برخی موارد، سازمان ها ممکن است نیاز به استفاده از هویت های مشترک داشته باشند. مدیریت هویت های مشترک ممکن است به اقدامات جبرانی برای اطمینان از سطح مناسب امنیت نیاز داشته باشد. حفظ هویت ها شامل قابلیت ردیابی (اطمینان از معتبر بودن همه هویت های شناخته شده) و همچنین محرومیت است.
کنترل دسترسی منطقی و فیزیکی شامل تعیین الزامات دسترسی، اعطای دسترسی به دارایی ها بر اساس آن الزامات، و لغو دسترسی در زمانی که دیگر مورد نیاز نیست. الزامات دسترسی منطقی و فیزیکی با هر دارایی یا دارایی در یک منطقه معین مرتبط است و راهنمایی برای انواع نهادها یا افراد مجاز به دسترسی به دارایی، محدودیت‌های دسترسی مجاز و برای دسترسی منطقی، پارامترهای احراز هویت ارائه می‌کند. به عنوان مثال، الزامات دسترسی منطقی برای یک دارایی خاص ممکن است دسترسی از راه دور توسط فروشنده را تنها در بازه های زمانی مشخص و برنامه ریزی شده تعمیر و نگهداری مجاز کند و همچنین ممکن است برای چنین دسترسی نیاز به احراز هویت چند عاملی داشته باشد. در سطوح بالاتر شاخص بلوغ، بررسی دقیق‌تری روی آن اعمال می‌شود‌.
دسترسی داده شده دسترسی منطقی و فیزیکی تنها پس از در نظر گرفتن خطر برای عملکرد اعطا می شود و بررسی های منظم دسترسی انجام می شود.

آگاهی از موقعیت (SITUATION):

هدف: ایجاد و حفظ فعالیت‌ها و فناوری‌ها برای جمع‌آوری، نظارت، تجزیه و تحلیل، هشدار، گزارش، و استفاده از اطلاعات عملیاتی، امنیتی و تهدید، از جمله اطلاعات وضعیت و خلاصه از سایر حوزه‌های مدل، برای ایجاد آگاهی موقعیتی برای هر دو حالت عملیاتی سازمان. و وضعیت امنیت سایبری آگاهی موقعیتی شامل توسعه دانش در زمان واقعی از یک محیط عملیاتی پویا است. تا حدی، این امر از طریق ثبت و نظارت بر فناوری اطلاعات، و دارایی‌های زیرساخت ارتباطی ضروری برای ارائه عملکرد انجام می‌شود. حفظ دانش مربوط به رویدادهای جاری امنیت سایبری در خارج از شرکت نیز به همان اندازه مهم است. هنگامی که یک سازمان آگاهی موقعیتی را توسعه داد، می تواند حالت های از پیش تعریف شده عملیات را با تغییرات در محیط عملیاتی هماهنگ کند. توانایی جابجایی از یک حالت از پیش تعریف شده به حالت دیگر می‌تواند پاسخ سریع‌تر و مؤثرتر به رویدادهای امنیت سایبری یا تغییرات در محیط تهدید را امکان‌پذیر کند. دامنه آگاهی موقعیتی (SITUATION) شامل چهار هدف است:
1. Logging را انجام دهید
2. نظارت را انجام دهید
3. ایجاد و حفظ آگاهی موقعیت
4. فعالیت های مدیریتی
ثبت گزارش باید بر اساس تأثیر بالقوه دارایی بر عملکرد فعال شود. به عنوان مثال، هرچه تأثیر بالقوه یک دارایی در معرض خطر بیشتر باشد، سازمان ممکن است داده های بیشتری را در مورد دارایی جمع آوری کند. نظارت و تجزیه و تحلیل داده‌های جمع‌آوری‌شده در گزارش‌ها و از طریق روش‌های دیگر، سازمان را قادر می‌سازد تا وضعیت عملیاتی و امنیت سایبری عملکرد را درک کند. برقراری ارتباط موثر وضعیت عملیاتی، امنیتی و تهدید به تصمیم گیرندگان مربوطه، جوهره آگاهی موقعیتی است (گاهی اوقات به عنوان تصویر عملیاتی رایج از آن یاد می شود). در حالی که بسیاری از پیاده‌سازی‌های آگاهی موقعیت ممکن است شامل ابزارهای تجسم مانند داشبورد، نقشه‌ها و سایر نمایش‌های گرافیکی باشند، لزوماً برای رسیدن به هدف مورد نیاز نیستند.

