چک لیست پیشنهادی برای مدیران حوزه امنیت اطلاعات و امنیت شبکه

• ارزیابی دارایی‌های کلیدی و حساس به همراه مالکان دارایی و تحلیل ریسک آنها با استفاده از مثلث CIA (محرمانگی، یکپارچگی و دسترس‌پذیری)
• ارائه گزارش ارزیابی ریسک و تهیه یک برنامه عمل برای حفظ امنیت دارایی‌های کلیدی و حساس
• تعیین گروه‌های مسئولیت امنیتی، تعریف مسئولیت‌های آن‌ها و بررسی رویه‌های امنیتی موجود در سازمان
• مشاهده، تجزیه و تحلیل واقعیت‌های امنیتی، شناسایی تهدیدات و آسیب‌پذیری‌های احتمالی و پیشگیری از وقوع حملات
• تعیین استانداردهای امنیتی و بررسی پیاده‌سازی آن‌ها
• بررسی امنیت سیستم‌های اطلاعاتی و شبکه‌ها و مدیریت تهدیدات امنیتی، شناسایی نقاط ضعف و پیشگیری از حملات
• آموزش کارکنان سازمان در زمینه امنیت اطلاعات و شبکه و بررسی رویه‌های امنیتی در سازمان
• اجرای بازرسی‌های داخلی و خارجی در زمینه امنیت اطلاعات و شبکه
• تعیین سیاست‌های امنیتی و بررسی اجرای آن‌ها در سازمان
• نظارت بر پیاده‌سازی پروتکل‌های امنیتی و بررسی پیاده‌سازی آن‌ها در سیستم‌های اطلاعاتی و شبکه‌ها
• پیشگیری از نفوذ داخلی و خارجی به سیستم‌های اطلاعاتی و شبکه‌ها
• تعیین مقررات امنیتی و بررسی پیاده‌سازی آن‌ها در سازمان
• تهیه و بررسی برنامه‌های پشتیبانی و بازیابی اطلاعات در صورت وقوع حملات امنیتی و از دست رفتن اطلاعات
• اعتبارسنجی رویه‌های امنیتی و پیاده‌سازی استانداردهای امنیتی در سازمان
• تعیین و بررسی نقاط ضعف فنی و امنیتی در سیستم‌های اطلاعاتی و شبکه‌ها
• بررسی و اعتبارسنجی رویه‌های امنیتی و اطمینان از پیاده‌سازی استانداردهای امنیتی در شرکت‌های پیمانکار
• ارزیابی امنیت شبکه و سیستم‌های اطلاعاتی در دسترس داشتن و به کارگیری بهترین روش‌های امنیتی
• پیشگیری از حملات به شبکه‌ها و سیستم‌های اطلاعاتی و اعتبارسنجی از پیاده‌سازی رویه‌های امنیتی
• آمادگی در برابر حملات و پیاده‌سازی رویه‌هایی برای پیشگیری از حملات و بازیابی اطلاعات
• تهیه و بررسی پلان‌های پیشگیری و بازیابی در مواقع بحرانی
• استفاده از فایروال‌های قوی و پیاده‌سازی رویه‌های پیشگیری از حملات دیده بر روی شبکه‌ها
• استفاده از روش‌های تشخیص نفوذ و نظارت بر فعالیت‌های غیرمجاز در شبکه‌ها
• مدیریت دسترسی و اطلاعات کاربران و اجرای پروتکل‌های امنیتی در زمینه دسترسی کاربران
• پشتیبانی و تهیه برنامه‌های بازیابی در صورت وقوع حملات و از دست رفتن اطلاعات در شبکه‌ها
• بررسی و اعتبارسنجی رویه‌های امنیتی شرکت‌های پیمانکار و تضمین اجرای آن‌ها
• آموزش کاربران در زمینه امنیت شبکه‌ها و آگاهی آن‌ها از روش‌های پیشگیری از حملات امنیتی
• تست امنیتی بر روی شبکه‌ها و سیستم‌های اطلاعاتی به‌منظور تشخیص نقاط ضعف و ارائه پیشنهادات به منظور پیشگیری از حملات
• استفاده از سیستم‌های رمزنگاری برای محافظت از اطلاعات حساس
• مدیریت کلیدهای رمزنگاری و ایجاد سیاست‌های قوی برای محافظت از آن‌ها
• تهیه نسخه‌های پشتیبان از اطلاعات مهم و قابلیت بازگردانی آن‌ها در صورت نیاز
