برخی اصطلاحات حوزه مدیریت امنيت اطلاعات و شبکه

IMP: IMP یا Information Management Policy :
(سیاست مدیریت اطلاعات)، یک مجموعه از قوانین، رویه‌ها، راهنماها و مشخصات فنی است که به منظور حفاظت از اطلاعات حساس یک سازمان در نظر گرفته می‌شود. سیاست مدیریت اطلاعات باید به طور مشترک توسط تیم‌های مختلف در سازمان بکار گرفته شود و باید شامل مواردی از جمله مجوزهای دسترسی به اطلاعات، حریم خصوصی، پشتیبانی از قوانین و مقررات مربوط به حفاظت از اطلاعات و مدیریت ریسک باشد.

BCM: BCM یا Business Continuity Management :
(مدیریت پایداری کسب و کار)، یک فرآیند است که برای تضمین اینکه یک سازمان در مواجهه با حوادث ناگوار قادر به ادامه فعالیت خود باشد، طراحی و پیاده‌سازی می‌شود. مدیریت پایداری کسب و کار باید شامل یک برنامه اضطراری، تعیین و آزمون نقاط ضعف و تهیه برنامه‌های برگشت به حالت عادی بعد از بروز حادثه باشد.

RTP: RTP یا Real-Time Protection :
(حفاظت در زمان واقعی)، به تکنولوژی و راهکارهایی اشاره دارد که به منظور محافظت از سیستم‌های کامپیوتری در برابر تهدیدات امنیتی در زمان واقعی استفاده می‌شوند. این راهکارها شامل آنتی‌ویروس، جاسوس‌افزار، فایروال و سایر ابزارهای حفاظتی هستند که به صورت پیوسته اطلاعات سیستم را بررسی کرده و در صورت شناسایی تهدید، به صورت فوری آن را مسدود می‌کنند.

RPU: RPU یا Risk Prevention Unit :
(واحد پیشگیری از ریسک)، یک واحد در سازمان است که به منظور تشخیص، ارزیابی و کنترل ریسک‌های مربوط به امنیت سایبری در سازمان فعالیت می‌کند. این واحد معمولاً شامل تیم‌هایی از جمله تحلیل‌گران امنیتی، مدیران امنیتی، کارشناسان ریسک، کارشناسان تحلیل‌گرانی امنیتی و فریم‌ورک‌های امنیتی مختلف است که در مجموع با هدف تشخیص ریسک‌های احتمالی، طراحی و اجرای راهکارهای حفاظتی و بهبود سیستم امنیتی در سازمان فعالیت می‌کنند.

RTU: RTU یا Real-Time Updates :
(به‌روزرسانی در زمان واقعی)، به به‌روزرسانی‌هایی اشاره دارد که در زمان واقعی برای نرم‌افزارهای حفاظتی مانند آنتی‌ویروس، فایروال و سایر ابزارهای حفاظتی صورت می‌گیرد. به‌روزرسانی در زمان واقعی معمولاً به منظور اضافه کردن نرم‌افزارهای جدید، رفع باگ‌ها و مشکلات امنیتی، بهبود عملکرد و تضمین کیفیت و تمایل به مسدود کردن تهدیدات جدید استفاده می‌شود. این به‌روزرسانی‌ها باید به صورت مداوم و برای جلوگیری از بروز تهدیدات جدید و تحولات امنیتی صورت گیرد.

سطح خطر Minor/Major :
در حوزه مدیریت امنیت سایبری، اصطلاحات "Minor" و "Major" به عنوان دو نوع رتبه‌بندی برای خطرات و آسیب‌پذیری‌ها استفاده می‌شوند. در ادامه توضیحاتی درباره هر یک ارائه شده است:

Minor:
معمولاً به عنوان یک خطر کم‌ریسک در نظر گرفته می‌شود. چنین خطراتی ممکن است برای سازمان‌هایی که در معرض حملات سایبری هستند، قابل توجه باشد، اما احتمال بروز خسارت جدی از آن‌ها کمتر است. به‌عنوان مثال، یک خطای کوچک در یک برنامه ممکن است به کاربران مجاز، دسترسی بیشتری از آن‌چه که قرار است داشته باشند، بدهد، اما این خطر باعث به‌خطر افتادن امنیت سازمان نمی‌شود.

Major:
این خطرات بسیار خطرناک و قابل توجه هستند و ممکن است به سازمان و کاربران مختلف آسیب جدی برسانند. به‌طور کلی، این خطرات شامل آسیب‌هایی هستند که برای محافظت از اطلاعات و سیستم‌های حساس، باید فوراً برطرف شوند. به‌عنوان مثال، افشای اطلاعات حساس مشتریان، سرقت از حساب‌های بانکی، کنترل کامپیوترهای سازمان توسط هکرها، ویروس‌های خطرناک و... می‌توانند به‌عنوان خطرات جدی و major در نظر گرفته شوند.

در کل، هرچقدر خطر و آسیب‌پذیری برای سیستم و اطلاعات حساس بیشتر باشد، رتبه‌بندی خطر به عنوان Major قرار می‌گیرد. به‌عنوان مثال، اگر یک خطای کوچک باعث افشای اطلاعات حساس شود، این خطر به عنوان Major در نظر گرفته می‌شود، زیرا به‌طور جدی به امنیت سازمان آسیب می‌زند و می‌تواند باعث از دست رفتن اعتماد مشتریان، خسارت‌های مالی و حتی از دست دادن فرصت‌های تجاری شود.

در هر صورت، این موارد نمونه‌ای از خطراتی هستند که باید به‌طور جدی مورد بررسی و تحلیل قرار گیرند و تدابیر لازم برای کاهش خطرات و به‌درستی مدیریت امنیت سایبری گرفته شود. این تدابیر می‌تواند شامل پیاده‌سازی سیستم‌های امنیتی پیشرفته، رعایت استانداردهای امنیتی، برگزاری دوره‌های آموزشی و آگاهی‌بخشی به کارکنان، ایجاد یک برنامه پیشگیری و برنامه‌ریزی برای بروز خطرات و بحران‌های امنیتی و غیره باشد.

امنیت اطلاعات: Defence in depth :
در حوزه مدیریت امنیت اطلاعات، عبارت "Defence in depth" به مجموعه‌ای از راهکارها و رویکردهای امنیتی اطلاق می‌شود که هدف آن‌ها تقویت امنیت سیستم‌ها و حفاظت از اطلاعات محرمانه است. این رویکرد با تمرکز بر پیشگیری از نفوذ و حملات، اقدام به تقویت دفاع‌های سیستمی و مبارزه با حملات مخرب است.

یکی از روش‌های اعمال Defence in depth، Hardening است. Hardening به معنی تقویت و افزایش امنیت سیستم‌ها است. برای این کار، مدیران امنیت اطلاعات باید به تکلیف خود بپردازند تا ضعف‌های امنیتی موجود در سیستم را شناسایی کنند و در برابر آن‌ها اقداماتی راه‌اندازی کنند. به عنوان مثال، انجام به‌روزرسانی‌های امنیتی، استفاده از پسوردهای قوی، تنظیمات دسترسی مناسب برای کاربران، ایجاد فایروال‌های قوی و محدودیت دسترسی به سرویس‌ها و برنامه‌هایی که از آن‌ها استفاده می‌شود.

در حالتی که Hardening به صورت کامل اعمال شود، سیستم به گونه‌ای تقویت می‌شود که در مقابل حملات نفوذ و جنایات سایبری مقاومت داشته باشد. به‌طور کلی، رویکردهای Defence in depth و Hardening برای ارتقای امنیت سیستم‌ها و محافظت از اطلاعات محرمانه بسیار مهم هستند.

