آموزش جامع مدیریت امنیت اطلاعات

ISMS:
ISMS (سیستم مدیریت امنیت اطلاعات) یک چارچوبی است که مجموعه‌ای از سیاست‌ها، فرآیندها، و رویه‌ها را برای مدیریت امنیت اطلاعات سازمان فراهم می‌کند. این سیستم به محافظت از اطلاعات و کاهش ریسک‌های امنیتی کمک می‌کند.
مثال:
شرکت‌ها برای اطمینان از امنیت اطلاعات حساس خود، از ISMS برای ارزیابی و مدیریت ریسک‌های امنیتی استفاده می‌کنند.

ISMS Controllers:
ISMS Controllers (کنترل‌کننده‌های سیستم مدیریت امنیت اطلاعات) عناصری از ISMS هستند که وظیفه پیاده‌سازی و مدیریت اقدامات و سیاست‌های امنیتی را در سازمان دارند. این کنترل‌کننده‌ها شامل فرآیندها، رویه‌ها، ابزارها، و افراد مسئول برای محافظت از اطلاعات سازمان می‌شوند.
مثال:
در یک سازمان، ISMS Controllers می‌توانند شامل استفاده از نرم‌افزارهای امنیتی، انجام ممیزی‌های امنیتی، و آموزش کارکنان در زمینه امنیت اطلاعات باشند.

Plan-Do-Check-Act (PDCA):
PDCA (برنامه‌ریزی-انجام-بررسی-اقدام) یک مدل مدیریتی است که به عنوان یک ابزار بهبود مستمر استفاده می‌شود. این مدل به سازمان‌ها کمک می‌کند تا فرآیندها و محصولات خود را بهبود بخشند و از خطاها جلوگیری کنند.
مثال:
در یک پروژه بهبود کیفیت، تیم پروژه ممکن است از PDCA برای شناسایی مشکلات، برنامه‌ریزی اقدامات اصلاحی، اجرا، بررسی نتایج، و سپس اقدام به بهبود بیشتر استفاده کند.

BCP:
BCP (برنامه تداوم کسب‌وکار) یک برنامه استراتژیک است که سازمان‌ها برای تضمین ادامه فعالیت‌های حیاتی در صورت وقوع بحران‌ها یا اختلالات ایجاد می‌کنند. BCP شامل فرآیندها و رویه‌هایی است که به منظور بازیابی و ادامه عملیات‌های حیاتی بعد از وقوع وقایع غیرمترقبه طراحی شده‌اند.
مثال:
یک شرکت ممکن است یک BCP داشته باشد که شامل رویه‌هایی برای انتقال عملیات به یک مکان پشتیبان و بازیابی داده‌ها در صورت بروز زلزله باشد.

DRP:
DRP (برنامه بازیابی از فاجعه) مجموعه‌ای از رویه‌ها و دستورالعمل‌هایی است که سازمان‌ها برای بازیابی و بازگرداندن سیستم‌ها و داده‌های حیاتی خود پس از وقوع یک فاجعه استفاده می‌کنند. DRP به سازمان‌ها کمک می‌کند تا پس از وقوع حوادثی مانند بلایای طبیعی، حملات سایبری یا خرابی‌های فنی، به سرعت به حالت عادی بازگردند.
مثال:
یک شرکت ممکن است یک DRP داشته باشد که شامل پشتیبان‌گیری منظم از داده‌ها و تعیین یک تیم واکنش سریع برای مدیریت بحران‌های فناوری اطلاعات باشد.

Information Technology (IT):
IT (فناوری اطلاعات) به استفاده از کامپیوترها، شبکه‌ها، ذخیره‌سازی و سایر تجهیزات و فرآیندها برای ایجاد، پردازش، ذخیره‌سازی، امن‌سازی و تبادل تمام انواع اطلاعات اشاره دارد. IT یکی از ارکان اساسی در مدیریت و عملیات سازمان‌های مدرن است.
مثال:
واحد IT یک شرکت مسئول نگهداری و مدیریت سرورها، شبکه‌ها، و نرم‌افزارهای سازمانی است.

Operational Technology (OT):
OT (فناوری عملیاتی) به استفاده از سخت‌افزار و نرم‌افزار برای کنترل و نظارت بر دستگاه‌ها و فرایندهای فیزیکی در صنایع مختلف مانند تولید، انرژی و حمل‌ونقل اشاره دارد. OT به مدیریت و بهینه‌سازی عملکردهای صنعتی کمک می‌کند.
مثال:
در یک کارخانه، سیستم‌های OT برای کنترل خطوط تولید و نظارت بر عملکرد دستگاه‌ها استفاده می‌شوند.

Industrial Internet Of Things (IIOT):
IIOT (اینترنت اشیا صنعتی) استفاده از فناوری‌های IoT در بخش‌های صنعتی و تولیدی است. IIOT از سنسورها و دستگاه‌های هوشمند برای جمع‌آوری و تحلیل داده‌ها جهت بهبود کارایی و کاهش هزینه‌ها استفاده می‌کند.
مثال:
در یک کارخانه، سنسورهای IIOT می‌توانند داده‌های مربوط به عملکرد ماشین‌آلات را جمع‌آوری کرده و به تحلیل‌گرها برای بهبود بهره‌وری ارسال کنند.

Internet of Things (IOT):
IOT (اینترنت اشیا) به شبکه‌ای از دستگاه‌های فیزیکی اشاره دارد که به اینترنت متصل هستند و قادر به جمع‌آوری و تبادل داده‌ها می‌باشند. این دستگاه‌ها می‌توانند شامل وسایل خانگی هوشمند، خودروها، دستگاه‌های پوشیدنی و غیره باشند.
مثال:
یک سیستم روشنایی هوشمند خانگی که از طریق تلفن همراه کنترل می‌شود، نمونه‌ای از کاربردهای IOT است.