• استفاده از نرم‌افزارهای ضدویروس و آپدیت منظم آن‌ها
• محدود کردن دسترسی کاربران به بخش‌های حساس و اجرای سیاست‌های مشخص برای مدیریت دسترسی‌ها
• استفاده از رمزنگاری SSL/TLS در ارتباطات وب
• استفاده از روش‌های بک‌آپ گیری منظم و ذخیره آن‌ها در محیطی مجزا
• بررسی و تحلیل لاگ‌های سیستم و شبکه به‌منظور شناسایی فعالیت‌های غیرمجاز
• مدیریت موارد امنیتی مرتبط با سیستم‌های موبایل و دستگاه‌های پرتابل
• استفاده از روش‌های رمزنگاری برای اطلاعات مربوط به کارت‌های اعتباری و موارد پرداخت الکترونیکی
• ارزیابی دارایی‌ها و اعلام مالکیت و ریسک آن‌ها
• پیاده‌سازی سیستم‌های رمزنگاری و مدیریت کلیدهای رمزنگاری
• تهیه نسخه‌های پشتیبان و بازگردانی اطلاعات
• نصب و آپدیت نرم‌افزارهای ضدویروس
• مدیریت دسترسی‌ها و اجرای سیاست‌های مربوط به دسترسی‌ها
• استفاده از رمزنگاری SSL/TLS در ارتباطات وب
• بک‌آپ گیری و ذخیره نسخه‌های پشتیبان در محیطی مجزا
• بررسی و تحلیل لاگ‌های سیستم و شبکه
• مدیریت امنیت دستگاه‌های موبایل و پرتابل
• رمزنگاری اطلاعات پرداختی
• RAID 0: این سیستم RAID به منظور افزایش سرعت کارایی استفاده می‌شود، با این حال این سیستم RAID برای حفظ اطلاعات مناسب نیست و احتمال از دست دادن اطلاعات بسیار بیشتر است.
• RAID 1: این سیستم RAID به منظور تضمین ایمنی اطلاعات استفاده می‌شود. با این سیستم RAID، دو دیسک همیشه به صورت کامل یکسان در حالت کپی دارایی هستند. در صورت خراب شدن هر کدام از دو دیسک، دیسک دیگر می‌تواند از روی داده‌های خراب شده، داده‌های قبلی را بازسازی کند.
• RAID 5: در این سیستم RAID، اطلاعات بین چندین دیسک توزیع می‌شود و با یک دیسک پاریت، خطا در داده‌ها تشخیص داده می‌شود. در صورتی که یکی از دیسک‌ها خراب شود، با استفاده از داده‌های موجود در دیسک‌های دیگر، داده‌های از دست رفته را بازسازی می‌کند.
• RAID 6: این سیستم RAID مانند RAID 5 عمل می‌کند با این تفاوت که دو دیسک پاریت در آن وجود دارد و به همین دلیل در صورت خراب شدن حداقل دو دیسک، با استفاده از داده‌های موجود در سایر دیسک‌ها، امکان بازسازی داده‌ها وجود دارد.
• RAID 10: این سیستم RAID، یک ترکیب از RAID 1 و RAID 0 است و از دو دسته دیسک‌های RAID 1 تشکیل شده است. این سیستم RAID بسیار امن و با سرعت بالا است، با این حال برای استفاده از آن، حداقل چهار دیسک لازم است.

• RAID 0 (Stripe Set):پاریتی ندارد.
• RAID 1 (Mirror Set):در حالت RAID 1، پاریتی نیز ندارد.
• RAID 2:در حالت RAID 2، بیت پاریتی برای هر گروه بایت‌های داده وجود دارد.
• RAID 3:در حالت RAID 3، یک درایو پاریتی وجود دارد که برای همه درایوهای داده‌ای استفاده می‌شود.
• RAID 4:در حالت RAID 4، یک درایو پاریتی وجود دارد که برای همه درایوهای داده‌ای استفاده می‌شود.
• RAID 5:در حالت RAID 5، پاریتی برای هر بلوک داده وجود دارد.
• RAID 6:در حالت RAID 6، دو درایو پاریتی وجود دارند که برای همه درایوهای داده‌ای استفاده می‌شوند.