در حوزه مدیریت امنیت اطلاعات، رویکرد "Defence in depth" به مجموعه‌ای از راهکارها و رویکردهای امنیتی اطلاق می‌شود که هدف آن‌ها تقویت امنیت سیستم‌ها و حفاظت از اطلاعات محرمانه است. این رویکرد به عنوان یک استراتژی برای پیشگیری از حملات سایبری و نفوذ به سیستم‌ها به کار گرفته می‌شود.

برای اعمال Defence in depth، باید به تکلیف خود پرداخت و تمامی ضعف‌های امنیتی موجود در سیستم را شناسایی کرد. این شناسایی می‌تواند به صورت انجام بازبینی امنیتی و یا استفاده از ابزارهای خاصی انجام شود. سپس باید برای هر یک از ضعف‌های شناسایی شده، اقداماتی راه‌اندازی شود تا بهترین دفاع‌های سیستمی را علیه آن‌ها اعمال کرد.

یکی از روش‌های اعمال Defence in depth، Hardening است. Hardening به معنی تقویت و افزایش امنیت سیستم‌ها است. در این روش، باید به دنبال شناسایی ضعف‌های سیستم و پیدا کردن راه‌حل‌های امنیتی برای آن‌ها باشید. این راه‌حل‌ها ممکن است شامل به‌روزرسانی‌های امنیتی، استفاده از پسوردهای قوی، تنظیمات دسترسی مناسب برای کاربران، ایجاد فایروال‌های قوی و محدودیت دسترسی به سرویس‌ها و برنامه‌هایی که از آن‌ها استفاده می‌شود باشد.

در حالتی که Hardening به صورت کامل اعمال شود، سیستم به گونه‌ای تقویت می‌شود که در مقابل حملات نفوذ و جنایات سایبری مقاومت داشته باشد. با این حال، توجه به این نکته که Hardening به تنهایی کافی نیست و برای دفاع از سیستم‌ها در برابر حملات سایبری، باید از سایر روش‌های امنیتی نیز استفاده کرد. به عنوان مثال، راه‌اندازی فایروال‌های قوی، تنظیمات امنیتی صحیح برای سیستم‌عامل و نرم‌افزارها، راه‌اندازی سیستم‌های حفاظت از دسترسی‌های نامناسب و محدودیت دسترسی کاربران به منابع حساس، ممکن است مورد استفاده قرار بگیرند.

در کل، برای اعمال Defence in depth و Hardening، باید به شناسایی و تجزیه و تحلیل تهدیدات امنیتی موجود در سیستم‌ها پرداخته و سپس به کارگیری تمامی راهکارهای امنیتی مناسب برای مقابله با این تهدیدات اقدام کرد. همچنین، در نظر داشته باشید که این رویکردها به تنهایی قابلیت دفاع از سیستم‌های اطلاعاتی را تضمین نمی‌کنند و بهتر است همیشه در حال بررسی و بهبود امنیت سیستم‌ها باشید تا در مقابل حملات سایبری مقاومت داشته باشید.

امنیت اطلاعات و استانداردها :

CIS:
مرکز امنیتی شرکت‌ها (Center for Internet Security) یک سازمان غیرانتفاعی است که به منظور تقویت امنیت اطلاعات و شبکه‌ها ایجاد شده است. CIS یکی از منابع اصلی برای استانداردهای امنیتی، دستورالعمل‌ها و راهکارهای پیشرفته امنیتی در صنعت IT است. CIS به شرکت‌ها و سازمان‌ها در حفاظت از اطلاعات، شبکه‌ها و سیستم‌های خود کمک می‌کند.

IG:
راهنمایی امنیت اطلاعات (Information Governance) مجموعه‌ای از فرآیندها، استانداردها و اصول است که برای مدیریت و حفاظت از اطلاعات سازمانی مورد استفاده قرار می‌گیرد. IG به مدیران کمک می‌کند تا بهترین راهکارها برای محافظت از اطلاعات حساس سازمان خود را پیاده‌سازی کنند.

ISM3:
چارچوب مدیریت امنیت اطلاعات (Information Security Management System) یکی از اصلی‌ترین استانداردهای مربوط به امنیت اطلاعات است. این چارچوب، رویکرد سیستماتیک به مدیریت امنیت اطلاعات را در سازمان‌ها برای حفاظت از اطلاعات حساس به کار می‌گیرد.

CSIRT:
تیم پاسخگویی به حملات امنیتی (Computer Security Incident Response Team) مسئولیت پاسخگویی به حملات امنیتی در یک سازمان را بر عهده دارد. این تیم از پرسنل فنی و امنیتی تشکیل شده است که با استفاده از فناوری‌ها و روش‌های مختلف، برای شناسایی و رفع تهدیدات امنیتی در سازمان تلاش می‌کنند.

SMP :
مخفف "Security Management Plan" است که یک سند مهم در حوزه مدیریت امنیت اطلاعات می‌باشد. این سند شامل راهبردها، سیاست‌ها، رویه‌ها و تدابیر امنیتی است که برای مدیریت امنیت اطلاعات در سازمان‌ها و شرکت‌ها ایجاد می‌شود.

SMP :
به عنوان یک سند برای مدیریت امنیت اطلاعات، به بیان دقیقی از سیاست‌ها و اقدامات امنیتی مورد نیاز در سطح سازمان و همچنین تعیین مسئولیت‌های مربوط به مدیریت امنیت اطلاعات کمک می‌کند. همچنین این سند، می‌تواند به عنوان یک ابزار برای ارزیابی میزان پیشرفت سازمان در مدیریت امنیت اطلاعات استفاده شود و در صورت نیاز، به روز رسانی شود.

ساختن یک SMP باعث می‌شود تا سازمان بتواند برنامه‌های موثری برای مدیریت امنیت اطلاعات خود داشته باشد و به دنبال حفاظت از اطلاعات حساس خود در مقابل تهدیدات امنیتی باشد. این سند، همچنین به مدیران اطلاعات کمک می‌کند تا به دقت و بهبود مدیریت امنیت اطلاعات در سازمان خود بپردازند.

ROOT CAST:
مدل تهدیدات امنیتی (Risk Oriented Threat Modeling for Cyber Security) یک فرآیند سیستماتیک برای تحلیل تهدیدات امنیتی در سیستم‌های IT است. ROOT CAST از یک مدل تهدید مبتنی بر ریشه استفاده می‌کند که به شناسایی تهدیدات و آسیب‌پذیری‌های امنیتی در سیستم کمک می‌کند.

از آنجایی که امنیت اطلاعات برای سازمان‌ها بسیار حائز اهمیت است، استفاده از این استانداردها و چارچوب‌های مدیریت امنیت اطلاعات می‌تواند بهبود محافظت از اطلاعات و جلوگیری از حملات امنیتی را فراهم کند.

Information Security Management Levels:

سطوح IG ، ISM و ISM3 در مدل های بلوغ مدیریت امنیت اطلاعات به شرح زیر است:

IG (Information Governance):
این سطح به مدیریت اطلاعات سازمان اشاره دارد. مدیریت اطلاعات شامل مدیریت دوره حیات اطلاعات ، حفظ کنترل دسترسی ، حفظ حریم خصوصی و تضمین تطابق با مقررات و قوانین مربوط به حفاظت اطلاعات می باشد.

IG
یا Information Governance به مجموعه فرآیندها و استراتژی‌هایی گفته می‌شود که برای مدیریت و حفاظت از اطلاعات سازمان اعمال می‌شود. این شامل مدیریت دوره حیات اطلاعات، حفظ کنترل دسترسی، حفظ حریم خصوصی و تضمین تطابق با مقررات و قوانین مربوط به حفاظت اطلاعات می‌باشد.

به عنوان مثال، IG شامل استراتژی‌هایی مانند ارائه آموزش و آگاهی به کارکنان در مورد مدیریت اطلاعات و رفتارهای امنیتی، تعیین نقش و مسئولیت‌های مدیریتی و ایجاد یک فرایند برای بررسی توافق‌نامه‌های شرکت با شرکای تجاری و شناسایی و حذف اطلاعات غیرضروری می‌شود.

