چگونه یک چارچوب مدیریت ریسک امنیت اطلاعات موثر ایجاد کنیم

اگر شما مسئول مدیریت ریسک امنیت اطلاعات شرکت هستید ، هر دوی ما می دانیم که کار شما سخت است. کسب‌وکارها به تولید حجم زیادی از داده‌ها ادامه می‌دهند، سیستم‌های فناوری اطلاعات به طور فزاینده‌ای پیچیده‌تر می‌شوند و تهدیدات سایبری همچنان در حال تکامل هستند. چیزی که باید با آن دست و پنجه نرم کنید ممکن است گاهی اوقات به نظر تعداد بی پایانی از چالش ها باشد و بودجه و منابع شما برای مقابله با همه آنها بسیار محدود به نظر می رسد. در میان چیزهای دیگر، به عنوان یک رهبر امنیت اطلاعات، از شما انتظار می رود:

یک رویکرد سیستماتیک به امنیت فناوری اطلاعات داشته باشید. تعیین کنید که کدام ریسک ها بیشترین تأثیر را بر سازمان شما دارند و از دارایی هایی که بیشترین اهمیت را دارند محافظت کنید. به طور فعال خطرات را کاهش دهید و آسیب های ناشی از حملات سایبری و نقض داده ها را به حداقل برسانید . اطمینان حاصل کنید که سازمان شما می تواند سریعتر و آسانتر از حوادث امنیتی بازیابی کند. توجیه سرمایه گذاری در امنیت فناوری اطلاعات به هیئت مدیره.

داشتن یک استراتژی جامع مدیریت ریسک امنیت اطلاعات (ISRM) به شما در غلبه بر این چالش ها کمک می کند. در این پست، نکاتی را در مورد چگونگی ایجاد یک استراتژی موثر ISRM و اینکه یک برنامه خوب به نظر می رسد به اشتراک خواهم گذاشت. برای راحتی شما، من همچنین یک پرسش متداول را در پایان ارائه می کنم.

مدیریت ریسک امنیت اطلاعات چیست؟ مدیریت ریسک امنیت اطلاعات فرآیند مدیریت ریسک های مرتبط با استفاده از فناوری اطلاعات است. به عبارت دیگر، سازمان ها خطرات مربوط به  محرمانه بودن، یکپارچگی و در دسترس بودن  دارایی های اطلاعاتی خود را شناسایی و ارزیابی می کنند. این فرآیند را می توان به طور کلی به دو بخش تقسیم کرد:

ارزیابی ریسک Risk assessment- فرآیند جمع‌آوری و تجزیه و تحلیل اطلاعات در مورد دارایی‌ها و کنترل‌های شما، و ترکیب آن داده‌ها با ارزیابی احتمال وقوع رویدادهایی که می‌تواند تهدیدی برای محیط فناوری اطلاعات و تأثیر بالقوه آنها باشد، به منظور تعریف و اولویت‌بندی ریسک‌های شما. درمان ریسک  Risk treatment- اقدامات (در صورت وجود) برای اصلاح، کاهش، اجتناب، پذیرش، انتقال یا مدیریت ریسک‌ها را شامل می‌شود. درمان ریسک در واقع بر اساس نتایج ارزیابی ریسک، به منظور کاهش یا از بین بردن ریسک‌ها و ضمانت امنیت دارایی‌ها، انجام می‌شود. این فرآیند از چهار مرحله اصلی تشکیل شده است که عبارتند از: (۱) شناسایی ریسک، (۲) ارزیابی و تجزیه و تحلیل ریسک، (۳) تعیین استراتژی درمان ریسک، و (۴) پیاده‌سازی و پایش برنامه درمان ریسک.

اصلاح (Mitigation): این روش به منظور کاهش میزان خطر احتمالی انجام می‌شود. برای این کار، باید مواردی که باعث بروز ریسک می‌شوند را شناسایی کرده و تلاش کرد که با رفع یا کاهش آن‌ها، ریسک را کاهش دهیم.

کاهش (Reduction): این روش به منظور کاهش اثرات مخرب ریسک‌ها استفاده می‌شود. برای این کار، باید مواردی که می‌توانند به خطرات ایجاد شده توسط ریسک‌ها کمک کنند را شناسایی کرد و برای آن‌ها اقدام کرد تا اثرات مخرب کاهش یابند.