• تعیین و ارزیابی دارایی‌های شرکت بر اساس مثلث CIA
• ارزیابی و تعیین مالکان هر یک از دارایی‌ها
• تعیین ریسک پذیری هر دارایی بر اساس likelihood و impact آن
• ارزیابی ریسک به‌وسیله ماتریس ریسک برای هر دارایی
• ارزیابی ریسک به‌وسیله ماتریس ریسک برای تمامی دارایی‌ها
• تعیین سطح دسترسی و کنترل دارایی‌ها
• تعیین و توسعه نقشه شبکه
• بررسی و تعیین نیازمندی‌های شبکه از جمله پهنای باند و سرعت انتقال داده
• تعیین و بررسی تنظیمات امنیتی شبکه، از جمله فایروال‌ها و سیستم‌های حفاظت از نفوذ
• آموزش کارکنان و پرسنل شرکت در زمینه امنیت اطلاعات
• تعیین و تمرین برنامه بحران در صورت وقوع حملات و تهدیدات امنیتی
• ارزیابی و بررسی رویه‌های حفاظتی شرکت برای جلوگیری از از دست دادن داده‌ها
• بررسی و ارزیابی تحلیلگران و متخصصان امنیتی شرکت
• ارزیابی دارایی‌ها
• لیست کردن مالکان دارایی‌ها
• تعیین ریسک پذیری likelihood, impact دارایی‌ها
• بررسی توافق نامه های امنیتی با شرکای تجاری
• بررسی وضعیت امنیتی فیزیکی و دسترسی به دارایی‌ها
• ارتقاء آگاهی پرسنل در خصوص امنیت اطلاعات
• بازنگری سیاست‌ها و رویه‌های امنیتی
• بررسی تهدیدات داخلی و خارجی
• ارزیابی آسیب‌پذیری‌های شبکه و سیستم‌های اطلاعاتی
• تعیین میزان اهمیت و اولویت برای پیاده سازی اقدامات امنیتی
• اجرای تمرینات بحران و آمادگی برای مواجهه با تهدیدات امنیتی
• ارزیابی و بهبود فرآیندهای امنیتی
• مانیتورینگ و گزارش دهی در مورد رفتار کاربران در سیستم‌های اطلاعاتی
• ارتقاء رویه ها و روش های رمزنگاری اطلاعاتی
• ارزیابی دارایی‌ها و لیست کردن آنها به همراه مالکان دارایی و ریسک پذیری likelihood, impact آنها بوسیله مثلث CIA
• بررسی مداوم تهدیدات امنیتی جدید و آسیب پذیری‌های محتمل
• پیکربندی و مدیریت رمزنگاری اطلاعات حساس
• بررسی و اجرای محدودیت‌های دسترسی به سیستم‌های حساس و داده‌های مهم
• پیشگیری از حملات نفوذ و نظارت بر تهدیدات احتمالی
• آموزش کارکنان در خصوص امنیت اطلاعات و رفتارهای امنیتی
• اجرای سیاست‌ها و رویه‌های امنیتی
• ارتقای نرم‌افزارها و سیستم‌های امنیتی و مانیتورینگ و بروزرسانی آن‌ها
• اطمینان حاصل شود که سیاست‌های امنیتی مناسب برای سازمان تعریف شده و پیاده سازی شده باشند.
• اطمینان حاصل شود که تمامی دارایی‌های مالی و اطلاعاتی سازمان شناسایی شده‌اند و به‌روزرسانی های لازم برای آن‌ها انجام شده است.
• ارزیابی دوره‌ای از سیستم‌های امنیتی سازمان انجام شود و نتایج به مدیریت سطح بالای سازمان گزارش شود.
• اطمینان حاصل شود که کلیه کارکنان سازمان در مورد سیاست‌ها و رویه‌های امنیتی آموزش دیده‌اند و آگاهی کافی در این زمینه دارند.
• تضمین اینکه دسترسی کاربران و کارکنان سازمان به دارایی‌ها و اطلاعات سازمانی فقط در حداقل سطح ممکن برای انجام کارهایشان اعطا شده باشد.
• اطمینان حاصل شود که تمامی سیستم‌ها و شبکه‌های سازمان دارای روش‌های امنیتی موثر برای حفاظت از اطلاعات سازمانی هستند.
• اطمینان حاصل شود که سیستم‌های کنترل دسترسی برای کاربران و کارکنان سازمان کافی و مناسب هستند.