یکی از الزامات اساسی برای به دست آوردن سطح بالاتر در بلوغ IG، تضمین تطابق با قوانین و مقررات حفاظت اطلاعات است. برای این منظور، سازمان‌ها باید یک سیاست حفاظت اطلاعات راه‌اندازی کنند که به‌طور کامل با قوانین و مقررات حفاظت اطلاعات، مانند GDPR یا CCPA، تطابق داشته باشد. همچنین باید یک فرآیند برای پیشگیری از نفوذ و حملات سایبری ایجاد کنند.

به علاوه، سازمان‌ها باید تلاش کنند که تمامی اطلاعاتی که در اختیار دارند را مدیریت کنند و اطمینان حاصل کنند که تمامی اطلاعات محرمانه و مهم به‌صورت امن نگهداری می‌شود. همچنین باید یک فرآیند برای کنترل دسترسی به اطلاعات ایجاد شود تا فقط کاربران مجاز به دسترسی به اطلاعات حساس و مهم باشند.

در ارتباط با IG، دیگر الزامات شامل:
ایجاد یک سیاست حفاظت اطلاعات: یک سیاست حفاظت اطلاعات، شامل مجموعه‌ای از قوانین و رهنمودهایی است که مربوط به مدیریت اطلاعات و حفاظت از آن‌ها است. این سیاست شامل نقش و مسئولیت‌های کارکنان، مجوزهای دسترسی و نظارت بر دسترسی‌ها، رویه‌های ایمنی، استفاده از رمزنگاری، حفظ حریم خصوصی و بسیاری دیگر است.

تعیین نقش و مسئولیت‌های مدیریتی: برای داشتن یک سیستم IG کامل و کارآمد، نقش و مسئولیت‌های مدیریتی باید مشخص شوند. مدیران باید مطمئن شوند که هر کارکنان در سازمان نقش و مسئولیت‌های خاص خود را دارند و همچنین با سیاست‌ها و رویه‌های سازمان آشنایی دارند.

آموزش و آگاهی: مهمترین عامل در موفقیت سیستم IG، آگاهی و آموزش کارکنان درباره‌ی اهمیت حفاظت اطلاعات است. کارکنان باید آموزش داده شوند که چگونه به‌صورت امن اطلاعات را مدیریت کنند و چگونه به‌صورت صحیح با تهدیدات امنیتی روبرو شوند.

ایجاد یک فرایند بررسی توافق‌نامه‌های شرکت با شرکای تجاری: شرکای تجاری می‌توانند دسترسی به اطلاعات سازمان شما را داشته باشند، بنابراین باید یک فرایند برای بررسی توافق‌نامه‌های شرکت با شرکای تجاری ایجاد شود تا مطمئن شوید که اطلاعات شما به‌صورت امن در دسترس شرکای تجاری‌تان قرار می‌گیرد. این فرایند باید شامل مراحلی مانند مذاکره و تعیین شرایط و ضوابط دقیق از همکاری با شرکای تجاری باشد. علاوه بر این، اهمیت حفظ حریم خصوصی و امنیت اطلاعات باید در نظر گرفته شود و باید توافق‌نامه‌ها به گونه‌ای تدوین شوند که اطلاعات حساس محافظت شود و مفاد امنیتی و حریم خصوصی در آن‌ها درج شود. همچنین، باید مکانیزم‌هایی برای رصد و ارزیابی عملکرد شرکای تجاری در اطلاعاتی که به آن‌ها ارائه می‌شود، فراهم شود تا از رفتارهای نامناسب یا نقض توافق‌نامه‌ها جلوگیری شود. این اقدامات می‌توانند به تضمین امنیت و محرمانگی اطلاعات سازمان کمک کنند و ریسک‌های احتمالی را کاهش دهند.

این سطح IG همچنین باید به نکاتی دیگر هم توجه کند که شامل موارد زیر می‌شوند:
مدیریت ریسک: باید مطمئن شوید که ریسک‌های مرتبط با حفاظت اطلاعات سازمان شناسایی و مدیریت شوند. باید یک طرح مدیریت ریسک ایجاد شود تا بتوان به‌صورت فعال در برابر تهدیدات امنیتی و خطرات حفاظت اطلاعات عمل کرد.

مدیریت دوره حیات اطلاعات: همه اطلاعات سازمانی در طول دوره حیات خود، از تولید تا حذف، مورد نظر IG قرار می‌گیرد. باید یک سیستم مدیریت دوره حیات اطلاعات ایجاد شود که شامل رویه‌هایی برای نگهداری، حفظ و حذف اطلاعات می‌شود.

تضمین تطابق با مقررات: IG باید به‌صورت فعال با مقررات و قوانین مربوط به حفاظت اطلاعات مطابقت داشته باشد. این می‌تواند شامل قوانین حریم خصوصی، قوانین امنیتی و سایر قوانین مربوط به مدیریت اطلاعات باشد.

ایجاد یک فرایند بررسی امنیتی: باید یک فرایند بررسی امنیتی ایجاد شود تا بتوان به‌صورت دوره‌ای به بررسی امنیت اطلاعات پرداخت. این شامل بررسی دسترسی‌ها، تهدیدات امنیتی جدید و تغییرات محیطی است.

به‌طور کلی، IG نیازمند توجه به مدیریت اطلاعات سازمان است تا بتوان به‌صورت کامل از اطلاعات سازمان محافظت کرد و تأمین کرد که سازمان با مقررات و قوانین مربوطه مطابقت دارد. البته برای رسیدن به سطح بالاتر در بلوغ IG، باید به مواردزیر توجه شود:

مدیریت داده‌ها: IG باید به مدیریت داده‌ها نیز توجه داشته باشد. این شامل مواردی مانند جمع‌آوری، نگهداری، حفظ، دسترسی و استفاده از داده‌های سازمانی است. باید سیاست‌های مناسبی برای مدیریت داده‌های سازمانی ایجاد شود تا بتوان از اطلاعات سازمان به بهترین شکل استفاده کرد.

توسعه فرهنگ امنیتی: IG نیازمند توسعه فرهنگ امنیتی در سازمان است. باید کارکنان آموزش داده شوند که چگونه با اطلاعات سازمانی برخورد کنند و اطمینان حاصل کنند که اطلاعات سازمانی را به بهترین شکل حفاظت می‌کنند.

مدیریت ارتباطات: IG باید به مدیریت ارتباطات نیز توجه داشته باشد. باید روی روابط با مشتریان، شرکای تجاری و دیگر موجودیت‌ها تمرکز کرد تا اطمینان حاصل شود که اطلاعات سازمانی در معرض خطر قرار ندارد.

مدیریت تغییرات: IG نیازمند مدیریت تغییرات است تا بتوان به‌صورت کامل از هرگونه تغییر در محیط سازمانی مطلع شد. باید یک فرایند مدیریت تغییرات ایجاد شود تا بتوان به بهترین شکل ممکن با تغییرات سازمانی مواجه شد.

به‌طور خلاصه، سطح IG شامل مدیریت اطلاعات سازمانی است که باید به‌صورت کامل از اطلاعات سازمان محافظت کرده و به مقررات و قوانین مربوطه مطابقت داشته باشد.

سطح بالاتر در بلوغ IG شامل موارد زیر است:
تجمیع داده‌ها: باید بتوان داده‌های مختلف را در سطح سازمان جمع‌آوری کرد و به بهترین شکل استفاده کرد. این شامل اطلاعات مشتریان، پرونده‌های پزشکی و سایر اطلاعات مربوط به سازمان است.

تعیین مسئولیت: باید مسئولیت‌های مربوط به مدیریت اطلاعات در سازمان تعیین شود و باید کارکنان آموزش داده شوند که چگونه با اطلاعات سازمانی برخورد کنند.