اجتناب (Avoidance): این روش به منظور جلوگیری از بروز ریسک‌های جدید استفاده می‌شود. برای این کار، باید مواردی که ممکن است باعث بروز ریسک شوند را شناسایی کرده و از آن‌ها اجتناب کرد.

پذیرش (Acceptance): این روش به منظور پذیرش ریسک و انجام فعالیت‌ها به منظور کاهش میزان خطرات استفاده می‌شود. در این روش، برخی از ریسک‌ها ممکن است قابل قبول باشند و برای آن‌ها اقداماتی به منظور مدیریت آن‌ها انجام می‌شود.

انتقال (Transfer): این روش به منظور انتقال ریسک به شخص یا سازمان دیگر استفاده می‌شود. در این روش، شخص یا سازمان دیگری مسئولیت مدیریت ریسک‌ها را بر عهده می‌گیرد و برای این کار، باید قراردادهایی با شخص یا سازمان دیگر برای انتقال ریسک بسته شود.

مدیریت (Management): این روش به منظور مدیریت ریسک‌ها استفاده می‌شود. در این روش، باید به شناسایی، تحلیل و مدیریت ریسک‌ها توجه شود. این روش شامل استفاده از ابزارها، فرایندها، سیاست‌ها و فناوری‌هایی است که به منظور پیشگیری از بروز ریسک‌ها، کاهش اثرات مخرب آن‌ها و مدیریت ایمنی سیستم‌های اطلاعاتی استفاده می‌شود.

اصلاح (Mitigation): در این روش، به منظور کاهش احتمال بروز ریسک یا کاهش تأثیرات آن‌ها، از روش‌های مختلفی استفاده می‌شود. برای مثال، می‌توان از روش‌های تحلیلی، فنی و مدیریتی استفاده کرد تا برای جلوگیری از بروز ریسک، تأثیرات آن را کاهش داد یا از ریسک‌ها جلوگیری کرد. در این روش، تأکید بر جلوگیری از بروز ریسک‌ها و تأثیرات آن‌ها است.

کاهش (Reduction): در این روش، با استفاده از تغییراتی در سیستم‌های اطلاعاتی، احتمال بروز ریسک و تأثیرات آن‌ها کاهش داده می‌شود. برای مثال، می‌توان از روش‌های امنیتی مانند رمزگذاری، شبکه‌های امنیتی و سیستم‌های تشخیص تهدیدات استفاده کرد. در این روش، تأکید بر کاهش احتمال بروز ریسک‌ها و تأثیرات آن‌ها است.

اجتناب (Avoidance): در این روش، با اجتناب از فعالیت‌هایی که می‌توانند ریسک ایجاد کنند، از بروز ریسک و تأثیرات آن‌ها جلوگیری می‌شود. برای مثال، ممکن است سازمان از برخی از سیستم‌ها و فناوری‌هایی که به دلیل نبود امنیت بالا، ریسک بالایی دارند، استفاده نکند. در این روش، تأکید بر جلوگیری از بروز ریسک‌ها و تأثیرات آن‌ها است.

پذیرش (Acceptance): در این روش، به دلیل عدم امکان اجتناب یا کاهش ریسک‌ها، تصمیم گرفته می‌شود که ریسک پذیرفته شود. در این روش، با اطلاع از ریسک‌ها و تأثیرات آن‌ها، تصمیم گرفته می‌شود که آیا باید اقداماتی انجام شود یا خیر. برای مثال، ممکن است که سازمان در مورد بروز حملات کندوکاوی، ویروس‌های رایانه‌ای و سایر تهدیدات امنیتی، تصمیم گیری کند که با اینکه این تهدیدات ممکن است رخ دهند، اما با توجه به هزینه و زمان برای کاهش این ریسک‌ها، تصمیم می‌گیرد که ریسک را پذیرفته و برای مدیریت و پاسخ به آن‌ها، آماده باشد.

انتقال (Transfer): در این روش، ریسک به صورتی انتقال داده می‌شود که در صورت بروز ریسک، تأثیرات آن توسط شخص یا سازمان دیگری مدیریت شود. برای مثال، می‌توان به بیمه‌گذاری در برابر ریسک‌های امنیتی اشاره کرد. در این روش، تأکید بر انتقال ریسک و تأثیرات آن به سازمان یا شخص دیگر است.