Information and Communications Technology (ICT):
ICT (فناوری اطلاعات و ارتباطات) به مجموعه‌ای از فناوری‌های مختلف برای پردازش، ذخیره‌سازی، بازیابی و انتقال اطلاعات اشاره دارد. ICT شامل کامپیوترها، اینترنت، سیستم‌های ارتباطی و دستگاه‌های دیجیتال است.
مثال:
آموزش آنلاین از طریق پلتفرم‌های دیجیتال نمونه‌ای از کاربردهای ICT در حوزه آموزش است.

The Cybersecurity Capability Maturity Model (C2M2):
C2M2 (مدل بلوغ قابلیت امنیت سایبری) یک چارچوب برای ارزیابی و بهبود عملکردهای امنیت سایبری سازمان‌ها است. این مدل به سازمان‌ها کمک می‌کند تا قابلیت‌های امنیت سایبری خود را اندازه‌گیری و تقویت کنند، و به شناخت نقاط ضعف و برنامه‌ریزی برای بهبود آن‌ها بپردازند.
مثال:
یک شرکت می‌تواند از C2M2 برای ارزیابی سطح فعلی آمادگی امنیت سایبری خود و برنامه‌ریزی برای بهبود اقدامات حفاظتی استفاده کند.

Confidentiality, Integrity, Availability (CIA) Security Triangle:
CIA (مثلث امنیتی محرمانگی، یکپارچگی، دسترس‌پذیری) یک مدل اساسی در امنیت اطلاعات است که سه اصل اساسی را برای حفاظت از داده‌ها و سیستم‌های اطلاعاتی تعریف می‌کند. این اصول عبارتند از:
- Confidentiality (محرمانگی): حفاظت از اطلاعات در برابر دسترسی غیرمجاز.
- Integrity (یکپارچگی): حفظ دقت و کامل بودن اطلاعات و جلوگیری از تغییرات غیرمجاز.
- Availability (دسترس‌پذیری): اطمینان از دسترس‌پذیری اطلاعات و سیستم‌ها برای کاربران مجاز در زمان نیاز.
مثال:
در یک سازمان، تدابیر امنیتی مانند رمزگذاری داده‌ها، احراز هویت کاربران، و سیستم‌های پشتیبان‌گیری به‌منظور محافظت از اصول CIA استفاده می‌شوند.

ISRM:
ISRM (مدیریت ریسک امنیت اطلاعات) فرآیندی است که سازمان‌ها برای شناسایی، ارزیابی، و کاهش ریسک‌های مرتبط با امنیت اطلاعات استفاده می‌کنند. هدف ISRM حفاظت از اطلاعات حساس و اطمینان از تداوم عملکردهای سازمان در برابر تهدیدات امنیتی است.
مثال:
یک سازمان ممکن است از ISRM برای ارزیابی نقاط ضعف در سیستم‌های امنیتی خود و پیاده‌سازی کنترل‌های مناسب برای کاهش ریسک‌های امنیتی استفاده کند.

Risk Assessment:
Risk Assessment (ارزیابی ریسک) فرآیندی است که برای شناسایی، ارزیابی، و تحلیل ریسک‌های احتمالی که می‌توانند بر اهداف یا عملیات یک سازمان تأثیر بگذارند، انجام می‌شود. هدف این فرآیند، فهم میزان و تأثیر این ریسک‌ها و کمک به تصمیم‌گیری در مورد اقدامات مدیریتی مناسب است.
مثال:
در یک پروژه فناوری اطلاعات، ارزیابی ریسک می‌تواند شامل شناسایی تهدیدات احتمالی مانند حملات سایبری و تحلیل تأثیر آن‌ها بر امنیت داده‌ها و عملیات پروژه باشد.

Risk Treatment:
Risk Treatment (مدیریت ریسک) فرآیندی است که شامل انتخاب و پیاده‌سازی اقدامات یا کنترل‌هایی برای کاهش، انتقال، پذیرش، یا اجتناب از ریسک‌های شناسایی‌شده است. هدف این فرآیند کاهش تأثیر منفی ریسک‌ها بر اهداف و عملیات سازمان است.
مثال:
اگر یک سازمان با خطراتی مانند حملات سایبری مواجه باشد، اقدامات درمانی می‌تواند شامل پیاده‌سازی سیستم‌های امنیتی پیشرفته، آموزش کارکنان در زمینه امنیت، یا خرید بیمه سایبری باشد.

Business Alignment:
Business Alignment (هم‌راستایی کسب‌وکار) به فرآیند هماهنگ کردن استراتژی‌ها، اهداف، و فعالیت‌های سازمانی با نیازها و اولویت‌های کسب‌وکار اشاره دارد. هدف این فرآیند اطمینان از این است که تمامی بخش‌های سازمان به طور هم‌راستا به سمت دستیابی به اهداف کلی کسب‌وکار حرکت کنند.
مثال:
اگر یک شرکت به دنبال افزایش سهم بازار خود است، هم‌راستایی کسب‌وکار ممکن است شامل هماهنگ کردن استراتژی‌های بازاریابی، توسعه محصول، و عملیات فروش با این هدف باشد.

Program Definition:
Program Definition (تعریف برنامه) به فرآیند تعیین و مستندسازی اهداف، دامنه، منابع، و نحوه اجرای یک برنامه در سازمان اشاره دارد. این فرآیند شامل شناسایی نیازهای کسب‌وکار، تدوین اهداف کلی، و تعریف روش‌ها و مراحل لازم برای دستیابی به این اهداف است.
مثال:
برای راه‌اندازی یک برنامه آموزشی جدید، تعریف برنامه ممکن است شامل مشخص کردن اهداف آموزشی، تعیین محتوا و منابع لازم، و برنامه‌ریزی برای ارزیابی اثربخشی آموزش باشد.