• اطمینان حاصل شود که برنامه‌های پشتیبانی و بازیابی اطلاعات سازمان به درستی تعریف شده‌اند و در صورت لزوم قابل اجرا هستند.
• تعیین اهداف امنیتی سازمان و تشکیل تیم امنیتی
• ارزیابی ریسک‌های امنیتی و تدوین استراتژی‌های پیشگیری
• تعیین دارایی‌های اطلاعاتی سازمان
• ارزیابی تهدیدات امنیتی و آسیب‌پذیری‌های سیستم‌ها
• تعیین محدوده کنترل‌های امنیتی
• اعتبارسنجی تاثیرات ریسک‌های امنیتی
• طراحی کنترل‌های امنیتی برای کاهش ریسک‌های امنیتی
• اجرای کنترل‌های امنیتی و مانیتورینگ به منظور اطمینان از کارایی آن‌ها
• بازبینی و ارزیابی کنترل‌های امنیتی به منظور اطمینان از کارایی آن‌ها
• تهیه و اجرای برنامه آموزشی و آگاهی سازی در زمینه امنیت اطلاعات
• مدیریت امنیتی در مواجهه با وقایع اضطراری و بحرانی
• بازبینی و بروزرسانی سیاست‌ها، فرآیندها و کنترل‌های امنیتی
• تهیه و تنظیم گزارش‌های امنیتی به منظور اطلاع‌رسانی به مدیران سازمان
• تهیه و تنظیم برنامه برای مدیریت خطرات امنیتی
• ارتباط با نهادها و سازمان‌هایی که به ارائه خدمات امنیتی می‌پردازند
• تهیه و اجرای تست‌های نفوذ به منظور ارزیابی کنترل‌های امنیتی
• تعیین سطح دسترسی کاربران و نظارت بر آن
• تعیین سیاست‌های پشتیبانی امنیتی، نظیر پشتیبانی فیزیکی و تعمیر و نگهداری تجهیزات
• تهیه و تنظیم فرآیندهای برنامه‌ریزی برای حفاظت از دارایی‌های اطلاعاتی
• برنامه‌ریزی و اجرای تمرینات مختلف برای آمادگی در مواجهه با حوادث امنیتی و بحرانی
• ارزیابی و پیشگیری در مواجهه با حملات سایبری نظیر دزدیدن اطلاعات، نفوذ به سیستم‌ها و ...
• تنظیم دستورالعمل‌های امنیتی در زمینه ارتباطات، بکاپ‌گیری، تست‌های امنیتی و ...
• تعیین وضعیت امنیتی نرم‌افزارها و سیستم‌های مختلف در سازمان
• بررسی و ارزیابی کنترل‌های امنیتی ارتباطی و شبکه در سازمان
• بررسی و ارزیابی کنترل‌های امنیتی فیزیکی در سازمان
• تهیه و تنظیم گزارشات امنیتی در سازمان و ارائه آن به مدیران و مسئولان مربوطه
• تعیین نقاط ضعف سیستم‌های امنیتی و تلاش برای بهبود آن‌ها
• تعیین فرایندهای امنیتی برای مدیریت هویت و دسترسی کاربران در سازمان
• تعیین و اجرای سیاست‌های مربوط به حریم شخصی کاربران در سازمان
• آموزش و آگاهی‌بخشی کارکنان در زمینه امنیت اطلاعات و شبکه
• تهیه و تنظیم دستورالعمل‌های مربوط به نگهداری و مدیریت اطلاعات و دارایی‌های اطلاعاتی
• ارائه خدمات امنیتی برای کاربران سازمان، نظیر فیلترینگ ترافیک و دسترسی به منابع اینترنتی
• بررسی و ارزیابی مشکلات امنیتی در محیط‌های مجازی سازمان، نظیر سرورهای مجازی، محیط‌های مجازی‌سازی و ...