ارزیابی ریسک: باید ریسک‌های مربوط به مدیریت اطلاعات در سازمان ارزیابی شود و برای هر ریسک، باید برنامه‌های اقدامی تدوین شود.

تضمین تطابق با مقررات: باید تضمین شود که سازمان به تمامی مقررات و قوانین مربوط به حفاظت اطلاعات پایبند است.

مدیریت امنیت اطلاعات: باید از مواردی مانند رمزگذاری، پشتیبانی، تست نفوذ و پروتکل‌های امنیتی استفاده شود تا به بهترین شکل ممکن از اطلاعات سازمانی محافظت شود.

رصد و تحلیل: باید از روش‌هایی مانند رصد، تحلیل و پیش‌بینی استفاده شود تا بهترین شکل ممکن از اطلاعات سازمانی محافظت شود.

مدیریت خدمات شبکه: باید از مواردی مانند مدیریت دسترسی، رصد، ردگیری و کنترل استفاده شود تا به بهترین شکل ممکن از اطلاعات سازمانی محافظت شود.

برنامه‌ریزی پیشگیرانه: باید برنامه‌هایی برای پیشگیری از هرگونه تهدیدی که به اطلاعات سازمانی وارد می‌شود، ایجاد شود. باید برنامه‌هایی برای مواجهه با تهدیدات احتمالی مانند بلک‌اوت، حملات سایبری و فاش شدن اطلاعات حساس، تدوین شود.

مدیریت مستندات: باید برای مدیریت و نگهداری اطلاعات مستندات مناسبی تدوین شود تا به بهترین شکل ممکن از اطلاعات سازمانی محافظت شود.

پشتیبانی و بازیابی اطلاعات: باید برنامه‌هایی برای پشتیبانی و بازیابی اطلاعات در صورت بروز مشکل، تدوین شود.

آموزش و پرورش: باید کارکنان سازمان به بهترین شکل ممکن در زمینه مدیریت اطلاعات، امنیت اطلاعات و مقررات حفاظت اطلاعات آموزش داده شوند.

مدیریت روابط با سازمان‌های خارجی: باید روابط با سازمان‌های خارجی که داده‌های سازمان را در اختیار دارند، مدیریت شود تا به بهترین شکل ممکن از اطلاعات سازمانی محافظت شود.

اجرای برنامه‌های امنیتی: باید برنامه‌های امنیتی تدوین شده را به بهترین شکل ممکن اجرا کرد تا به بهترین شکل ممکن از اطلاعات سازمانی محافظت شود.

ارزیابی و مدیریت تهدیدات: باید به طور مداوم تهدیدات امنیتی را ارزیابی کرد و برنامه‌های اقدامی برای مدیریت هرگونه تهدیدی که به اطلاعات سازمانی وارد می‌شود، تدوین شود.

با پیشرفت فناوری و اهمیت بیشتر اطلاعات در سازمان‌ها، IG به عنوان یک مفهوم مهم و ضروری در مدیریت اطلاعات سازمانی مطرح شده است. بنابراین، سطح بالاتر از IG شامل سیستم مدیریت امنیت اطلاعات (Information Security Management System - ISMS) می‌شود که شامل مفاهیم مربوط به امنیت اطلاعات، ارزیابی ریسک و مدیریت ریسک، مدیریت حوادث، مدیریت مستندات و آموزش و پرورش می‌شود.

ISMS
شامل استانداردهایی مانند ISO 27001 است که مربوط به مدیریت امنیت اطلاعات است. این استاندارد شامل چارچوبی برای مدیریت امنیت اطلاعات است که شامل سیاست‌ها، رویه‌ها، روش‌ها، فرآیندها، سازوکارها، مستندات و سیستم‌های امنیتی است. هدف اصلی این استاندارد، حفظ محرمانی، صحت، دسترسی پذیری، تمامیت و قابلیت اطمینان اطلاعات است.

به طور خلاصه، IG و ISMS هر دو به مدیریت اطلاعات سازمانی مرتبط هستند، اما IG متمرکز بر مدیریت اطلاعات در کلیت سازمان است، در حالی که ISMS متمرکز بر مدیریت امنیت اطلاعات و حفاظت از آن‌ها است. ISMS از مفاهیم IG استفاده می‌کند، اما چارچوبی جامع‌تر و جزئیات بیشتری را برای مدیریت امنیت اطلاعات در اختیار قرار می‌دهد. در نتیجه، بهتر است سازمان‌ها هر دو مفهوم IG و ISMS را به صورت جداگانه بررسی و در نظر بگیرند و برنامه‌های مدیریت اطلاعات خود را براساس هر دو سطح ارتقا دهند.

ISM (Information Security Management):
این سطح به مدیریت امنیت اطلاعات سازمان اشاره دارد. این شامل مدیریت ریسک های امنیتی، تعیین استانداردهای امنیتی، ایجاد سیاست ها و رویه های امنیتی ، اجرای آنها و ارزیابی اثربخشی آنها می باشد.

ISM3 (Information Security Management Maturity Model):
این سطح به بلوغ سیستم مدیریت امنیت اطلاعات سازمان اشاره دارد. این شامل ارزیابی روند بلوغ سیستم مدیریت امنیت اطلاعات ، تعیین سطوح مختلف بلوغ ، تعیین اهداف بلوغ و ارزیابی عملکرد سیستم مدیریت امنیت اطلاعات است.

ISM3 Cybersecurity Model :
ISM3
یک مدل بلوغ امنیت سایبری است که در استرالیا توسعه داده شده است و در بسیاری از سازمان های دولتی و خصوصی در این کشور استفاده می شود. این مدل شامل 18 عنصر اساسی است که شامل تعریف استانداردها، سیاست ها، رویه ها، فرایندها، راهنماها و ترجیحات برای مدیریت امنیت سایبری در یک سازمان می باشد.

عناصر اساسی مدل بلوغ امنیت سایبری ISM3 عبارتند از:
مدیریت ریسک: این بخش شامل ارزیابی ریسک، تعیین اولویت ها، تعیین کنترل های امنیتی و مدیریت ریسک های موجود در سازمان می باشد.
سیاست ها و استانداردها: این بخش شامل تدوین سیاست ها و استانداردهای امنیتی برای سازمان است.
آموزش و آگاهی: این بخش شامل آموزش و آگاهی کارکنان در خصوص امنیت سایبری می باشد.
مدیریت هویت و دسترسی: این بخش شامل تعیین سطح دسترسی کاربران و مدیریت هویت آنها است.
مدیریت رویدادها و اطلاعات: این بخش شامل مدیریت رویدادها و اطلاعات و بررسی امنیت اطلاعات در سازمان است.
مدیریت زیرساخت ها و فناوری اطلاعات: این بخش شامل مدیریت زیرساخت ها و فناوری اطلاعات سازمان است.
مدیریت عملیاتی: این بخش شامل مدیریت عملیاتی سازمان و اطمینان از امنیت آن می باشد.
مدیریت روابط با شرکای کسب و کار: این بخش شامل تعیین و مدیریت امنیت در رابطه با شرکای کسب و کار است.
مدیریت تهدیدات: این بخش شامل تعیین و بررسی تهدیدات امنیتی برای سازمان و اعمال کنترل های امنیتی است.
حفاظت از اطلاعات: این بخش شامل محافظت از اطلاعات حساس و محرمانه سازمان است.
مدیریت خدمات و ارتباطات: این بخش شامل مدیریت خدمات و ارتباطات سازمان و اعمال کنترل های امنیتی است.
مدیریت حوادث و مشکلات: این بخش شامل مدیریت حوادث و مشکلات امنیتی و اتخاذ تدابیر لازم برای جلوگیری از وقوع آنها در آینده است.
امنیت فیزیکی: این بخش شامل مدیریت امنیت فیزیکی و محافظت از دارایی های فیزیکی سازمان است.
مدیریت خدمات ابری: این بخش شامل مدیریت خدمات ابری و اعمال کنترل های امنیتی در این زمینه است.
مدیریت تجهیزات: این بخش شامل مدیریت تجهیزات و انجام عملیات بهینه سازی و پشتیبانی از آنها است.
مدیریت مالی: این بخش شامل مدیریت مالی و اعمال کنترل های امنیتی در این زمینه است.
مدیریت پروژه: این بخش شامل مدیریت پروژه و اعمال کنترل های امنیتی در این زمینه است.
حاکمیت و مدیریت: این بخش شامل حاکمیت و مدیریت سازمان و اعمال کنترل های امنیتی است.