رویداد و رویداد واکنش، تداوم عملیات (RESPONSE):

هدف: ایجاد و حفظ برنامه‌ها، رویه‌ها و فناوری‌ها برای شناسایی، تجزیه و تحلیل، کاهش، پاسخ به و بازیابی رویدادها و حوادث امنیت سایبری و حفظ عملیات در طول حوادث امنیت سایبری، متناسب با خطر زیرساخت‌های حیاتی و اهداف سازمانی. رویداد امنیت سایبری در یک سیستم یا شبکه به هر رویداد قابل مشاهده ای گفته می شود که به یک نیاز امنیت سایبری (محرمانه بودن، یکپارچگی یا در دسترس بودن دارایی ها) مرتبط باشد. یک رویداد امنیت سایبری یک رویداد یا مجموعه ای از رویدادها است که به طور قابل توجهی بر زیرساخت های حیاتی یا دارایی ها و خدمات سازمانی تأثیر می گذارد یا می تواند به طور قابل توجهی تأثیر بگذارد و سازمان (و احتمالاً سایر ذینفعان) را ملزم می کند که به نحوی برای جلوگیری یا محدود کردن تأثیرات نامطلوب واکنش نشان دهند. دامنه واکنش رویداد و حادثه، تداوم عملیات شامل پنج هدف است:
1. رویدادهای امنیت سایبری را شناسایی کنید
2. رویدادهای امنیت سایبری را تجزیه و تحلیل کنید و حوادث را اعلام کنید
3. به رویدادها و حوادث امنیت سایبری پاسخ دهید
4. به امنیت سایبری در تداوم عملیات رسیدگی کنید
5. فعالیت های مدیریتی
شناسایی رویدادهای امنیت سایبری شامل تعیین یک انجمن برای گزارش رویدادها و ایجاد معیارهایی برای اولویت بندی رویدادها است. این معیارها باید با استراتژی مدیریت ریسک سایبری که در حوزه مدیریت ریسک مورد بحث قرار گرفته است، همسو باشد، از ارزیابی مداوم رویدادها اطمینان حاصل کند، و ابزاری برای تعیین اینکه چه چیزی یک رویداد امنیت سایبری است، زمانی که رویدادهای امنیت سایبری قرار است تشدید شوند، و شرایطی که اعلامیه را تضمین می‌کند، فراهم کند. از حوادث امنیت سایبری رویدادهای امنیت سایبری ممکن است از طرف اشخاص ثالث منشا گرفته یا بر آنها تأثیر بگذارد که نیاز به هماهنگی در برنامه‌ریزی، اجرا و ارتباطات است. تشدید رویدادهای امنیت سایبری شامل اعمال معیارهای مورد بحث در هدف Detect Cybersecurity Events برای تعیین زمان تشدید یک رویداد و زمان اعلام یک حادثه است. هم رویدادهای امنیت سایبری و هم حوادث امنیت سایبری باید بر اساس یک طرح واکنش مدیریت شوند. رویدادهای امنیت سایبری و حوادث اعلام شده ممکن است باعث تعهدات خارجی شود، از جمله گزارش دادن به نهادهای نظارتی یا اطلاع رسانی به مشتریان. مرتبط کردن چندین رویداد و حوادث امنیت سایبری و سایر سوابق ممکن است مشکلات سیستمی را در محیط کشف کند.
پاسخگویی به حوادث امنیت سایبری مستلزم آن است که سازمان فرآیندی برای محدود کردن تأثیر حوادث امنیت سایبری به واحدهای عملکردی و سازمانی خود داشته باشد. این فرآیند باید نحوه مدیریت تمام مراحل چرخه حیات حادثه، مانند تریاژ، مدیریت، ارتباط، هماهنگی و بسته شدن توسط سازمان را شرح دهد. انجام بررسی‌های آموخته‌شده به‌عنوان بخشی از رویداد امنیت سایبری و واکنش رویداد و تداوم عملیات به سازمان کمک می‌کند تا آسیب‌پذیری مورد سوء استفاده را که منجر به حادثه شده است را از بین ببرد. برنامه ریزی برای تداوم شامل فعالیت های لازم برای حفظ عملکرد در صورت وقفه، مانند یک حادثه شدید امنیت سایبری یا یک فاجعه است. حصول اطمینان از اینکه طرح‌های تداوم به حوادث احتمالی امنیت سایبری رسیدگی می‌کنند، مستلزم در نظر گرفتن تهدیدات سایبری شناخته شده و دسته‌بندی‌های شناسایی شده از خطرات سایبری است. آزمایش طرح تداوم باید شامل سناریوهای حوادث امنیت سایبری باشد تا اطمینان حاصل شود که برنامه ها در طول چنین حوادثی همانطور که در نظر گرفته شده عمل می کنند.