مدیریت (Management): در این روش، با استفاده از ارزیابی و مدیریت ریسک‌ها، برای جلوگیری از بروز ریسک و تأثیرات آن‌ها، اقداماتی انجام می‌شود. برای مثال، می‌توان با انجام مدیریت ریسک‌ها، سیاست‌ها و رویه‌های امنیتی را ارتقاء داد و با اطمینان از رفتار درست کاربران، از بروز ریسک‌ها جلوگیری کرد. در این روش، تأکید بر مدیریت ریسک‌ها و کاهش آن‌ها است.

یک رویکرد مدیریت ریسک امنیت اطلاعات خوب چیست؟ در اینجا سه معیار برای تعیین اینکه آیا استراتژی ISRM سازمان شما در بهبود وضعیت امنیتی شما موثر است یا خیر وجود دارد: این تضمین می کند که خطرات غیرقابل قبول به درستی شناسایی و رسیدگی می شوند. این تضمین می کند که پول و تلاش برای خطراتی که قابل توجه نیستند هدر نمی رود. این به مدیریت ارشد امکان مشاهده مشخصات ریسک سازمانی و اولویت های درمان ریسک را برای پشتیبانی از توانایی آنها در تصمیم گیری استراتژیک می دهد.

مطالب مرتبط دستچین شده: مراحل ایجاد یک برنامه مدیریت ریسک امنیت اطلاعات موثر چیست؟ تمرین نشان می دهد که یک رویکرد چند مرحله ای برای ایجاد یک برنامه ISRM موثرترین است، زیرا منجر به یک برنامه جامع تر می شود و کل  فرآیند مدیریت ریسک امنیت اطلاعات را  با تقسیم آن به چند مرحله ساده می کند. این فرآیند ISRM را قابل مدیریت تر می کند و شما را قادر می سازد تا مشکلات را راحت تر برطرف کنید. در اینجا پنج مرحله برای ایجاد یک برنامه مدیریت ریسک امنیت اطلاعات موثر وجود دارد:

مرحله شماره 1. همسویی کسب و کار Business alignment ابتدا باید شرایط کسب و کار سازمان خود را بشناسید، مانند ملاحظات بودجه، کارکنان و پیچیدگی فرآیندهای تجاری. نمی توانم به اندازه کافی بر اهمیت این مرحله تاکید کنم. حتی اگر بهترین تیم، ابزار و کنترل‌ها را داشته باشید، اگر تلاش‌های خود را روی مهم‌ترین چیز برای کسب‌وکار متمرکز نکنید، ممکن است شکست بخورید. در طول این مرحله، شما باید با تیم رهبری سازمان ارتباط برقرار کنید تا فرآیندهای تجاری و وابستگی آنها به دارایی های فنی و جریان داده ها را درک کنید. همچنین باید مشخصات ریسک سازمان را مستند کنید، از جمله شرح مفصلی از هر ریسکی که با آن مواجه است و همچنین ریسک پذیری آن – سطح ریسکی که برای دستیابی به اهدافش آماده پذیرش آن است. این به شما پایه‌ای را می‌دهد که می‌توانید بر اساس آن برنامه ISRM را بسازید - و پشتیبانی مدیرانی را که برای اجرای موفقیت‌آمیز آن نیاز دارید.

مرحله شماره 2. تعریف برنامه Program definition در مرحله بعد، سازمان شما باید برنامه ISRM را تعریف کند. حتما: یک برنامه سالانه تجویزی و به دنبال آن یک برنامه سه ساله سطح بالا تعریف کنید. تعیین اهداف و مقاصد خاصی که باید به صورت سالانه برآورده شوند. این طرح باید سالانه تنظیم شود تا با تغییرات در شرایط و فعالیت های تجاری سازگار شود. زمانی که همه قابلیت ها وجود داشته باشند و شرایط کسب و کار ثابت بماند، بازه زمانی معمول برای اجرای یک برنامه ISRM 30 تا 36 ماه است. نقطه ورود قابلیت ها را بر اساس ورودی مدیریت به وضوح تعریف کنید. نقطه ورود اساساً تعریفی از قابلیت‌هایی است که سازمان می‌خواهد پس از اجرای برنامه داشته باشد. شما می توانید با همکاری نزدیک با تیم رهبری برای درک اهداف آنها در مورد ISRM، نقطه ورود را شناسایی کنید. اطمینان از در دسترس بودن و توانایی کارکنان لازم برای اجرای برنامه. یک عنصر کلیدی هر برنامه ISRM کارکنان مناسب است. در اغلب موارد، سازمان ها کارکنان واجد شرایط کافی برای دستیابی به اهداف برنامه های ISRM خود را ندارند. بنابراین، ارزیابی در دسترس بودن و صلاحیت کارکنان برای اطمینان از دستیابی به تمام اهداف ضروری است. شناختی از فرهنگ سازمان به دست آورید. اگر افراد سازمان از اجرای آن حمایت نکنند، اجرای برنامه ISRM بسیار دشوارتر است. بسته به فرهنگ سازمان، باید به طور آشکار در مورد برنامه ISRM با همه طرف های ذینفع بحث کنید یا از مدیریت ارشد راهنمایی بگیرید تا برنامه را به پیش ببرید.