Metrics and Benchmarking:
Metrics and Benchmarking (معیارها و ارزیابی‌های مقایسه‌ای) به فرآیندهای اندازه‌گیری و مقایسه عملکرد سازمان‌ها یا پروژه‌ها بر اساس معیارهای مشخص و استانداردهای صنعتی اشاره دارد. معیارها (Metrics) به جمع‌آوری و تحلیل داده‌ها برای ارزیابی عملکرد کمک می‌کنند، در حالی که ارزیابی‌های مقایسه‌ای (Benchmarking) به مقایسه این عملکرد با بهترین‌های صنعت یا استانداردهای مشخص می‌پردازند.
مثال:
یک شرکت ممکن است برای ارزیابی کارایی فرآیندهای تولید خود از معیارهای مختلفی مانند سرعت تولید و کیفیت محصول استفاده کند و این عملکرد را با استانداردهای صنعتی یا رقبای اصلی مقایسه کند.

Implementation and Operation:
Implementation and Operation (پیاده‌سازی و عملیات) به فرآیندهای مربوط به پیاده‌سازی برنامه‌ها یا سیستم‌ها و سپس مدیریت و اجرای آن‌ها در محیط‌های واقعی اشاره دارد. پیاده‌سازی شامل نصب، تنظیم، و راه‌اندازی سیستم‌ها یا فرآیندهای جدید است، در حالی که عملیات به مدیریت روزمره و نگهداری این سیستم‌ها یا فرآیندها می‌پردازد تا عملکرد بهینه و پایدار آنها تضمین شود.
مثال:
در یک پروژه فناوری اطلاعات، پیاده‌سازی ممکن است شامل نصب نرم‌افزار و پیکربندی آن باشد، در حالی که عملیات شامل نظارت بر عملکرد سیستم، رفع مشکلات، و انجام به‌روزرسانی‌های منظم است.

Recover:
Recover (بازیابی) به فرآیند بازگشت به وضعیت عادی پس از وقوع یک اختلال یا فاجعه اشاره دارد. این شامل اقدامات برای بازسازی و احیای سیستم‌ها و داده‌ها به حالت پیش از بحران است.
مثال:
پس از یک حمله سایبری، بازیابی ممکن است شامل بازگرداندن داده‌ها از نسخه‌های پشتیبان و بازسازی سیستم‌های آسیب‌دیده باشد.

Respond:
Respond (پاسخ) به واکنش به یک حادثه یا تهدید به منظور کاهش آسیب و کنترل وضعیت اشاره دارد. این فرآیند شامل شناسایی، تحلیل، و رسیدگی به مشکلات به سرعت و به طور مؤثر است.
مثال:
در صورت وقوع یک نقض امنیتی، پاسخ ممکن است شامل اجرای پروتکل‌های امنیتی و اطلاع‌رسانی به تیم‌های مرتبط باشد.

Detect:
Detect (شناسایی) به فرآیند کشف و شناسایی تهدیدات، آسیب‌پذیری‌ها، یا مشکلات قبل از اینکه تأثیرات جدی بر عملکرد سازمان بگذارند، اشاره دارد.
مثال:
استفاده از ابزارهای نظارتی برای شناسایی فعالیت‌های غیرمعمول در شبکه یک روش برای شناسایی تهدیدات سایبری است.

Protect:
Protect (حفاظت) به اقداماتی اشاره دارد که به منظور جلوگیری از وقوع آسیب یا اختلال و تأمین امنیت سیستم‌ها و داده‌ها انجام می‌شود.
مثال:
پیاده‌سازی فایروال‌ها و رمزگذاری داده‌ها از جمله اقدامات حفاظتی است که برای حفظ امنیت اطلاعات انجام می‌شود.

Identify:
Identify (شناسایی) به فرآیند تعیین و تعریف دارایی‌ها، تهدیدات، و آسیب‌پذیری‌ها در سازمان اشاره دارد. این مرحله پایه‌ای برای مدیریت ریسک و امنیت است.
مثال:
شناسایی سیستم‌های حیاتی و دارایی‌های اطلاعاتی در یک سازمان به منظور ارزیابی و مدیریت ریسک‌ها انجام می‌شود.

Monitor:
Monitor (نظارت) به فرآیند پایش مداوم سیستم‌ها، شبکه‌ها، و فعالیت‌ها به منظور شناسایی مشکلات، تهدیدات، و عملکرد غیرعادی اشاره دارد.
مثال:
نظارت بر ترافیک شبکه و فعالیت‌های کاربران برای شناسایی حملات سایبری و مشکلات امنیتی از جمله فعالیت‌های نظارتی است.

Assess:
Assess (ارزیابی) به فرآیند تحلیل و ارزیابی وضعیت موجود برای تعیین نقاط قوت و ضعف، خطرات، و فرصت‌های بهبود اشاره دارد.
مثال:
ارزیابی ریسک‌های امنیتی برای شناسایی ضعف‌های موجود و توصیه‌های بهبود از جمله فعالیت‌های ارزیابی است.

Implement:
Implement (پیاده‌سازی) به فرآیند اجرایی کردن راهکارها، سیاست‌ها، و اقدامات طراحی‌شده به منظور بهبود عملکرد یا مدیریت ریسک‌ها اشاره دارد.
مثال:
پیاده‌سازی یک سیستم مدیریت امنیت اطلاعات جدید به منظور افزایش سطح امنیت سازمان یک نمونه از پیاده‌سازی است.

Select:
Select (انتخاب) به فرآیند انتخاب و تصمیم‌گیری درباره ابزارها، روش‌ها، یا راهکارهای مناسب برای برآورده کردن نیازهای خاص اشاره دارد.
مثال:
انتخاب نرم‌افزار امنیتی مناسب برای محافظت از داده‌ها و سیستم‌ها در برابر تهدیدات سایبری از جمله فرآیندهای انتخاب است.