• مراقبت از داده‌های حساس و محرمانه، نظیر اطلاعات مالی، پرسنلی و مشتریان
• تهیه و تنظیم فرایندهای پشتیبانی از داده‌ها و بازیابی آن‌ها در صورت نیاز
• بررسی و ارزیابی امنیت شبکه‌های بی‌سیم در سازمان
• تهیه و تنظیم فرآیندهای مربوط به مدیریت ریسک‌های امنیتی و پیشگیری از حوادث امنیتی
• بررسی و ارزیابی نیازمندی‌های امنیتی در پروژه‌های جدید سازمان
• تهیه و تنظیم فرآیندهای مربوط به مدیریت تأییدیه‌های امنیتی برای سیستم‌ها و نرم‌افزارهای جدید
• تعیین نیازمندی‌های امنیتی مربوط به قراردادها و توافق‌نامه‌های با شرکای تجاری و قراردادهای استخدامی
• تنظیم و اجرای فرآیندهای مربوط به تعقیب و ردیابی تهدیدات امنیتی در سازمان
• تهیه و تنظیم دستورالعمل‌های مربوط به حفاظت از فعالیت‌های امنیتی سازمان در صورت حملات احتمالی
• تنظیم فرآیندهای مربوط به نگهداری و مدیریت دستگاه‌های امنیتی، نظیر دوربین‌های مداربسته، سامانه‌های دسترسی کنترل و ...
• بررسی و ارزیابی مشکلات امنیتی مرتبط با پروتکل‌های شبکه‌ای، نظیر پروتکل‌های TCP/IP، HTTP و FTP
• تهیه و تنظیم دستورالعمل‌های مربوط به مدیریت رمزنگاری داده‌ها و سیستم‌های امنیتی
• تهیه و تنظیم فرآیندهای مربوط به امنیت فیزیکی ساختمان‌های سازمان، نظیر دسترسی کنترل به ورودی‌ها و حفاظت از اطلاعات در برابر دزدی و تخریب
• ارزیابی و تحلیل تهدیدات امنیتی و ایجاد پلان‌های مربوط به مدیریت ریسک‌ها در سطح سازمان
• تعیین و تنظیم سیاست‌ها و فرایندهای مربوط به مدیریت دسترسی کاربران به منابع و اطلاعات در سازمان
• تهیه و تنظیم فرآیندهای مربوط به مدیریت شناسایی و تأییدیه کاربران، نظیر سیستم‌های دسترسی کنترل و تأییدیه دو مرحله‌ای
• مانیتورینگ و نظارت بر اطلاعات و سیستم‌های سازمان جهت تشخیص و پیشگیری از حملات و تهدیدات امنیتی
• تعریف کردن اهداف و محدوده ریسک مدیریتی
• تعیین فرضیات و ریسک‌های مربوط به هر کدام از اهداف
• تحلیل ریسک‌ها و تعیین اولویت‌بندی آن‌ها
• تهیه و تنظیم پلان‌های مربوط به مدیریت ریسک‌ها
• تعیین و تهیه ابزارهای موردنیاز جهت انجام فرآیندهای مربوط به مدیریت ریسک‌ها
• ارزیابی و نظارت بر اثربخشی فرآیندهای مدیریت ریسک‌ها و اعمال به‌روزرسانی‌های لازم
• آموزش و اطلاع‌رسانی کارکنان در خصوص مفاهیم مدیریت ریسک
• اطمینان از اینکه تمامی افراد مربوط به سازمان با فرآیندهای مدیریت ریسک آشنا هستند و آن‌ها را رعایت می‌کنند
• بررسی و تجزیه و تحلیل ریسک‌های مربوط به خدمات و محصولات جدید
• ارزیابی اثربخشی تدابیر امنیتی و پیشگیری از ریسک‌های امنیتی
• ارزیابی ریسک‌های مربوط به تغییرات و به‌روزرسانی‌های سیستم‌ها
• تهیه گزارش‌های روزانه، هفتگی و ماهانه در مورد وضعیت ریسک‌های مختلف در سازمان
• اعمال پیشنهادات و توصیه‌های مربوط به مدیریت ریسک‌ها
• ارزیابی و تجزیه و تحلیل ریسک‌های مربوط به شرکای تجاری و تامین‌کنندگان خارجی
• اعمال سیاست‌ها و رویه‌های مناسب در خصوص مدیریت ریسک‌های سازمان
• ارزیابی و نظارت بر تحقق اهداف مربوط به مدیریت ریسک‌ها