مرحله شماره 3. پیشرفت برنامه Program development در این مرحله، باید قابلیت‌ها و کنترل‌های عملکردی مرتبط با امنیت فناوری اطلاعات و مدیریت ریسک (به عنوان مثال، ارزیابی آسیب‌پذیری، واکنش به حادثه، آموزش و ارتباطات) را به همراه مدل حاکمیتی که تعیین می‌کند چه کسی مسئول هر حوزه است، تعریف کنید. استراتژی ISRM اگر پیاده‌سازی قابلیت‌های ISRM را به اشخاص ثالث برون‌سپاری می‌کنید، حتماً خطرات را در نظر بگیرید و از نظارت مناسب توسط کارکنان داخلی اطمینان حاصل کنید.

مرحله شماره 4. معیارها و محک زدن Metrics and benchmarking در مرحله بعد، سازمان شما باید معیارهایی را برای ارزیابی اثربخشی استراتژی ISRM تعریف کند. در اینجا دو بهترین روش برای این مرحله وجود دارد: از همسویی با استانداردها و دستورالعمل های صنعت اطمینان حاصل کنید. چندین استاندارد وجود دارد که به شما کمک می کند تا مطمئن شوید برنامه ISRM شما با مقررات صنعت مطابقت دارد، از جمله COBIT، سری سازمان بین المللی استاندارد (ISO) 27000 و موسسه ملی استانداردها و فناوری ایالات متحده (NIST) سری 800. توصیه می‌کنم  ISO/IEC 27005:2018 ، انتشارات ویژه NIST 800-37 (نسخه 2) و همچنین انتشارات ویژه NIST 800-53A (نسخه 5) را در نظر بگیرید، که دستورالعمل‌های دقیقی را در مورد نحوه ایجاد یک برنامه مدیریت ریسک ارائه می‌دهد. برای تعیین اینکه آیا برنامه ISRM شما تمام عملکردها و قابلیت های لازم را دارد یا خیر، مشورت با استانداردها و چارچوب های انطباق متعدد مهم است. از KPI ها برای اندازه گیری اثربخشی عملکردها و قابلیت های توسعه یافته از طریق برنامه ISRM استفاده کنید. هنگام توسعه شاخص های کلیدی عملکرد، باید ارزش تجاری را که می خواهید با قابلیت های ISRM به دست آورید شناسایی کنید و سپس معیارهای عینی را تعریف کنید که می تواند برای ارزیابی آن ارزش مورد استفاده قرار گیرد. سعی کنید شاخص های کلیدی عملکرد را بر اساس تأثیر بالقوه کسب و کار و دستورالعمل های نقطه ورود قرار دهید و در صورت امکان ارزش دلاری را تعیین کنید. این به شما کمک می کند وضعیت امنیتی خود را با زمینه تجاری برای رهبری سازمان مرتبط کنید. همچنین، شناسایی آستانه های قابل قبول و غیرقابل قبول برای هر KPI ضروری است.

مرحله شماره 5. اجرا و بهره برداری Implementation and operation در نهایت، شما باید استراتژی ISRM خود را پیاده سازی کنید - و عملکرد آن را برای شناسایی مسائل یا زمینه های بهبود نظارت کنید. برنامه یا شرایطی را برای بررسی برنامه تعریف کنید. تغییرات عمده در محیط IT شما، نقض داده ها در صنعت شما و تکنیک های جدید حمله سایبری، همگی دلایل معتبری هستند تا شما به برنامه ISRM خود با دیدی انتقادی نگاه کنید و در صورت لزوم آن را اصلاح کنید.