Categorize:
Categorize (دسته‌بندی) به فرآیند گروه‌بندی و طبقه‌بندی دارایی‌ها، داده‌ها، یا مشکلات به دسته‌های مشخص برای مدیریت بهتر و تحلیل اشاره دارد.
مثال:
دسته‌بندی داده‌ها بر اساس حساسیت و اهمیت آن‌ها برای تعیین سطح دسترسی و سیاست‌های امنیتی مناسب یک نمونه از دسته‌بندی است.

Prepare:
Prepare (آماده‌سازی) به فرآیند آماده‌سازی و برنامه‌ریزی برای مواجهه با موقعیت‌ها یا مشکلات احتمالی به منظور کاهش تأثیرات منفی اشاره دارد.
مثال:
تهیه برنامه‌های آموزشی برای کارکنان در زمینه امنیت سایبری به منظور آماده‌سازی آن‌ها برای واکنش به تهدیدات امنیتی از جمله فعالیت‌های آماده‌سازی است.

Implementation and Operation:
Implementation and Operation (پیاده‌سازی و عملیات) به فرآیندهای مربوط به پیاده‌سازی برنامه‌ها یا سیستم‌ها و سپس مدیریت و اجرای آن‌ها در محیط‌های واقعی اشاره دارد. پیاده‌سازی شامل نصب، تنظیم، و راه‌اندازی سیستم‌ها یا فرآیندهای جدید است، در حالی که عملیات به مدیریت روزمره و نگهداری این سیستم‌ها یا فرآیندها می‌پردازد تا عملکرد بهینه و پایدار آنها تضمین شود.
مثال:
در یک پروژه فناوری اطلاعات، پیاده‌سازی ممکن است شامل نصب نرم‌افزار و پیکربندی آن باشد، در حالی که عملیات شامل نظارت بر عملکرد سیستم، رفع مشکلات، و انجام به‌روزرسانی‌های منظم است.

NIST:
NIST (موسسه ملی استانداردها و فناوری) یک سازمان دولتی ایالات متحده است که مسئول توسعه و ارائه استانداردها، راهنماها، و فناوری‌های مربوط به اندازه‌گیری، فناوری، و امنیت اطلاعات است. NIST نقش مهمی در تعیین بهترین شیوه‌ها و استانداردهای بین‌المللی در حوزه‌های مختلف، از جمله امنیت سایبری، ایفا می‌کند.
مثال:
استانداردهای امنیت سایبری NIST مانند NIST SP 800-53 به سازمان‌ها کمک می‌کند تا چارچوب‌هایی برای مدیریت و کاهش ریسک‌های امنیتی پیاده‌سازی کنند.

Roadmap:
Roadmap (نقشه راه) به برنامه‌ای استراتژیک و زمان‌بندی‌شده که اهداف، مراحل، و مراحل کلیدی یک پروژه، ابتکار، یا طرح را مشخص می‌کند. نقشه راه به عنوان یک راهنمای جامع برای دستیابی به اهداف بلندمدت و کوتاه‌مدت عمل می‌کند و روند پیشرفت را به وضوح ترسیم می‌کند.
مثال:
در توسعه نرم‌افزار، نقشه راه ممکن است شامل مراحل کلیدی مانند تحلیل نیازمندی‌ها، طراحی، پیاده‌سازی، و تست نرم‌افزار، همراه با زمان‌بندی و نقاط عطف مربوطه باشد.

Scope:
Scope (دامنه) به محدوده و حدود یک پروژه، برنامه، یا فعالیت اشاره دارد که شامل تمام فعالیت‌ها، وظایف، منابع، و نتایج مورد نیاز برای دستیابی به اهداف مشخص شده است. دامنه مشخص می‌کند که چه چیزهایی در پروژه گنجانده شده و چه چیزی خارج از محدوده آن است.
مثال:
در یک پروژه ساخت و ساز، دامنه ممکن است شامل طراحی، تأمین مصالح، ساخت، و بازبینی نهایی ساختمان باشد، در حالی که فعالیت‌های مربوط به طراحی محوطه‌سازی یا تأسیسات داخلی خارج از دامنه پروژه تعریف‌شده است.

Security Gap Analysis:
Security Gap Analysis (تحلیل شکاف‌های امنیتی) به فرآیند شناسایی و ارزیابی تفاوت‌ها بین وضعیت فعلی امنیت سیستم‌ها و داده‌ها و وضعیت مطلوب یا استانداردهای امنیتی اشاره دارد. این تحلیل کمک می‌کند تا نقاط ضعف و شکاف‌های موجود در سیاست‌ها و کنترل‌های امنیتی شناسایی و برطرف شوند.
مثال:
یک سازمان ممکن است از تحلیل شکاف‌های امنیتی برای شناسایی ضعف‌های امنیتی در زیرساخت‌های فناوری اطلاعات خود و پیاده‌سازی اقدامات اصلاحی استفاده کند.

Cyber Assessments:
Cyber Assessments (ارزیابی‌های سایبری) به ارزیابی و تحلیل امنیت سایبری یک سازمان به منظور شناسایی آسیب‌پذیری‌ها، تهدیدات، و وضعیت امنیتی کلی اشاره دارد. این ارزیابی‌ها شامل بررسی سیستم‌ها، شبکه‌ها، و فرآیندها برای اطمینان از محافظت مؤثر در برابر تهدیدات سایبری و انطباق با استانداردها و بهترین شیوه‌ها است.
مثال:
یک ارزیابی سایبری می‌تواند شامل تحلیل نفوذ، بررسی سیستم‌های نظارتی، و ارزیابی سیاست‌های امنیتی برای شناسایی و کاهش ریسک‌های سایبری باشد.