در کل، مدل بلوغ امنیت سایبری ISM3 یک چارچوب جامع برای مدیریت امنیت سایبری در سازمان ها است که شامل تمامی جنبه های مربوط به امنیت سایبری می باشد. با استفاده از این مدل، سازمان می تواند میزان بلوغ امنیتی خود را بسنجد و عملیات امنیتی خود را بهبود بخشد. همچنین، این مدل به سازمان ها کمک می کند تا از طریق تعیین تهدیدات و مدیریت آنها، بهبود قابل ملاحظه ای در مدیریت ریسک های امنیتی داشته باشند.

علاوه بر این، با استفاده از ISM3، سازمان ها می توانند برای رفع نواقص امنیتی خود، راهکارهایی را برای توسعه و بهینه سازی سیاست ها، فرآیندها و فناوری های امنیتی پیاده کنند. همچنین، این مدل به سازمان ها کمک می کند تا با توجه به تغییرات در محیط امنیتی و تهدیدات جدید، از جمله تهدیدات سایبری ناشناخته، از مستندات و روش های بروزرسانی شده و به روز شده استفاده کنند.

در نهایت، این مدل به سازمان ها کمک می کند تا به دنبال داشتن یک سیاست و استراتژی مشخص برای امنیت سایبری باشند و در نتیجه، سطح اعتماد مشتریان، کارکنان و جامعه را نسبت به سازمان افزایش دهند.

تعیین سطح با استفاده از CIA (Confidentiality, Integrity, Availability) در مدیریت امنیت اطلاعات به این معنی است که در هر شرایطی که با موجودیت اطلاعات مواجه شویم، می بایست در مورد سطح حفاظت مورد نیاز برای محافظت از امنیت اطلاعات تصمیم گیری کنیم. این سطوح شامل موارد زیر هستند:

Confidentiality:
حفاظت از محرمانگی اطلاعات می باشد و مشخص می کند که اطلاعات تنها برای افرادی قابل دسترسی هستند که مجوز دسترسی دارند.

Integrity:
حفاظت از صحت و درستی اطلاعات می باشد و مشخص میکند که اطلاعات تحریف نشده و به صورت درست و قابل اطمینان هستند.

Availability:
حفاظت از قابلیت دسترسی اطلاعات می باشد و مشخص می کند که اطلاعات در هر زمانی که نیاز باشد برای افراد مجاز قابل دسترسی هستند.

ارزیابی دارایی ها و طبقه‌بندی آنها در مدیریت امنیت اطلاعات به تفکیک شرح زیر است:
ارزیابی دارایی ها: به معنای شناسایی اطلاعات و دارایی های سازمان می باشد و بررسی می کند که این دارایی ها در چه میزانی برای سازمان ارزش دارند و چه میزانی از امنیت آنها نیازمند حفاظت هستند.

طبقه‌بندی ارزیابی دارایی ها: این شامل تقسیم بندی دارایی ها به دسته های مختلفی می باشد تا بر اساس مهمیت و نیازمندی های حفاظتی مختلف آنها را مدیریت کند. برای مثال، می توان اطلاعات را به دو دسته حساس و غیرحساس تقسیم کرد.

ارزیابی کیفی و گزارش کمی در حوزه مدیریت امنیت اطلاعات به تفکیک شرح زیر است:
ارزیابی کیفی: به معنای بررسی کیفیت سیستم ها، فرآیندها و رویه های مدیریت امنیت اطلاعات است. برای این کار، استانداردهای امنیتی را مورد بررسی قرار داده و ارزیابی می کند که آیا سیستم امنیتی سازمان به این استانداردها پاسخ می دهد یا خیر.

گزارش کمی: این شامل شمارش و ارزیابی تعداد حملات امنیتی، شکایات کاربران و دیگر موارد مشابه است. برای این کار، از ابزارهایی مثلی مانند سیستم های شناسایی نفوذ (Intrusion Detection System)، سیستم های مدیریت رویداد (Event Management Systems)، سیستم های پیامدهای امنیتی (Security Information and Event Management)، نرم افزارهای شناسایی و حذف بدافزار (Malware Detection and Removal Software) و سایر ابزارهای مرتبط استفاده می شود. برای کاهش خطرات امنیتی و بهبود امنیت شبکه و اطلاعات، باید از این گزارشات استفاده کرد و تغییرات لازم را ایجاد کرد. به این منظور، نیاز است که سیاست ها، رویه ها و فرآیندهای مرتبط با امنیت اطلاعات و شبکه به روز رسانی شده و بازنگری شوند.

در مورد بهداشت سایبری در حوزه مدیریت امنیت اطلاعات:
بهداشت سایبری به مجموعه‌ای از روش‌ها و راهکارهای امنیتی گفته می‌شود که برای جلوگیری از حملات سایبری و محافظت از اطلاعات محرمانه و حساس به کار می‌روند.

بهداشت سایبری شامل مواردی از جمله ارتقای سطح امنیت شبکه‌ها و سیستم‌های اطلاعاتی، استفاده از رمزنگاری، تعیین دسترسی‌های کاربران، پشتیبانی از نرم‌افزارهای ضد ویروس و فایروال و غیره می‌شود.

در مورد سطوح محرمانگی در حوزه مدیریت امنیت اطلاعات:
سطوح محرمانگی اطلاعات به مجموعه‌ای از رده‌بندی‌هایی گفته می‌شود که به داده‌ها، اطلاعات و سیستم‌های اطلاعاتی اختصاص داده می‌شود تا از نظر محرمانگی و حساسیت، بر اساس میزان خطر، سطح امنیتی اعمال گردد.

سطوح محرمانگی اطلاعات به صورت زیر دسته‌بندی می‌شوند:
اطلاعات عمومی: اطلاعاتی که عموماً در دسترس عموم قرار می‌گیرند و بدون نیاز به محرمانگی و امنیت خاص قابل ارائه و یا به اشتراک گذاری هستند.

اطلاعات داخلی: اطلاعاتی که باید به کارمندان و نیروهای داخل سازمان ارائه شود و در اختیار آن‌ها قرار گیرند ولی نباید به اشخاص خارج از سازمان منتشر شوند.

اطلاعات محرمانه: اطلاعاتی که با محرمانگی ویژه‌ای همراه هستند و در صورت فاش شدن می‌توانند باعث آسیب جدی به سازمان یا افراد مرتبط شوند، به عنوان اطلاعات محرمانه شناخته می‌شوند. این نوع اطلاعات معمولاً شامل اسناد مالی محرمانه، اطلاعات مربوط به تحقیقات و توسعه، اطلاعات مربوط به مشتریان و تأمین‌کنندگان، سیاست‌ها و رویه‌های داخلی، و هر گونه اطلاعاتی که در دسترس عموم نباید باشند، می‌شوند. حفظ محرمانگی اطلاعات مهم برای امنیت و پایداری سازمان بسیار حیاتی است و نیاز به اقدامات مدیریتی و فنی مناسب دارد تا از دسترسی غیرمجاز و نفوذ به این اطلاعات جلوگیری شود.

QA (Quality Assurance):
یک فرآیند سیستماتیک است که به کمک آن، می‌توان عملکرد یک سیستم یا فرآیند را با استفاده از استانداردها و رویه‌های مشخص، ارزیابی و بهبود بخشید. در حوزه مدیریت امنیت اطلاعات، QA می‌تواند به ارزیابی و بهبود فرآیندها، سیستم‌ها و سرویس‌های امنیتی مرتبط با مدیریت امنیت اطلاعات کمک کند.