کدام چارچوب برای ایجاد یک ISRM موثر بهترین است؟ چارچوب های NIST یک منبع عالی هستند. هر سازمانی می تواند برای مدل سازی استراتژی مدیریت ریسک و خطوط پایه امنیتی خود به دستورالعمل های NIST مراجعه کند. اگر سازمان شما به دنبال بررسی کاملی از نحوه اعمال بهترین شیوه‌ها از طریق چارچوب‌های نظارتی ساختاریافته است که با انطباق‌ها نیز مطابقت دارد، با مطالعه چارچوب مدیریت ریسک NIST و چارچوب امنیت سایبری NIST به خوبی به شما کمک خواهد کرد :

چارچوب مدیریت ریسک NIST (RMF) چارچوب مدیریت ریسک NIST (RMF) ، همانطور که در نشریه ویژه NIST 800-37 (بازبینی 2) توضیح داده شده است، یک فرآیند جامع، انعطاف پذیر، قابل تکرار و قابل اندازه گیری را برای بهبود نحوه طراحی، ایمن سازی و نظارت سیستم های IT ارائه می دهد. اگرچه NIST RMF توسط وزارت دفاع ایالات متحده (DoD) ایجاد شده است، اما به عنوان یک پایه خوب برای امنیت داده ها و برنامه حفظ حریم خصوصی برای هر سازمانی عمل می کند. NIST RMF شامل 7 مرحله زیر است (توجه داشته باشید که دو مرحله آخر برای سازمان ها و سازمان های فدرال متفاوت است):

مرحله شماره 1. آماده کردن Prepare آماده سازی شامل شناسایی نقش های کلیدی مدیریت ریسک است. تعیین میزان تحمل ریسک سازمان؛ و انجام یک ارزیابی ریسک در سطح سازمان از خطرات امنیتی و حریم خصوصی برای سازمان ناشی از بهره برداری و استفاده از سیستم های فناوری اطلاعات.

مرحله شماره 2. طبقه بندی Categorize در مرحله بعد، باید سیستم های فناوری اطلاعات را بر اساس سطح ریسک دسته بندی کنید. تأثیر نامطلوب از دست دادن محرمانگی، یکپارچگی یا در دسترس بودن سیستم ها و اطلاعاتی که آنها پردازش، ذخیره یا منتقل می کنند را برآورد کنید.

مرحله شماره 3. انتخاب کنید Select بر اساس نتایج مرحله قبل، باید کنترل های مناسب را برای هر سیستم انتخاب و پیاده سازی کنید. در طول این مرحله، بر اساس اینکه ریسک های امنیتی در چه دسته ای قرار می گیرند، تصمیم می گیرید که چه کنترل های امنیتی پایه را می خواهید اجرا کنید.

مرحله شماره 4. پیاده سازی Implement گام بعدی اجرای کنترل ها برای کاهش خطرات امنیتی و حریم خصوصی سیستم است.

مرحله شماره 5. ارزیابی کنید Assess در مرحله بعد، مهم است که کنترل ها به درستی اجرا شوند و همانطور که انتظار می رود برای محافظت از سیستم ها عمل کنند.

مرحله شماره 6. مجاز کردن Authorize برای آژانس های فدرال هنگامی که کنترل‌های امنیتی شما وارد عمل شد، می‌توان به یک سیستم اجازه عملیات (ATO) را توسط دولت اعطا کرد (یا رد کرد). برای سایر سازمان ها ذینفعان داخلی یا خارجی ممکن است به فرصتی نیاز داشته باشند تا بسته مجوزی را که شامل برنامه‌های امنیتی و حریم خصوصی، نقاط عطف، گزارش‌های ارزیابی و شواهد پشتیبان یا سایر اسناد است، بررسی کنند.

مرحله شماره 7. نظارت کنید Monitor برای آژانس های فدرال کنترل های سیستم باید به طور منظم بررسی شوند. یک ATO فقط برای سه سال معتبر است و پس از آن کل فرآیند باید دوباره انجام شود. برای سایر سازمان ها سازمان باید به طور مستمر کنترل‌های خود را کنترل کند تا مطمئن شود که آنها مؤثر باقی می‌مانند و بر اساس تغییرات در محیط فناوری اطلاعات یا چشم‌انداز تهدید، در صورت نیاز به‌روزرسانی‌ها را انجام دهند.

چارچوب امنیت سایبری NIST چارچوب امنیت سایبری NIST چارچوب دیگری است که می تواند به شرکت ها در مدیریت بهتر و کاهش ریسک امنیت سایبری کمک کند. مراحل این چارچوب شامل موارد زیر است:  

شناسایی   Identify- خطرات امنیت سایبری برای سیستم ها، افراد، دارایی ها، داده های حساس و قابلیت ها را درک و اولویت بندی کنید. فعالیت ها شامل مدیریت دارایی، حاکمیت و ارزیابی ریسک است.