مدیریت ریسک شخص ثالث (THIRD-PARTIES):

هدف: ایجاد و حفظ کنترل‌ها برای مدیریت ریسک‌های سایبری ناشی از تامین‌کنندگان و سایر اشخاص ثالث، متناسب با خطر زیرساخت‌های حیاتی و اهداف سازمانی. با افزایش وابستگی های متقابل بین زیرساخت ها، شرکای عملیاتی، تامین کنندگان و ارائه دهندگان خدمات، ایجاد و حفظ درک جامع از روابط کلیدی و مدیریت ریسک های سایبری مرتبط با آنها برای ارائه ایمن، قابل اعتماد و انعطاف پذیر این عملکرد ضروری است. این مدل وابستگی های شخص ثالث را به عنوان طرف های خارجی طبقه بندی می کند که تحویل عملکرد به آنها بستگی دارد، از جمله شرکای عملیاتی. این روابط ممکن است از نظر اهمیت متفاوت باشند، زیرا عملکرد ممکن است وابستگی بیشتری به اشخاص ثالث خاص داشته باشد، به ویژه اگر شخص ثالثی به یک دارایی دسترسی داشته باشد، کنترل یا نگهداری کند. اشخاص ثالث شامل نهادهایی مانند تامین کنندگان، فروشندگان، ارائه دهندگان خدمات، وابستگی های زیرساختی (به عنوان مثال، مخابرات، آب) و سازمان های دولتی (به عنوان مثال، خدمات واکنش اضطراری، شرکای فدرال) هستند. ریسک زنجیره تامین نمونه قابل توجهی از وابستگی تامین کننده است. ویژگی های امنیت سایبری محصولات و خدمات به طور گسترده ای متفاوت است. بدون مدیریت ریسک مناسب، آنها تهدیدهای جدی از جمله نرم افزار با منشأ ناشناخته و سخت افزار تقلبی (احتمالاً مخرب) ایجاد می کنند. درخواست‌های سازمان‌ها برای پیشنهاد اغلب به تامین‌کنندگان سیستم‌ها، دستگاه‌ها و خدمات با فناوری پیشرفته فقط مشخصات تقریبی را می‌دهد که ممکن است فاقد الزامات کافی برای امنیت و تضمین کیفیت باشد. سازمان‌های مستقلی که اغلب به واحدهای تجاری فردی خود می‌دهند، خطر را بیشتر افزایش می‌دهد، مگر اینکه فعالیت‌های تدارکاتی توسط برنامه یا سیاستی محدود شود که الزامات امنیت سایبری را شامل شود.

دامنه مدیریت ریسک شخص ثالث (THIRD-PARTIES):

شامل سه هدف است:
1. اشخاص ثالث را شناسایی و اولویت بندی کنید
2. ریسک شخص ثالث را مدیریت کنید
3. فعالیت های مدیریتی
شناسایی اشخاص ثالث مستلزم ایجاد و حفظ درک جامع از روابط خارجی کلیدی مورد نیاز برای ارائه عملکرد است. پس از شناسایی، اشخاص ثالث باید اولویت بندی شوند تا مشخص شود که کدام وابستگی های شخص ثالث برای ارائه عملکرد بسیار مهم هستند. معیارهای اولویت بندی باید ریسک عملکردی را که توسط روابط شخص ثالث معرفی می شود در نظر بگیرند. مدیریت ریسک شخص ثالث شامل رویکردهایی مانند آزمایش مستقل، بررسی کد، اسکن برای آسیب‌پذیری‌ها، و بررسی شواهد قابل اثبات از سوی فروشنده مبنی بر پیروی از فرآیند توسعه نرم‌افزار ایمن است. قراردادهایی که سازمان را به رابطه با یک شریک یا فروشنده برای محصولات یا خدمات ملزم می کند، باید برای کاهش خطر سایبری مورد بازبینی و تأیید قرار گیرد، مانند زبان قرارداد که مسئولیت فروشنده را برای رعایت یا تجاوز به استانداردها یا دستورالعمل های امنیت سایبری مشخص می کند. توافق‌نامه‌های سطح خدمات می‌توانند فرآیندهای نظارت و ممیزی را برای تأیید اینکه فروشندگان و ارائه‌دهندگان خدمات با امنیت سایبری و سایر معیارهای عملکرد مطابقت دارند، مشخص کنند.