CSF (Cybersecurity Framework):
یک چارچوب سیستماتیک برای مدیریت ریسک‌های سایبری است که توسط NIST (National Institute of Standards and Technology) آمریکا تدوین شده است. این چارچوب شامل یک مجموعه ابزار و فرآیندهای استاندارد برای تعیین، پیشگیری، مدیریت، و پاسخ به ریسک‌های سایبری در سازمان‌ها می‌شود.

ISFW (Integrated Security Firewall):
نوعی فایروال است که به کمک آن می‌توان بستر شبکه‌ای یک سازمان را در برابر تهدیدات سایبری محافظت کرد. این نوع فایروال قابلیت محافظت از سرویس‌های شبکه‌ای مانند وب، پست الکترونیکی، FTP، و DNS را داراست.

NGFW (Next Generation Firewall):
نوعی فایروال پیشرفته است که در برابر تهدیدات سایبری پیچیده و پیشرفته مانند malware، هکرها و botnets محافظت می‌کند. این نوع فایروال با استفاده از تکنولوژی‌های مانند DPI (Deep Packet Inspection)، IPS (Intrusion Prevention System) و SSL Inspection به کنترل و پیشگیری از حملات سایبری کمک می‌کند.

انواع ممیزی‌های حوزه مدیریت امنیت اطلاعات: ممیزی‌هایی که در حوزه مدیریت امنیت اطلاعات صورت می‌گیرند عبارتند از:
در مورد انواع ممیزی‌های حوزه مدیریت امنیت اطلاعات:
ممیزی داخلی (Internal Audit): این نوع ممیزی توسط بخش داخلی یک سازمان انجام می‌شود و هدف آن ارزیابی روند، روش‌ها و فرایندهای داخلی سازمان است. این نوع ممیزی به همراه پیشنهاداتی برای بهبود فرآیندهای داخلی همراه است.

ممیزی خارجی (External Audit): این نوع ممیزی توسط شرکت‌هایی از قبیل شرکت‌های حسابرسی انجام می‌شود و هدف آن بررسی صحت و سقم حسابداری، عملکرد و موضوعات مربوط به امنیت اطلاعات سازمان است.

ممیزی توسعه نرم‌افزار (Software Development Audit): این نوع ممیزی برای بررسی فرآیندهای توسعه نرم‌افزارهای امن انجام می‌شود و هدف آن اطمینان حاصل کردن از رعایت نرم‌افزارهای مربوط به امنیت در هنگام توسعه نرم‌افزار است.

ممیزی تست نفوذ (Penetration Testing Audit): در این نوع ممیزی، یک شرکت تخصصی از داخل و خارج سازمان مشخص می‌شود تا به عنوان مهاجم وارد سیستم شود و سعی کند در سیستم به دنبال آسیب‌پذیری‌ها و ضعف‌های امنیتی باشد.

ممیزی امنیت سایبری (Cybersecurity Audit): این نوع ممیزی برای بررسی راهکارهای امنیت سایبری انجام می‌شود و هدف آن بررسی عملکرد سیستم‌های امنیتی در مقابل تهدیدات سایبری است.

ممیزی تجهیزات شبکه (Network Equipment Audit): این نوع ممیزی برای بررسی تجهیزات شبکه و دستگاه‌های امنیتی استفاده می‌شود تا اطمینان حاصل شود که تجهیزات شبکه و دستگاه‌های امنیتی مورد استفاده در شبکه، به درستی پیکربندی و مدیریت شده‌اند و هیچ گونه آسیب‌پذیری امنیتی در آن‌ها وجود ندارد. در این نوع ممیزی، نیاز است تا تمامی تجهیزات شبکه و دستگاه‌های امنیتی مورد بررسی قرار گیرند و از این طریق می‌توان امنیت شبکه را بهبود داد و خطرات احتمالی را کاهش داد. ممیزی تجهیزات شبکه شامل بررسی پیکربندی درست تجهیزات شبکه، بررسی تنظیمات امنیتی در دستگاه‌های امنیتی، بررسی اعتبارسنجی هویت در تجهیزات شبکه و بررسی دسترسی و کنترل دسترسی به تجهیزات شبکه می‌شود.

انواع ممیزی های حوزه مدیریت امنیت اطلاعات:
ممیزی داخلی (Internal Audit): این نوع ممیزی توسط افرادی انجام می‌شود که در سازمان مشغول به کار هستند و به هیچ وجه در فرآیند مورد ممیزی شرکت نداشته‌اند. این نوع ممیزی برای بررسی پایبندی به استانداردها، قوانین و سیاست‌های سازمان انجام می‌شود و به هدف افزایش بهره‌وری و کاهش ریسک‌های احتمالی صورت می‌گیرد.

ممیزی خارجی (External Audit): این نوع ممیزی توسط شرکت‌های حسابرسی انجام می‌شود که مستقل از سازمان هستند و با هدف ارزیابی صحت و درستی صورت‌های مالی و عملکرد سازمان انجام می‌شود.

ممیزی توسط سازمان‌های تخصصی (Specialized Audit): این نوع ممیزی توسط سازمان‌هایی انجام می‌شود که در حوزه‌های مختلف متخصص هستند و به عنوان مثال ممیزی امنیتی، ممیزی فناوری اطلاعات و غیره را انجام می‌دهند.

ممیزی امنیتی (Security Audit): این نوع ممیزی به هدف ارزیابی نقاط ضعف و قوت در سیستم‌های امنیتی سازمان انجام می‌شود و معمولاً توسط افراد متخصص در حوزه امنیت انجام می‌گیرد.

ممیزی شبکه (Network Audit): این نوع ممیزی برای بررسی تجهیزات شبکه و دستگاه‌های امنیتی اعمال می‌شود. در این نوع ممیزی، تمام تجهیزات شبکه از جمله روترها، سوئیچ‌ها، فایروال‌ها، سرورهای مجازی و دستگاه‌های امنیتی مانند IDS/IPS و نرم‌افزارهای ضد ویروس بررسی می‌شوند. هدف اصلی این نوع ممیزی، اطمینان حاصل کردن از اینکه تجهیزات شبکه به درستی کانفیگ شده‌اند و برای محافظت از امنیت شبکه و داده‌های حساس کاربردی هستند.

در ممیزی تجهیزات شبکه، از ابزارهایی مانند پورت‌اسکنرها، بررسی نقاط ضعف سیستم‌عامل، مانیتورینگ ترافیک شبکه، بررسی دسترسی‌های اشتباه و ابزارهای شنود شبکه استفاده می‌شود. با این ابزارها، ممکن است به جایگاه تجهیزات شبکه در شبکه، نحوه کانفیگ آنها، وضعیت نرم‌افزارهای آنها، کارکرد سرویس‌های اجرا شده روی آنها و ترافیک شبکه دسترسی داشته باشیم.

نتایج این ممیزی باید شامل گزارشی در مورد نقاط ضعف پیدا شده و توصیه‌هایی برای رفع آنها باشد. در صورتی که نقاط ضعف شناسایی شده در تجهیزات شبکه رفع نشوند، می‌توانند امنیت شبکه را تهدید کنند و برای حملات به شبکه آسیب‌پذیری فراهم کنند.

ممیزی رفتاری (Behavioral Audit): در این نوع ممیزی، به بررسی رفتار کاربران و دسترسی‌های آنها به اطلاعات می‌پردازیم. به این صورت که با بررسی فعالیت‌ها و دسترسی‌های کاربران، سعی می‌کنیم تشخیص دهیم که آیا فعالیتی غیرمجاز در شبکه وجود دارد یا خیر.