• اطمینان از اینکه فرآیندهای مربوط به مدیریت ریسک‌ها همواره در حال به‌روزرسانی و بهبود هستند
• ارزیابی و نظارت بر پیاده‌سازی فرآیندهای مدیریت ریسک‌ها
• تشخیص دارایی‌های مهم سازمان و تعیین حساسیت اطلاعاتی آن‌ها
• ارزیابی و تجزیه و تحلیل ریسک‌های مربوط به دارایی‌ها و اطلاعات آن‌ها
• ارزیابی و تحلیل مهاجمان پتانسیل و ریسک‌های مربوط به آن‌ها
• تعیین رویه‌های مناسب جهت کنترل ریسک‌های مختلف امنیتی
• پیاده‌سازی و اعمال رویه‌های کنترلی مورد نیاز جهت مدیریت ریسک‌های مربوط به دارایی‌ها و اطلاعات
• نظارت بر کارکرد رویه‌های کنترلی و اعمال بهبودهای لازم
• ارزیابی و نظارت بر امنیت فیزیکی دارایی‌ها و اطلاعات مربوط به آن‌ها
• ارزیابی و نظارت بر امنیت شبکه‌های سازمان
• اعمال سیاست‌ها و رویه‌های مناسب در خصوص مدیریت امنیت اطلاعات
• آموزش کارکنان در خصوص مفاهیم مدیریت امنیت اطلاعات و رعایت آن‌ها
• بررسی و نظارت بر عملکرد تیم امنیتی سازمان
• ارزیابی و تجزیه و تحلیل ریسک‌های مربوط به شرکای تجاری و تامین‌کنندگان خارجی
• ارزیابی و تجزیه و تحلیل ریسک‌های مربوط به خدمات و محصولات جدید
• ارزیابی و تجزیه و تحلیل ریسک‌های مربوط به تغییرات و به‌روزرسانی‌های سیستم‌ها
• پشتیبانی از رویه‌های کنترلی در خصوص امنیت اطلاعات برای رفع تهدیدات و ریسک‌های امنیتی
• بررسی و نظارت بر وقوع حوادث امنیتی و پیاده‌سازی رویه‌های مناسب برای پیشگیری از آن‌ها
• ارزیابی و تجزیه و تحلیل ریسک‌های مربوط به حملات داخلی و اقدامات ناشایست کارکنان
• ارزیابی و تجزیه و تحلیل ریسک‌های مربوط به محرمانگی، صحت و قابلیت اطمینان اطلاعات
• ارزیابی و تجزیه و تحلیل ریسک‌های مربوط به دسترسی غیرمجاز به دارایی‌ها و اطلاعات سازمان
• اعمال تدابیر امنیتی مناسب در خصوص رسیدگی به رخدادهای امنیتی و حوادث احتمالی
• آمادگی سازی برای رفع اثرات جانبی رخدادهای امنیتی
• ارزیابی و تجزیه و تحلیل ریسک‌های مربوط به پشتیبانی و بازیابی داده‌ها و سیستم‌ها در صورت بروز خرابی و یا حادثه
• آموزش کارکنان در خصوص رفتار در برابر رخدادهای امنیتی و استفاده صحیح از رویه‌های کنترلی
• ارزیابی و نظارت بر تطبیق رویه‌های کنترلی با استانداردهای امنیتی مربوطه
• توسعه و پیاده‌سازی رویه‌های مناسب در خصوص مدیریت خدمات امنیتی توسط شرکت‌های خارجی
• ارزیابی و نظارت بر عملیات مربوط به پشتیبانی و اجرای فرآیندهای امنیتی توسط شرکت‌های خارجی
• پیشگیری از وقوع تهدیدات امنیتی در ارتباط با اطلاعات حساس و محرمانه
• بررسی و نظارت بر وضعیت امنیتی شبکه و سیستم‌های سازمان
• ارزیابی و تجزیه و تحلیل ریسک‌های مربوط به حملات خارجی به سیستم‌های سازمان
• اعمال تدابیر امنیتی مناسب در خصوص محافظت از داده‌های محرمانه و حفظ حریم شخصی کاربران
• آموزش کارکنان در خصوص تشخیص و جلوگیری از تهدیدات امنیتی
• ارزیابی و تجزیه و تحلیل ریسک‌های مربوط به دسترسی غیرمجاز به سیستم‌ها و داده‌های سازمان
• بررسی و نظارت بر انجام تست نفوذ و پنهان نگاری در سیستم‌ها
• بررسی و نظارت بر ارتباطات سازمان با شرکت‌های خارجی در خصوص امنیت اطلاعات