Risk (Likelihood, Impact):
Risk (ریسک) به احتمال وقوع یک تهدید و تأثیر آن بر اهداف سازمان اشاره دارد. دو جنبه کلیدی در ارزیابی ریسک عبارتند از:
- Likelihood (احتمال): میزان احتمال وقوع یک تهدید یا حادثه در یک دوره زمانی معین.
- Impact (تأثیر): میزان تأثیر یا خسارتی که وقوع آن تهدید می‌تواند بر سازمان، پروژه، یا فعالیت‌ها داشته باشد.
مثال:
اگر احتمال وقوع یک حمله سایبری بالا باشد و تأثیر آن بر روی داده‌های حساس بسیار جدی باشد، ریسک آن به عنوان ریسک بالایی ارزیابی می‌شود که نیاز به اقدامات پیشگیرانه و پاسخگویی دارد.

SOA:
SOA (معماری مبتنی بر سرویس) یک رویکرد طراحی و توسعه نرم‌افزار است که در آن برنامه‌ها به صورت مجموعه‌ای از سرویس‌های مستقل و قابل استفاده مجدد طراحی می‌شوند. این سرویس‌ها از طریق پروتکل‌های استاندارد به یکدیگر متصل می‌شوند و می‌توانند به طور مستقل از یکدیگر به‌روزرسانی و مدیریت شوند.
مثال:
در یک سیستم مالی، SOA می‌تواند شامل سرویس‌های مختلفی مانند پرداخت، حسابداری، و مدیریت مشتری باشد که هر کدام به طور مستقل و از طریق یک رابط استاندارد به یکدیگر متصل می‌شوند.

Penetration Testing:
Penetration Testing (آزمون نفوذ) به فرآیند شبیه‌سازی حملات سایبری به سیستم‌ها، شبکه‌ها، یا برنامه‌های کاربردی به منظور شناسایی آسیب‌پذیری‌ها و نقاط ضعف امنیتی اشاره دارد. هدف این آزمون، ارزیابی امنیت و بررسی اثربخشی تدابیر امنیتی موجود است.
مثال:
در یک سازمان، آزمون نفوذ می‌تواند شامل تلاش برای دسترسی غیرمجاز به سیستم‌ها از طریق آسیب‌پذیری‌های شناخته‌شده و تجزیه و تحلیل نتایج برای پیشنهاد اقدامات اصلاحی باشد.

Impact Analysis:
Impact Analysis (تحلیل تأثیر) به فرآیند ارزیابی و تعیین اثرات یا پیامدهای احتمالی یک تغییر، رویداد، یا بحران بر روی سازمان، پروژه، یا سیستم‌ها اشاره دارد. هدف این تحلیل، شناسایی و درک تأثیرات منفی و مثبت احتمالی به منظور برنامه‌ریزی و مدیریت مؤثر تغییرات و پاسخ به بحران‌ها است.
مثال:
در صورت برنامه‌ریزی برای یک تغییر بزرگ در سیستم‌های فناوری اطلاعات، تحلیل تأثیر ممکن است شامل ارزیابی تأثیر این تغییر بر عملکرد سیستم‌ها، کاربران، و فرآیندهای کسب‌وکار باشد.

Information Management (IMP):
IMP (مدیریت اطلاعات) به فرآیند جمع‌آوری، سازماندهی، ذخیره‌سازی، و توزیع اطلاعات به گونه‌ای که کارایی و اثربخشی سازمان بهبود یابد، اشاره دارد. این فرآیند شامل استفاده از ابزارها و روش‌های مختلف برای مدیریت داده‌ها و اطلاعات به منظور پشتیبانی از تصمیم‌گیری و ارتقاء عملکرد سازمان است.
مثال:
در یک سازمان، مدیریت اطلاعات ممکن است شامل ایجاد سیستم‌های پایگاه داده برای ذخیره‌سازی اطلاعات مشتریان و استفاده از نرم‌افزارهای تحلیلی برای استخراج گزارش‌های مدیریتی باشد.

BCM (Business Continuity Management):
BCM (مدیریت تداوم کسب‌وکار) به فرآیند برنامه‌ریزی و آماده‌سازی برای حفظ و ادامه فعالیت‌های کلیدی سازمان در صورت وقوع اختلالات یا بحران‌ها اشاره دارد. هدف BCM اطمینان از ادامه عملیات بحرانی و کاهش زمان توقف و خسارت‌های ناشی از وقایع غیرمنتظره است.
مثال:
یک سازمان ممکن است برای مدیریت تداوم کسب‌وکار خود برنامه‌هایی برای بازیابی داده‌ها، ادامه فعالیت‌های کلیدی، و هماهنگی با تیم‌های پاسخگویی به بحران تهیه کند.

RTP (Real-Time Protection):
RTP (حفاظت در زمان واقعی) به مکانیزم‌ها و ابزارهایی اشاره دارد که به صورت مداوم و در زمان واقعی از سیستم‌ها، شبکه‌ها، و داده‌ها در برابر تهدیدات و حملات محافظت می‌کنند. این روش شامل نظارت و پاسخ سریع به تهدیدات برای جلوگیری از آسیب‌پذیری و نقض امنیت است.
مثال:
نرم‌افزار آنتی‌ویروس با قابلیت حفاظت در زمان واقعی می‌تواند به سرعت تهدیدات جدید را شناسایی و مقابله کند، بدون نیاز به بررسی‌های دوره‌ای.

RPU (Risk Prevention Unit):
RPU (واحد پیشگیری از ریسک) به بخشی از سازمان یا واحدی که مسئول شناسایی، ارزیابی، و پیشگیری از ریسک‌ها و تهدیدات احتمالی است، اشاره دارد. این واحد به توسعه و پیاده‌سازی استراتژی‌ها و اقدامات پیشگیرانه برای کاهش احتمال وقوع ریسک‌ها و آسیب‌ها می‌پردازد.
مثال:
واحد پیشگیری از ریسک در یک بانک ممکن است شامل تیم‌هایی باشد که به تحلیل و مدیریت ریسک‌های مالی، امنیتی، و عملیاتی می‌پردازند.