ممیزی فنی (Technical Audit): در این نوع ممیزی، به بررسی تکنولوژی‌های مورد استفاده در شبکه و دستگاه‌های امنیتی می‌پردازیم. به عنوان مثال، بررسی تنظیمات روترها و سوئیچ‌ها، امنیت پروتکل‌های مختلف، مانیتورینگ شبکه و ...

ممیزی فرآیندی (Process Audit): در این نوع ممیزی، به بررسی فرآیندهایی که در شبکه و دستگاه‌های امنیتی اجرا می‌شوند، می‌پردازیم. به عنوان مثال، بررسی فرآیند Backup و Restore، بررسی فرآیند Patch Management و ...

ممیزی سیستم‌های اطلاعاتی (Information Systems Audit): در این نوع ممیزی، به بررسی سیستم‌های اطلاعاتی موجود در سازمان، از جمله سیستم‌های حسابداری و مالی، می‌پردازیم. در این نوع ممیزی، سعی می‌شود تا اطمینان حاصل شود که اطلاعات مالی سازمان درست و صحیح است و از دسترسی غیرمجاز به آنها جلوگیری شود.

ممیزی فیزیکی (Physical Audit): این نوع ممیزی برای بررسی امنیت فیزیکی و ساختاری ساختمان، محل دفتر کار، مراکز داده و اتاق‌های سرور است. این ممیزی شامل بررسی نظام‌های کنترل دسترسی، سیستم‌های حفاظتی، اتاق سرور، رفتار کارکنان و محل نگهداری اطلاعات است. اهداف این ممیزی شامل ارزیابی میزان رعایت استانداردهای فیزیکی و امنیتی، تأیید رعایت سیاست‌های امنیتی، بررسی میزان رعایت سیاست‌های کنترل دسترسی و تأیید صحت و سقم تجهیزات امنیتی و حفاظتی می‌باشد.

ممیزی عملیاتی (Operational Audit): این نوع ممیزی برای بررسی تمامی فرآیندها و عملکردهای مربوط به امنیت اطلاعات است. این شامل بررسی سیاست‌ها و رویه‌ها، بررسی نظام‌های کنترل دسترسی، مرور مدیریت تنظیمات و سیستم‌های امنیتی و بررسی آسیب‌پذیری‌های امنیتی است. اهداف این نوع ممیزی شامل تأیید اطمینان از اینکه سیاست‌ها و رویه‌های امنیتی مطابق با استانداردهای معتبر هستند، ارزیابی عملکرد سیستم‌های امنیتی و تأیید صحت و سقم سیستم‌های امنیتی می‌باشد.

ممیزی ارزش افزوده (Value-added Audit): این نوع ممیزی برای ارزیابی میزان ارزش افزوده‌ای است که امنیت اطلاعات به سازمان می‌دهد. این شامل بررسی رویه‌ها، ارزیابی ابزارهای امنیتی و بررسی اهداف بلوغ در حوزه امنیت اطلاعات است.

بررسی پایداری و عملکرد نرم‌افزارها و سیستم‌های امنیتی (Security System Audit): این نوع ممیزی برای بررسی پایداری و عملکرد صحیح نرم‌افزارها و سیستم‌های امنیتی مورد استفاده قرار می‌گیرد. در این نوع ممیزی، ممکن است بررسی‌هایی در زمینه امنیت نرم‌افزار، پشتیبانی، عیب‌یابی و پایداری انجام شود. همچنین، از تست‌های امنیتی مختلفی مانند تست نفوذ، تست حمله، تست ردیابی و تست آسیب‌پذیری نیز در این نوع ممیزی استفاده می‌شود.

بررسی رفتار کاربران (User Behavior Audit): این نوع ممیزی برای بررسی رفتار و عملکرد کاربران سیستم‌های امنیتی و شبکه مورد استفاده قرار می‌گیرد. در این نوع ممیزی، ممکن است بررسی‌هایی در زمینه تحلیل لاگ‌ها، بررسی سطح دسترسی کاربران، بررسی پروتکل‌های ارتباطی و بررسی رفتار کاربران در شبکه انجام شود.

بررسی توافق نامه سطح سرویس (SLA Audit): این نوع ممیزی برای بررسی توافق نامه سطح سرویس (SLA) بین ارائه‌دهنده خدمات امنیتی و مشتریان آن استفاده می‌شود. در این نوع ممیزی، بررسی‌هایی در زمینه پایبندی به قرارداد SLA، بررسی تعهدات ارائه‌دهنده خدمات، بررسی روند ارائه خدمات و بررسی رفع مشکلات انجام می‌شود.

ممیزی تجهیزات امنیتی (Security Equipment Audit): این نوع ممیزی برای بررسی عملکرد و پایداری تجهیزات امنیتی مانند فایروال‌ها، سیستم‌های تشخیص نفوذ، دوربین‌های مداربسته، و سیستم‌های کنترل دسترسی به کار می‌رود. این ممیزی نیازمند ارزیابی دقیقی از عملکرد این تجهیزات به عنوان بخشی اساسی از مدیریت امنیت سازمان است. در این ممیزی، تجهیزات امنیتی برای تعمیرات و به‌روزرسانی‌های لازم بررسی می‌شوند تا از کارکرد صحیح آن‌ها اطمینان حاصل شود. همچنین، باید مشکلات احتمالی در تجهیزات مورد بررسی شناسایی و برطرف شوند و تازه‌ترین پیشرفت‌های فناوری امنیتی در نظر گرفته شود. این اقدامات می‌توانند به تضمین امنیت سیستم‌های اطلاعاتی سازمان و مقابله با تهدیدات امنیتی کمک کنند.

برای ارزیابی کیفی و گزارش کمی در حوزه مدیریت امنیت اطلاعات، روش‌های مختلفی وجود دارد که به تفکیک در زیر تشریح شده‌اند:

۱. روش کیفی: در این روش، عملکرد سیستم‌ها و فرایندهای امنیت اطلاعات با استفاده از استانداردها، معیارها و راهنماهای قابل قبول برای صنعت، مورد بررسی قرار می‌گیرد. این روش از سوالات باز و مصاحبه با کاربران و مدیران، بررسی مستندات و گزارش‌های دیگر، بررسی روش‌های عملیاتی و تست‌های امنیتی، بررسی عملکرد و تاثیر تغییرات و به‌روزرسانی‌ها و تحلیل اطلاعات تولید شده از نتایج تست‌های امنیتی استفاده می‌کند.

۲. روش کمی: در این روش، عملکرد امنیت اطلاعات به صورت عددی ارزیابی می‌شود. این روش از معیارها، نرم‌افزارها و روش‌های تحلیل آماری برای جمع‌آوری و پردازش داده‌های مورد نیاز استفاده می‌کند. به طور مثال، برای ارزیابی میزان تأثیر یک حمله به سیستم، از معیارهایی مانند زمان برای شناسایی حمله، زمان برای محدود کردن آسیب و زمان برای بازیابی سیستم استفاده می‌شود.

در کل، برای ارزیابی کیفی و گزارش کمی در حوزه مدیریت امنیت اطلاعات، می‌توان از هر دو روش کیفی و کمی استفاده کرد تا نتایج بهتری به دست آیند.

برای مدیریت امنیت اطلاعات، می‌توان از ابزارها و فرایندهای مختلفی استفاده کرد. در این بخش، به تفکیک موضوعات، مفاهیم و ابزارهایی که در حوزه مدیریت امنیت اطلاعات مورد استفاده قرار می‌گیرند را شرح خواهیم داد:

مفهوم کارت امنیتی (Security Token) و کاربرد آن در مدیریت امنیت اطلاعات: کارت امنیتی یا Security Token یک دستگاه کوچک الکترونیکی است که برای شناسایی و احراز هویت کاربران استفاده می‌شود. این دستگاه‌ها معمولاً از فناوری‌های مختلفی مانند کد‌دهی دو عاملی (Two-factor authentication)، کارت هوشمند (Smart card) و یا تشخیص اثر انگشت (Fingerprint recognition) استفاده می‌کنند. کاربرد این دستگاه‌ها در مدیریت امنیت اطلاعات، افزایش سطح امنیتی در دسترسی به اطلاعات و کاهش خطراتی همچون دسترسی غیرمجاز، سرقت هویت و تقلب است.