• آمادگی سازی برای رسیدگی به رخدادهای امنیتی و پیاده‌سازی رویه‌های مناسب برای پیشگیری از آن‌ها
• ارزیابی و تجزیه و تحلیل ریسک‌های مربوط به تغییرات سیستمی و نرم‌افزاری در سازمان
• پیاده‌سازی رویه‌های مناسب در خصوص تعامل با تأمین‌کنندگان و شرکت‌های خارجی در خصوص امنیت اطلاعات
• تعیین و اعمال تدابیر امنیتی مناسب در خصوص محافظت از داده‌های مهم و اطلاعات کاربران در برابر نفوذ و سرقت اطلاعات
• پیاده‌سازی مکانیزم‌های مناسب برای تشخیص و جلوگیری از حملات DDoS و سایر حملات شبکه‌ای
• آموزش کارکنان در خصوص استفاده از تکنولوژی‌های امنیتی و تشخیص نفوذهای امنیتی
• بررسی و نظارت بر مسیرهای ارتباطی داده‌ها درون و بیرون سازمان
• تجهیز شبکه‌ها و سیستم‌های سازمان با تکنولوژی‌های امنیتی مناسب
• بررسی و نظارت بر فرآیندهای تصدیق هویت و احراز هویت کاربران در سیستم‌های سازمان
• ارزیابی و تجزیه و تحلیل ریسک‌های مربوط به استفاده از ابزارهای مبتنی بر ابر (Cloud) در سازمان
• تعیین و اعمال سطوح دسترسی مناسب برای کاربران سیستم‌های سازمان
• بررسی و نظارت بر اجرای فرآیندهای تهیه پشتیبان از داده‌های سازمان و حفظ امنیت آن‌ها
• تعیین و اعمال تدابیر امنیتی مناسب در خصوص محافظت از دسترسی کاربران غیرمجاز به داده‌های سازمان
• ارزیابی و تجزیه و تحلیل ریسک‌های مربوط به تأمین‌کنندگان و شرکت‌های خارجی سازمان در خصوص امنیت اطلاعات
• بررسی و نظارت بر استفاده از پروتکل‌های امنیتی در ارتباطات سازمان با شرکت‌های خارجی
• آموزش کارکنان در خصوص استفاده از رویه‌های مناسب برای پیشگیری از تهدیدات امنیتی
• بررسی و نظارت بر استفاده از ابزارهای کنترل دسترسی و مدیریت هویت و دسترسی
• ارزیابی و تجزیه و تحلیل ریسک‌های مربوط به انتقال داده‌ها درون و بیرون سازمان
• تعیین و اعمال سیاست‌های امنیتی مناسب در خصوص انتشار اطلاعات حساس
• تجهیز سیستم‌های سازمان با نرم‌افزارهای ضدویروس و آتش‌سوزی
• آموزش کارکنان در خصوص تشخیص و پیشگیری از حملات فیشینگ و سایر حملات مرتبط با امنیت اطلاعات
• بررسی و نظارت بر اجرای فرآیندهای بکاپ‌گیری و بازیابی داده‌ها در صورت بروز خطاهای امنیتی
• تعیین و اعمال تدابیر امنیتی مناسب برای پیشگیری از حملات نفوذی و سایر تهدیدات امنیتی
• بررسی و نظارت بر روند اجرای فرآیندهای ارتقای امنیت سیستم‌های سازمان
• ارزیابی و تجزیه و تحلیل ریسک‌های مربوط به ارتباطات شبکه‌ای با سایر شرکت‌ها و سازمان‌ها
• تعیین و اعمال سیاست‌های مناسب در خصوص استفاده از ابزارهای امنیتی در شبکه‌های بی‌سیم و دستگاه‌های متصل به آن‌ها
• تعیین و اعمال تدابیر امنیتی مناسب برای حفاظت از سیستم‌های کنترل صنعتی (ICS) و سیستم‌های SCADA در صنایع حیاتی
• بررسی و نظارت بر روند اجرای فرآیندهای مربوط به امنیت فیزیکی سازمان و محافظت از امنیت سخت‌افزاری و دستگاه‌های مخابراتی
• تعیین و اعمال سیاست‌های مناسب در خصوص استفاده از تجهیزات امنیتی مانند دوربین‌های مداربسته و سیستم‌های کنترل دسترسی در ساختمان‌ها و فضاهای داخلی سازمان