RTU (Real-Time Updates):
RTU (به‌روزرسانی‌های زمان واقعی) به فرآیند دریافت و اعمال تغییرات و اطلاعات جدید به صورت آنی و در لحظه اشاره دارد. این به‌روزرسانی‌ها معمولاً برای تضمین دقت و تازگی داده‌ها و اطلاعات در سیستم‌ها و نرم‌افزارها استفاده می‌شود.
مثال:
در یک سیستم اطلاعاتی، به‌روزرسانی‌های زمان واقعی ممکن است شامل دریافت اطلاعات جدید از منابع مختلف و اعمال تغییرات در پایگاه‌های داده به صورت فوری برای حفظ هماهنگی و دقت اطلاعات باشد.

سطح خطر Minor/Major:
Minor/Major (سطح خطر کم/زیاد) به ارزیابی شدت و تأثیر یک خطر یا تهدید بر سازمان یا پروژه اشاره دارد.
- Minor (کم): به خطراتی اشاره دارد که تأثیرات محدودی دارند و می‌توانند با اقدامات معمولی مدیریت و کنترل شوند. این نوع خطرات معمولاً آسیب‌های کمی ایجاد می‌کنند و تأثیر آنها بر عملیات به حداقل می‌رسد.
- Major (زیاد): به خطراتی اشاره دارد که تأثیرات قابل توجه و شدیدی دارند و ممکن است نیاز به اقدامات فوری و گسترده برای مدیریت و کاهش آنها باشد. این نوع خطرات می‌توانند به طور جدی به عملیات، منابع، یا شهرت سازمان آسیب برسانند.
مثال:
در یک پروژه ساختمانی، خطای کوچک مانند نقص جزئی در مواد ممکن است به عنوان خطر کم طبقه‌بندی شود، در حالی که وقوع یک بحران بزرگ مانند سقوط تجهیزات سنگین می‌تواند به عنوان خطر زیاد در نظر گرفته شود.

Defence in Depth:
Defence in Depth (دفاع در عمق) به یک استراتژی امنیتی چندلایه اشاره دارد که از چندین سطح حفاظتی برای محافظت از سیستم‌ها و داده‌ها در برابر تهدیدات و حملات استفاده می‌کند. این رویکرد به این صورت عمل می‌کند که حتی اگر یک لایه امنیتی شکست بخورد، لایه‌های دیگر همچنان به محافظت از سیستم ادامه می‌دهند.
مثال:
در یک سازمان، دفاع در عمق ممکن است شامل استفاده از فایروال‌ها، نرم‌افزارهای ضدویروس، سیستم‌های تشخیص نفوذ، و سیاست‌های امنیتی داخلی باشد که به طور مشترک برای ایجاد یک لایه حفاظتی قوی و مقاوم در برابر حملات عمل می‌کنند.

Hardening:
Hardening (سخت‌سازی) به فرآیند تقویت و ایمن‌سازی سیستم‌ها، شبکه‌ها، و نرم‌افزارها برای کاهش آسیب‌پذیری‌ها و افزایش مقاومت در برابر حملات و تهدیدات اشاره دارد. این فرآیند شامل به‌روزرسانی سیستم‌ها، پیکربندی مناسب، و حذف خدمات و ویژگی‌های غیرضروری است.
مثال:
سخت‌سازی یک سرور ممکن است شامل غیرفعال کردن پورت‌های غیرضروری، به‌روزرسانی نرم‌افزارها به آخرین نسخه، و پیاده‌سازی سیاست‌های امنیتی برای مدیریت دسترسی باشد.

CIS:
CIS (مرکز امنیت اینترنت) یک سازمان غیرانتفاعی است که به ارائه منابع و استانداردهای امنیت سایبری برای کمک به سازمان‌ها در بهبود وضعیت امنیتی خود می‌پردازد. CIS مشهور به توسعه مجموعه‌ای از بهترین شیوه‌ها و راهنماها برای امنیت فناوری اطلاعات است.
مثال:
یکی از معروف‌ترین مجموعه‌های CIS، CIS Controls است که شامل دستورالعمل‌های جامع برای محافظت از سیستم‌ها و داده‌ها در برابر تهدیدات امنیتی می‌باشد.

IG:
IG (راهنمای پیاده‌سازی) به مستندات و دستورالعمل‌هایی اشاره دارد که برای کمک به سازمان‌ها در پیاده‌سازی و اجرای استانداردها، سیاست‌ها، یا فرآیندهای خاص طراحی شده‌اند. این راهنماها معمولاً شامل مراحل، بهترین شیوه‌ها، و توصیه‌هایی برای بهبود عملکرد و انطباق با الزامات هستند.
مثال:
یک راهنمای پیاده‌سازی ممکن است شامل مراحل لازم برای پیاده‌سازی یک سیستم مدیریت امنیت اطلاعات (ISMS) بر اساس استانداردهای ISO 27001 باشد.

ISM3:
ISM3 (مدل بلوغ مدیریت امنیت اطلاعات) یک مدل ارزیابی و بهبود فرآیندهای امنیت اطلاعات است که به سازمان‌ها کمک می‌کند تا وضعیت بلوغ سیستم‌های مدیریت امنیت اطلاعات خود را ارزیابی و بهبود دهند. ISM3 به شناسایی نقاط قوت و ضعف در فرآیندهای امنیتی و ارائه راهکارهایی برای ارتقاء آنها می‌پردازد.
مثال:
سازمانی که از مدل ISM3 استفاده می‌کند، ممکن است ارزیابی‌های منظم از وضعیت امنیت اطلاعات خود انجام دهد و بر اساس نتایج بهبودهایی را در سیاست‌ها و فرآیندهای امنیتی خود اعمال کند.