محافظت Protect- برای محافظت از دارایی های حیاتی در برابر تهدیدات سایبری، کنترل های امنیتی مناسب و سایر اقدامات حفاظتی را اجرا کنید. نمونه‌هایی از فعالیت‌ها در اینجا مدیریت هویت و کنترل دسترسی، ارتقای آگاهی و آموزش کارکنان است.

تشخیص Detect- مطمئن شوید که سازمان شما می تواند به سرعت رویدادهایی را که می تواند خطراتی برای امنیت داده ها ایجاد کند، شناسایی کند. تکنیک ها شامل نظارت مستمر امنیتی و تجزیه و تحلیل رفتار کاربر (UBA) است.

پاسخ  Respond- برنامه ای برای پاسخ به یک حادثه امنیت سایبری ایجاد کنید تا تأثیرات آن شامل تجزیه و تحلیل، ارتباطات و کاهش را در بر بگیرد.

بازیابی  Recover- داشتن یک استراتژی برای بازیابی قابلیت ها یا خدماتی که تحت تأثیر یک حادثه امنیتی قرار گرفته اند، به اطمینان از بازگشت سریعتر به عملیات عادی کمک می کند. حتماً طرح بازیابی را مرور کنید و بهبودهایی مانند به‌روزرسانی یا جایگزینی خط‌مشی‌ها را انجام دهید.

خلاصه درک و مدیریت ریسک های سیستم ها و داده های حساس برای موفقیت یک سازمان ضروری است. توسعه یک برنامه ISRM فرآیند مدیریت ریسک را قابل مدیریت تر می کند و به شما کمک می کند از حیاتی ترین دارایی های خود در برابر تهدیدات سایبری در حال ظهور محافظت کنید.

سوالات متداول مدیریت ریسک در امنیت سایبری چیست؟ مدیریت ریسک در امنیت سایبری مدیریت ریسک های امنیتی و حریم خصوصی مرتبط با سیستم های اطلاعاتی است. این یک فعالیت کلی نگر است که بر هر جنبه ای از سازمان از جمله برنامه ریزی ماموریت، معماری سازمانی، توسعه نرم افزار و مهندسی سیستم تأثیر می گذارد. خطرات امنیت اطلاعات چیست؟ خطرات امنیت اطلاعات تهدیدهایی هستند که می توانند باعث آسیب یا اختلال در سیستم ها یا داده های فناوری اطلاعات شوند. خطرات رایج امنیت فناوری اطلاعات افشای رمز عبور، بدافزار و نرم افزارهای جاسوسی، دسترسی غیرمجاز به شبکه و حملات مهندسی اجتماعی است. هدف از چارچوب مدیریت ریسک NIST چیست؟ چارچوب مدیریت ریسک که توسط موسسه ملی استاندارد و فناوری (NIST) ایجاد شده است به سازمان ها کمک می کند تا یک برنامه ISRM ایمن و پایدار بسازند. این به آنها کمک می کند تا خطرات سیستم و داده های خود را شناسایی و ارزیابی کنند تا بتوانند تصمیمات امنیتی IT آگاهانه و مبتنی بر ریسک را اتخاذ کنند. آیا برنامه های صدور گواهینامه برای چارچوب مدیریت ریسک NIST وجود دارد؟ گواهی RMF فقط برای سازمان های فدرال و ایالتی مورد نیاز است، اما می تواند ارزشمند باشد حتی اگر شما توسط دولت استخدام نشده باشید. در اینجا چند برنامه وجود دارد که می تواند به شما کمک کند یاد بگیرید چگونه چارچوب مدیریت ریسک را در استراتژی مدیریت ریسک خود اعمال کنید و در صورت انتخاب، گواهینامه دریافت کنید: مدیریت ریسک چگونه امنیت فناوری اطلاعات را بهبود می بخشد؟ یک فرآیند مدیریت ریسک کامل می‌تواند امنیت فناوری اطلاعات را با شناسایی ریسک‌های سیستم‌ها و داده‌های فناوری اطلاعات سازمان، و تصمیم‌گیری آگاهانه در مورد چگونگی کاهش و حذف آسیب‌پذیری‌ها، به طور قابل توجهی تقویت کند.

منبع: National Institute of Standards and Technology (NIST)
ترجمه: گوگل
گردآوری و تنظیم متن: میر علی شهیدی
ورود به صفحه فارسی