مدیریت نیروی کار (WORKFORCE):

هدف: ایجاد و حفظ برنامه‌ها، رویه‌ها، فناوری‌ها و کنترل‌ها برای ایجاد فرهنگ امنیت سایبری و اطمینان از شایستگی مستمر پرسنل، متناسب با خطر زیرساخت‌های حیاتی و اهداف سازمانی. از آنجایی که سازمان‌ها به طور فزاینده‌ای از فناوری دیجیتال پیشرفته استفاده می‌کنند، ارتقاء مجموعه مهارت‌های نیروی کار موجود و استخدام پرسنل با سطح مناسب تجربه، آموزش فنی و آموزش امنیت سایبری یک چالش است. اتکای سازمان‌ها به فناوری پیشرفته برای ارتباطات دیجیتال و کنترل همچنان در حال رشد است و مسائل مربوط به نیروی کار جنبه‌ای حیاتی برای رسیدگی موفق به امنیت سایبری و مدیریت ریسک برای این سیستم‌ها است. قراردادهای چانه زنی دسته جمعی ممکن است برخی از جنبه های رویه ها در این حوزه را به صورت مکتوب به چالش بکشد، بنابراین سازمان ها ممکن است نیاز به اجرای شیوه های جایگزینی داشته باشند که با هدف شیوه های مدل مطابقت داشته باشد و با آن توافق نامه ها هماهنگ باشد. حوزه مدیریت نیروی کار (WORKFORCE) شامل پنج هدف است:
1. مسئولیت های امنیت سایبری را تعیین کنید
2. نیروی کار امنیت سایبری را توسعه دهید
3. کنترل نیروی کار را اجرا کنید
4. افزایش آگاهی از امنیت سایبری
5. فعالیت های مدیریتی
یکی از جنبه‌های مهم واگذاری مسئولیت‌های امنیت سایبری، اطمینان از کفایت و افزونگی پوشش است. برای مثال، تعیین نقش‌های نیروی کار خاص با مسئولیت‌های امنیت سایبری قابل توجه اغلب آسان است، اما حفظ آنها می‌تواند چالش برانگیز باشد. توسعه برنامه‌هایی برای نقش‌های کلیدی نیروی کار امنیت سایبری مانند مدیران سیستم برای ارائه آموزش، آزمایش، افزونگی و ارزیابی عملکرد مناسب، حیاتی است. مسئولیت های امنیت سایبری به نقش های سنتی فناوری اطلاعات محدود نمی شود. برای مثال، مهندسان، اپراتورهای اتاق کنترل و تکنسین‌های میدانی ممکن است مسئولیت‌های امنیت سایبری داشته باشند. توسعه نیروی کار امنیت سایبری شامل آموزش و جذب نیرو برای رفع شکاف های مهارتی شناسایی شده است. به عنوان مثال، شیوه های استخدام باید اطمینان حاصل کند که استخدام کنندگان و مصاحبه کنندگان از نیازهای نیروی کار امنیت سایبری آگاه هستند. همچنین پرسنل (و پیمانکاران) باید دریافت کنند.
آموزش دوره ای آگاهی از امنیت برای کاهش آسیب پذیری آنها در برابر مهندسی اجتماعی و سایر تهدیدها. اثربخشی فعالیت‌های آموزشی و آگاهی‌بخشی باید مورد ارزیابی قرار گیرد و در صورت نیاز، بهبودهایی صورت گیرد. اجرای کنترل های نیروی کار شامل بررسی پرسنل، مانند بررسی پیشینه، با بررسی اضافی انجام شده برای موقعیت هایی است که به دارایی های مورد نیاز برای ارائه خدمات ضروری دسترسی دارند. به عنوان مثال، مدیران سیستم معمولاً توانایی تغییر تنظیمات پیکربندی، تغییر یا حذف فایل‌های گزارش، ایجاد حساب‌های جدید و تغییر رمز عبور در سیستم‌های حیاتی را دارند و اقدامات خاصی برای محافظت از این سیستم‌ها در برابر رفتارهای تصادفی یا مخرب توسط این دسته از سیستم‌ها انجام می‌شود. پرسنل افزایش آگاهی از امنیت سایبری نیروی کار به اندازه رویکردهای فناورانه برای بهبود امنیت سایبری سازمان اهمیت دارد. تهدید حمله سایبری به یک سازمان اغلب با به دست آوردن جای پایی در سیستم های IT یا OT یک شرکت شروع می شود، به عنوان مثال، با جلب اعتماد یک کارمند یا پیمانکار بی احتیاط که سپس رسانه ها یا دستگاه ها را به شبکه های سازمان معرفی می کند. سازمان باید اطلاعاتی را با نیروی کار خود در مورد روش‌ها و تکنیک‌های شناسایی رفتار مشکوک، اجتناب از هرزنامه و فیشینگ نیزه‌ای و شناسایی حملات مهندسی اجتماعی به اشتراک بگذارد تا از ارائه اطلاعات درباره سازمان به دشمنان احتمالی اجتناب کند. به عنوان مثال، یک وب سایت داخلی می تواند اطلاعاتی در مورد تهدیدات و آسیب پذیری های جدید در صنعت ارائه دهد. اگر هیچ اطلاعاتی در مورد تهدیدها، آسیب‌پذیری‌ها و بهترین شیوه‌ها با نیروی کار به اشتراک گذاشته نشود، ممکن است پرسنل در مورد فرآیندها و رویه‌های امنیتی سهل‌انگیز شوند.