• ارزیابی و تجزیه و تحلیل ریسک‌های مربوط به استفاده از ابزارهای تحلیل و مانیتورینگ ترافیک شبکه
• تعیین و اعمال تدابیر امنیتی مناسب برای پیشگیری از حملات کسری و حملات دی داس (DDoS)
• بررسی و نظارت بر روند اجرای فرآیندهای مربوط به مدیریت رمزنگاری و امنیت اطلاعات حساس در سیستم‌های سازمان
• ارزیابی و تجزیه و تحلیل ریسک‌های مربوط به استفاده از پلتفرم‌های ابری و خدمات مبتنی بر اینترنت اشیا (IoT)
• تعیین و اعمال تدابیر امنیتی مناسب برای محافظت از اطلاعات محرمانه و حساس در سیستم‌های حسابداری و مالی سازمان
• بررسی و نظارت بر روند اجرای فرآیندهای مربوط به تست نفوذ و شناسایی ضعف‌های امنیتی در سیستم‌های سازمان
• ارزیابی و تجزیه و تحلیل ریسک‌های مربوط به استفاده از سرویس‌های پیام‌رسان و ارتباطی برای ارتباط داخلی و خارجی سازمان
• تعیین و اعمال تدابیر امنیتی مناسب برای محافظت از اطلاعات محرمانه و حساس در سیستم‌های مدیریت منابع انسانی (HRM)
• دفاع در عمق (Defense in Depth)
• استفاده از فایروال‌های شبکه و دستگاه‌های مانیتورینگ برای شناسایی و محدود کردن دسترسی نامناسب به منابع شبکه
• استفاده از سیستم‌های مانیتورینگ و حفاظت از نرم‌افزارهای سمت کاربر برای کاهش خطر حملات نرم‌افزاری
• استفاده از مکانیزم‌های شناسایی و جلوگیری از ارسال پست‌های اسپم در شبکه
• تعیین سطوح دسترسی و کنترل دسترسی برای کاربران و دستگاه‌ها در شبکه
• استفاده از شبکه‌های خصوصی مجازی (VPN) برای ارتباطات امن و ایمن در شبکه
• استفاده از فناوری‌های رمزنگاری جهت افزایش امنیت ارتباطات شبکه‌ای
• استفاده از سیستم‌های تشخیص تهدیدات (IDS) و جلوگیری از حملات از راه دور
• تعیین و تعمیم سیاست‌های امنیتی مناسب در سازمان
• Hardening
• به‌روزرسانی و نگهداری سیستم‌عامل‌ها و نرم‌افزارهای مورد استفاده
• بسته‌بندی و امنیت‌پایه‌گذاری محیط‌های اجرایی (Runtime Environments)
• غیرفعال‌سازی پورت‌های نامستقیم و غیرضروری در سیستم‌عامل
• تعیین و تعمیم سیاست‌های امنیتی برای ارتباطات شبکه‌ای
• استفاده از پیچیدگی‌های مختلف برای رمزنگاری اطلاعات حساس
• Penetration Testing
• انجام ارزیابی امنیتی دوره‌ای برای تشخیص ضعف‌های احتمالی در سیستم‌ها و شبکه‌های سازمان
• تست‌های شناسایی نفوذ برای تشخیص ضعف‌ها و نقاط ضعف در شبکه‌ها و سیستم‌ها
• تست سوءاستفاده از دسترسی‌های نامناسب و تست سوءاستفاده از دسترسی‌های مدیریتی
• تست توانمندی مقابله با حملات فیزیکی مانند حملات دسترسی فیزیکی به دستگاه‌ها و تجهیزات سیستمی
• تست‌های امنیتی در سطح برنامه‌نویسی برای تشخیص ضعف‌های امنیتی در کد‌های نرم‌افزاری
• تست‌های امنیتی در سطح سیستم عامل برای تشخیص ضعف‌های امنیتی در پیکربندی سیستم عامل
• تست‌های امنیتی در سطح شبکه‌ای برای تشخیص ضعف‌های امنیتی در تنظیمات شبکه و پروتکل‌های ارتباطی
• تست‌های فرازمینی و بررسی امنیت در بستر ابری (Cloud) و محیط‌های مجازی سازی (Virtualization)
• گزارش‌دهی به سازمان در مورد نقاط ضعف و معرفی راهکارهایی برای بهبود امنیت سیستم‌ها و شبکه‌ها
• ورود به صفحه انگلیسی