CSIRT:
CSIRT (تیم پاسخ به حوادث امنیتی کامپیوتری) به گروهی از متخصصان امنیت سایبری اشاره دارد که مسئول شناسایی، مدیریت، و پاسخ به حوادث و نقض‌های امنیتی در یک سازمان یا شبکه هستند. CSIRT به منظور کاهش تأثیرات تهدیدات امنیتی و بهبود وضعیت امنیتی کلی سازمان فعالیت می‌کند.
مثال:
یک CSIRT ممکن است در پاسخ به یک حمله سایبری، تیم‌های خود را برای تحلیل و پاسخ به حمله، اطلاع‌رسانی به ذینفعان، و اجرای اقدامات اصلاحی به کار گیرد.

SMP:
SMP (طرح مدیریت امنیت) به برنامه‌ای جامع و ساختاریافته اشاره دارد که برای مدیریت و کنترل مسائل امنیتی در یک سازمان طراحی شده است. SMP شامل استراتژی‌ها، سیاست‌ها، و رویه‌هایی است که برای شناسایی، ارزیابی، و کاهش خطرات امنیتی به کار می‌روند.
مثال:
یک طرح مدیریت امنیت ممکن است شامل سیاست‌های مربوط به دسترسی به داده‌ها، نحوه برخورد با حوادث امنیتی، و برنامه‌های آموزشی برای کارکنان باشد.

ROOT CAST:
ROOT CAST (مدل‌سازی تهدید مبتنی بر ریسک برای امنیت سایبری) به یک رویکرد تحلیل تهدید اشاره دارد که تمرکز آن بر ارزیابی و شبیه‌سازی تهدیدات و آسیب‌پذیری‌های امنیتی به منظور شناسایی و کاهش ریسک‌ها در محیط‌های سایبری است. این روش به سازمان‌ها کمک می‌کند تا تهدیدات بالقوه را شناسایی و مدیریت کنند تا امنیت سیستم‌ها و داده‌ها بهبود یابد.
مثال:
استفاده از ROOT CAST می‌تواند شامل تحلیل تهدیدات مختلفی مانند حملات سایبری، نقاط ضعف سیستم‌ها، و ارزیابی تأثیرات آنها بر روی داده‌ها و عملیات سازمان باشد.

Information Security Management Levels:
Information Security Management Levels (سطوح مدیریت امنیت اطلاعات) به درجات مختلفی از مدیریت و نظارت بر امنیت اطلاعات در سازمان‌ها اشاره دارد. این سطوح معمولاً شامل برنامه‌ریزی، پیاده‌سازی، نظارت، و بهبود مستمر فرآیندهای امنیتی هستند تا اطمینان حاصل شود که امنیت اطلاعات به درستی مدیریت و حفظ می‌شود.
مثال:
در یک سازمان، سطوح مدیریت امنیت اطلاعات ممکن است شامل توسعه سیاست‌های امنیتی، پیاده‌سازی کنترل‌های امنیتی، نظارت بر عملکرد امنیتی، و ارزیابی مستمر تهدیدات و آسیب‌پذیری‌ها باشد.

GDPR:
GDPR (مقررات عمومی حفاظت از داده‌ها) به یک قانون حفاظت از داده‌ها در اتحادیه اروپا اشاره دارد که برای حفاظت از حریم خصوصی و داده‌های شخصی افراد در اتحادیه اروپا و منطقه اقتصادی اروپا طراحی شده است. این مقررات شامل اصول، حقوق، و الزامات برای جمع‌آوری، پردازش، و ذخیره‌سازی داده‌های شخصی است.
مثال:
تحت GDPR، سازمان‌ها موظف به دریافت رضایت صریح از افراد برای جمع‌آوری و استفاده از داده‌های شخصی آنها و همچنین ارائه حقوق دسترسی و اصلاح به داده‌هایشان هستند.

CCPA:
CCPA (قانون حریم خصوصی مصرف‌کنندگان کالیفرنیا) به قانونی در ایالت کالیفرنیا اشاره دارد که به حفاظت از حریم خصوصی و داده‌های شخصی مصرف‌کنندگان در کالیفرنیا می‌پردازد. این قانون به مصرف‌کنندگان حق می‌دهد تا از جمع‌آوری، فروش، و استفاده از داده‌های شخصی خود اطلاع یابند و آن را کنترل کنند.
مثال:
بر اساس CCPA، مصرف‌کنندگان کالیفرنیا حق دارند تا از شرکت‌ها درخواست کنند که اطلاعات شخصی آنها را حذف کنند و همچنین از حقوق خود برای دسترسی به داده‌های شخصی و بررسی چگونگی استفاده از آنها استفاده کنند.

CSF (Cybersecurity Framework):
CSF (چارچوب امنیت سایبری) به یک مجموعه از راهنماها و استانداردها اشاره دارد که توسط سازمان‌ها برای مدیریت و بهبود امنیت سایبری طراحی شده است. این چارچوب به سازمان‌ها کمک می‌کند تا وضعیت امنیت سایبری خود را ارزیابی کنند، خطرات را شناسایی کنند، و اقدامات مؤثری برای محافظت از دارایی‌های دیجیتال خود انجام دهند.
مثال:
چارچوب امنیت سایبری NIST (National Institute of Standards and Technology) یکی از نمونه‌های معروف CSF است که شامل دسته‌بندی‌ها و کنترل‌هایی برای مدیریت و کاهش تهدیدات امنیت سایبری است.

ISFW (Integrated Security Firewall):
ISFW (فایروال امنیتی یکپارچه) به یک سیستم حفاظتی اشاره دارد که به طور جامع و یکپارچه به مدیریت و نظارت بر ترافیک شبکه و محافظت از سیستم‌ها در برابر تهدیدات و حملات مختلف می‌پردازد. این نوع فایروال ترکیبی از قابلیت‌های مختلف امنیتی، از جمله فیلترینگ بسته‌ها، تجزیه و تحلیل ترافیک، و جلوگیری از نفوذ است.
مثال:
یک ISFW ممکن است شامل ویژگی‌هایی مانند شناسایی و پیشگیری از نفوذ، کنترل دسترسی مبتنی بر نقش، و تجزیه و تحلیل رفتار شبکه باشد که به سازمان‌ها کمک می‌کند تا امنیت شبکه‌های خود را به طور مؤثر حفظ کنند.