معماری امنیت سایبری (ARCHITECTURE):

هدف: ایجاد و حفظ ساختار و رفتار معماری امنیت سایبری سازمان، شامل کنترل‌ها، فرآیندها، فناوری‌ها و سایر عناصر، متناسب با ریسک زیرساخت‌های حیاتی و اهداف سازمانی. ایجاد یک معماری امنیت سایبری شامل شناسایی الزامات امنیت سایبری برای دارایی های سازمان و طراحی کنترل های مناسب برای محافظت از آنها است. معماری امنیت سایبری به عنوان مرجعی برای راهنمایی نحوه اجرای امنیت سایبری برای دستیابی به اهداف استراتژی برنامه امنیت سایبری عمل می کند. دامنه معماری امنیت سایبری (ARCHITECTURE) شامل شش هدف است:
1. ایجاد و حفظ استراتژی و برنامه معماری امنیت سایبری
2. حفاظت شبکه را به عنوان عنصری از معماری امنیت سایبری اجرا کنید
3. امنیت دارایی IT و OT را به عنوان عنصری از معماری امنیت سایبری پیاده سازی کنید
4. پیاده سازی امنیت نرم افزار به عنوان عنصری از معماری امنیت سایبری
5. امنیت داده ها را به عنوان عنصری از معماری امنیت سایبری پیاده سازی کنید
6. فعالیت های مدیریتی
معماری امنیت سایبری به سازمان کمک می کند تا برای چگونگی مهندسی امنیت به گونه ای برنامه ریزی کند که از راه حل های نقطه ای برای دارایی های فردی مانند مدیریت هویت یا کنترل دسترسی فراتر رود. این امکان استدلال در مورد امنیت برنامه‌ها و داده‌های حیاتی را از نظر کنترل‌های معماری شناخته‌شده برای مثال، شناسایی، مقاومت، واکنش در برابر حملات و بازیابی پس از حملات فراهم می‌کند. چنین تاکتیک‌هایی شامل تقسیم‌بندی، انتخاب راه‌حل‌های میزبانی، کنترل‌های رمزنگاری، و مسیرهای حسابرسی است و می‌توان آنها را با کنترل‌های در دسترس بودن مانند نظارت، بازگشت، و افزونگی همراه کرد. برای موثر بودن، معماری امنیت سایبری باید به اندازه کافی مستند باشد تا بتوان آن را به ذینفعان اطلاع داد.
همچنین باید به گونه‌ای اداره شود که وقتی تغییرات در سازمان، سیستم‌های فناوری اطلاعات یا سیستم‌های OT در نظر گرفته می‌شود، مسئولین معماری امنیت سایبری در فرآیندهای برنامه‌ریزی و تصمیم‌گیری گنجانده شوند. به این ترتیب، تغییرات در سازمان را می توان برای رفع نگرانی های امنیتی و همسویی با تحمل ریسک سایبری سازمان بررسی کرد.