مفهوم و کاربرد فایروال (Firewall) در مدیریت امنیت اطلاعات: فایروال یک نوع نرم‌افزار یا سخت‌افزار است که برای کنترل دسترسی به شبکه و ارائه سرویس‌های امنیتی استفاده می‌شود. این دستگاه‌ها قابلیت تشخیص و جلوگیری از حملات شبکه‌ای همچون کرم (Worm)، ویروس (Virus)، تروجان (Trojan) و ... را دارند. فایروال به عنوان یکی از اصلی‌ترین ابزارهای امنیتی در شبکه‌های کامپیوتری به شمار می‌رود.

مفهوم و کاربرد سیستم‌های تشخیص نفوذ (Intrusion Detection Systems) در مدیریت امنیت اطلاعات: سیستم‌های تشخیص نفوذ در حوزه مدیریت امنیت اطلاعات به عنوان یکی از ابزارهای موثر برای تشخیص و پیشگیری از حملات سایبری به سیستم‌ها و شبکه‌های کامپیوتری استفاده می‌شوند. این سیستم‌ها به منظور تشخیص نفوذ هایی که به صورت غیرمجاز و با هدف دسترسی به اطلاعات محرمانه و یا تخریب و نابودی داده‌های موجود در سیستم‌ها و شبکه‌ها انجام می‌شوند، طراحی و پیاده‌سازی می‌شوند. با استفاده از تحلیل و بررسی الگوهای دسترسی، ترافیک شبکه و داده‌های ورودی و خروجی، این سیستم‌ها به عنوان یک ابزار موثر در پیشگیری و شناسایی حملات سایبری و جلوگیری از وقوع آنها عمل می‌کنند. در نتیجه، استفاده از سیستم‌های تشخیص نفوذ در مدیریت امنیت اطلاعات برای حفاظت از امنیت و حریم شخصی افراد و سازمان‌ها بسیار حائز اهمیت است.

UTM یا Unified Threat Management :
به معنی مدیریت تهدیدات یکپارچه است و به دستگاه‌هایی گفته می‌شود که در آنها ترکیبی از امنیت شبکه، دیواره آتش، ضد ویروس، محتوای امن، نظارت بر رفتار وب، فیلترینگ محتوای وب، مدیریت باند‌پهنا و سیاست‌های امنیتی پیکربندی شده‌اند. با داشتن چنین دستگاهی، مدیران شبکه قادر به پوشش دادن موارد امنیتی مختلفی از جمله بی‌سیستمی‌های مربوط به شبکه، نفوذگرها، ضعف‌های امنیتی، تهدیدات ویروسی و نرم‌افزاری، بررسی دسترسی‌های نامتعارف و سایر تهدیدات به مدارک و داده‌های حساس شرکت و سازمان خود هستند.

DLP یا Data Loss Prevention :
به معنای پیشگیری از از دست رفتن داده‌های مهم است. DLP به سیستم‌هایی گفته می‌شود که برای جلوگیری از دست رفتن واقعی یا پتانسیلی اطلاعات حساس استفاده می‌شود. برای انجام این کار، DLP شامل تکنولوژی‌هایی مانند فیلترینگ اطلاعات، رمزگذاری داده‌ها، کنترل دسترسی، مانیتورینگ رفتار کاربران، و یا ترکیبی از آنها است. با استفاده از DLP، سازمان‌ها می‌توانند مسیرهای خروجی اطلاعات را مشخص کنند و در صورت نیاز، عملیات را متوقف کرده و یا داده‌ها را رمزگذاری کنند. این فناوری به شرکت‌ها کمک می‌کند تا اطلاعات حساس خود را در برابر افرادی که نباید آنها به آن دسترسی داشته باشند، محافظت کنند.

NDA :
یا قرارداد عدم افشای اطلاعات (Non-Disclosure Agreement)، یک قرارداد حقوقی بین دو طرف است که در آن توافق می‌کنند که اطلاعات محرمانه و حساسی که یک طرف به دیگری می‌دهد، مخفی و محرمانه نگه داشته شود و طرف دیگر نباید این اطلاعات را به افراد ثالث فاش کند.

این نوع قرارداد‌ها در حوزه مدیریت امنیت اطلاعات بسیار مهم هستند، زیرا کمک می‌کنند تا اطلاعات حساس شرکت‌ها و سازمان‌ها را در برابر دسترسی غیرمجاز نگه دارند و از فساد اداری و سوء استفاده از اطلاعات جلوگیری کنند.

اطلاعاتی که ممکن است در یک NDA در بخش مدیریت امنیت اطلاعات قرار داده شوند، می‌تواند شامل موارد زیر باشد:
اطلاعات مربوط به محصولات، فرآیندها، و تکنولوژی‌های شرکت
اطلاعات مالی و مالکیتی شرکت
اطلاعات مربوط به مشتریان و شریکان تجاری شرکت
اطلاعاتی که باید در حفظ حریم شخصی شرکت یا کارکنانش باشد.

NDA :
می‌تواند به صورت دوطرفه یا چندطرفه باشد و ممکن است شامل تعهدات مالی باشد که در صورت نقض قرارداد، برای تحقق صدمات پیش‌بینی شده، طرف متخلف به پرداخت غرامت ملزم می‌شود.

در کل، NDA (توافق‌نامه عدم افشای اطلاعات) یک ابزار قانونی مهم است که به شرکت‌ها و سازمان‌ها کمک می‌کند تا اطلاعات حساس خود را در برابر دسترسی غیرمجاز نگه دارند و برای حفظ حقوق خود در قبال نقض این قرارداد، قابل اجرا باشند. این توافق‌نامه‌ها معمولاً شامل شرایط و مفادی می‌شوند که محدودیت‌های مشخصی بر دسترسی و افشای اطلاعات تعیین می‌کنند. از جمله تعهد به حفظ محرمیت و عدم افشای اطلاعات به اشخاص یا سازمان‌های ثالث، مدت زمان اعتبار توافق‌نامه، و تبعات قانونی در صورت نقض. این ابزار حیاتی برای حفظ محرمیت و امنیت اطلاعات در معاملات تجاری و همکاری‌های مختلف می‌باشد و باید با دقت و صحیح تدوین و اجرا گردد.

از نکات مهم در مورد NDA این است که باید به دقت آن را تهیه و اجرا کرد و مطمئن شد که تمام شرایط و جزئیات قرارداد به درستی تعریف شده‌اند. برخی از مواردی که در یک NDA باید مشخص شوند عبارت‌اند از:

اطلاعاتی که به طرف دیگر ارائه می‌شود چه نوع اطلاعاتی هستند؟
مدت زمانی که این اطلاعات باید محرمانه باقی بمانند چیست؟
چه شرایطی در صورت نقض قرارداد برای طرف متخلف اعمال می‌شود؟
آیا این قرارداد قابل انتقال به شخص دیگری است؟
آیا قرارداد ممکن است به صورت زیر پیمان به کار گرفته شود؟
آیا این قرارداد شامل همه شرایط و تعهدات دو طرف است؟
به طور کلی، NDA یک ابزار بسیار مهم است که به شرکت‌ها و سازمان‌ها کمک می‌کند تا از اطلاعات حساس و محرمانه خود در برابر دسترسی غیرمجاز محافظت کنند و از فساد اداری و سوء استفاده از اطلاعات جلوگیری کنند. همچنین، اجرای درست و دقیق یک NDA می‌تواند به شرکت‌ها کمک کند تا روابط خود با شرکای تجاری و مشتریان را برای مدت طولانی‌تر و بهتر حفظ کنند.

ورود به صفحه انگلیسی