مدیریت برنامه امنیت سایبری (PROGRAM):

هدف: ایجاد و حفظ یک برنامه امنیت سایبری سازمانی که حاکمیت، برنامه‌ریزی استراتژیک و حمایت مالی را برای فعالیت‌های امنیت سایبری سازمان فراهم می‌کند به نحوی که اهداف امنیت سایبری را هم با اهداف استراتژیک سازمان و هم با ریسک زیرساخت‌های حیاتی همسو می‌کند. برنامه امنیت سایبری گروهی یکپارچه از فعالیت‌ها است که برای دستیابی به اهداف امنیت سایبری برای سازمان یا عملکرد طراحی و مدیریت می‌شود. یک برنامه امنیت سایبری ممکن است در سطح سازمان یا عملکرد اجرا شود، اما اجرای سطح بالاتر و دیدگاه سازمانی ممکن است با یکپارچه‌سازی فعالیت‌ها و اهرم سرمایه‌گذاری منابع در کل سازمان به نفع سازمان باشد. دامنه مدیریت برنامه امنیت سایبری (PROGRAM) شامل سه هدف است:
1. ایجاد استراتژی برنامه امنیت سایبری
2. حامی برنامه امنیت سایبری
3. فعالیت های مدیریتی
استراتژی برنامه امنیت سایبری به عنوان پایه و اساس برنامه ایجاد شده است. در ساده ترین شکل، استراتژی برنامه باید شامل فهرستی از اهداف امنیت سایبری و برنامه ای برای دستیابی به آنها باشد. در سطوح بالاتر بلوغ، استراتژی برنامه کاملتر خواهد بود و شامل اولویتها، رویکرد حاکمیتی، ساختار و سازماندهی برنامه و مشارکت بیشتر مدیریت ارشد در طراحی برنامه خواهد بود. حمایت مالی برای اجرای برنامه مطابق با استراتژی مهم است. شکل اساسی حمایت مالی، تامین منابع (افراد، ابزارها و منابع مالی) است. اشکال پیشرفته تر حمایت شامل مشارکت قابل مشاهده توسط رهبران ارشد و تعیین مسئولیت و اختیار برای برنامه است. علاوه بر این، حمایت مالی شامل حمایت سازمانی برای ایجاد و اجرای سیاست ها یا سایر دستورالعمل های سازمانی برای هدایت برنامه است.

مدل ad hoc:

در چارچوب این مدل، ad hoc (یعنی برای یک هدف خاص بدون خط مشی یا برنامه ای برای تکرار شکل گرفته یا استفاده می شود) به انجام یک تمرین به شیوه ای اشاره دارد که تا حد زیادی به ابتکار و تجربه یک فرد یا تیم بستگی دارد. و رهبری تیم)، بدون راهنمایی سازمانی، مانند یک برنامه تجویز شده (شفاهی یا کتبی)، خط مشی، یا آموزش. کیفیت نتیجه ممکن است بسته به اینکه چه کسی تمرین را انجام می دهد، به طور قابل توجهی متفاوت باشد. زمانی که انجام می شود؛ زمینه مشکل مورد بررسی؛ روش ها، ابزارها و تکنیک های مورد استفاده؛ و اولویت با توجه به یک نمونه خاص از عمل. با پرسنل مجرب و با استعداد، نتایج با کیفیت بالا ممکن است به دست آید، حتی اگر تمرین ها به صورت موقتی باشند. با این حال، از آنجا که، در یک عمل موقت، درس‌های آموخته شده معمولاً در سطح سازمانی جمع‌آوری نمی‌شوند، تکرار یا بهبود رویکردها و نتایج در سراسر سازمان دشوار است. توجه به این نکته حائز اهمیت است که در حالی که سیاست‌ها یا رویه‌های مستند برای اجرای یک رویه به‌صورت موقتی ضروری نیستند، عملکرد مؤثر بسیاری از رویه‌ها منجر به مصنوعات مستندی مانند فهرست دارایی‌های مستند یا استراتژی برنامه امنیت سایبری مستند می‌شود.


منبع: وزارت انرژی ایالات متحده آمریکا
ترجمه: گوگل
گردآوری و تنظیم متن: میر علی شهیدی
ورود به صفحه انگلیسی