NGFW (Next Generation Firewall):
NGFW (فایروال نسل جدید) به نوعی از فایروال اشاره دارد که قابلیت‌های پیشرفته‌تری نسبت به فایروال‌های سنتی ارائه می‌دهد. این فایروال‌ها علاوه بر فیلترینگ بسته‌های داده و کنترل دسترسی، شامل ویژگی‌هایی مانند شناسایی و پیشگیری از نفوذ، تجزیه و تحلیل رفتار کاربر و برنامه، و قابلیت‌های امنیتی پیشرفته برای مقابله با تهدیدات پیچیده‌تر هستند.
مثال:
یک NGFW ممکن است شامل قابلیت‌هایی مانند بررسی عمیق بسته‌ها (DPI)، تجزیه و تحلیل رفتار شبکه، و کنترل برنامه‌های کاربردی برای شناسایی و جلوگیری از حملات و تهدیدات پیشرفته باشد.

DLP (Data Loss Prevention):
DLP (پیشگیری از از دست رفتن داده‌ها) به مجموعه‌ای از فناوری‌ها و استراتژی‌ها اشاره دارد که برای شناسایی، نظارت، و جلوگیری از نشت یا از دست رفتن داده‌های حساس در یک سازمان طراحی شده‌اند. هدف DLP محافظت از داده‌های مهم و جلوگیری از افشای ناخواسته یا سرقت اطلاعات است.
مثال:
یک سیستم DLP ممکن است شامل ابزارهایی باشد که به بررسی و کنترل دسترسی به داده‌های حساس، نظارت بر فعالیت‌های کاربران، و اعمال سیاست‌های امنیتی برای جلوگیری از انتقال غیرمجاز اطلاعات کمک کند.

LDAP (Lightweight Directory Access Protocol):
LDAP (پروتکل دسترسی به دایرکتوری سبک) به یک پروتکل شبکه‌ای اشاره دارد که برای دسترسی به اطلاعات دایرکتوری و مدیریت آنها در شبکه‌های کامپیوتری طراحی شده است. LDAP به سازمان‌ها این امکان را می‌دهد که اطلاعات مربوط به کاربران، گروه‌ها، و منابع شبکه را به صورت متمرکز ذخیره و مدیریت کنند.
مثال:
LDAP معمولاً برای تأیید هویت کاربران و مدیریت دسترسی در سیستم‌های مدیریتی و شبکه‌های سازمانی استفاده می‌شود، مانند استفاده از LDAP برای احراز هویت کاربران در یک سرویس ایمیل یا سیستم مدیریت شبکه.

Program Management:
Program Management (مدیریت برنامه) به فرآیند هماهنگی و مدیریت مجموعه‌ای از پروژه‌ها و فعالیت‌ها با هدف دستیابی به نتایج استراتژیک و بهبود عملکرد کلی سازمان اشاره دارد. این فرآیند شامل تعریف اهداف، تخصیص منابع، نظارت بر پیشرفت، و ارزیابی نتایج است.
مثال:
در یک سازمان، مدیریت برنامه ممکن است شامل هدایت چندین پروژه مرتبط به توسعه یک محصول جدید باشد، با تمرکز بر اطمینان از هماهنگی میان پروژه‌ها و دستیابی به اهداف تجاری مورد نظر.

COBIT:
COBIT (اهداف کنترل برای اطلاعات و فناوری‌های مرتبط) به یک چارچوب مدیریتی و راهنما برای مدیریت و کنترل فناوری اطلاعات در سازمان‌ها اشاره دارد. COBIT شامل مجموعه‌ای از بهترین شیوه‌ها و اهداف کنترلی است که به سازمان‌ها کمک می‌کند تا فرآیندهای IT خود را بهینه کرده و اطمینان حاصل کنند که فناوری اطلاعات به اهداف تجاری کمک می‌کند.
مثال:
استفاده از COBIT می‌تواند شامل پیاده‌سازی فرآیندهای مدیریت امنیت اطلاعات، کنترل‌های مالی IT، و ارزیابی و بهبود مستمر عملکرد فناوری اطلاعات باشد.

OWASP:
OWASP (پروژه امنیت وب اپلیکیشن‌های باز) به یک پروژه جهانی و غیرانتفاعی اشاره دارد که به ارائه منابع و ابزارهایی برای بهبود امنیت وب اپلیکیشن‌ها و نرم‌افزارهای وب اختصاص دارد. OWASP شامل مجموعه‌ای از استانداردها، بهترین شیوه‌ها، و ابزارهای امنیتی است که به توسعه‌دهندگان و سازمان‌ها کمک می‌کند تا آسیب‌پذیری‌های امنیتی را شناسایی و مدیریت کنند.
مثال:
یکی از معروف‌ترین منابع OWASP، OWASP Top Ten است که لیستی از ده آسیب‌پذیری برتر امنیتی در وب اپلیکیشن‌ها را ارائه می‌دهد و راهکارهایی برای مقابله با آنها پیشنهاد می‌کند.

SIEM:
SIEM (مدیریت اطلاعات و رویدادهای امنیتی) به یک دسته از فناوری‌ها و فرآیندها اشاره دارد که برای جمع‌آوری، تحلیل، و مدیریت داده‌های امنیتی و رویدادهای مرتبط با آنها طراحی شده‌اند. SIEM به سازمان‌ها کمک می‌کند تا تهدیدات امنیتی را شناسایی کنند، پاسخ به حوادث را بهبود بخشند، و تطابق با الزامات قانونی و استانداردهای امنیتی را تضمین کنند.
مثال:
استفاده از SIEM می‌تواند شامل جمع‌آوری و تحلیل لاگ‌های سیستم‌ها و شبکه‌ها، شناسایی الگوهای مشکوک یا حملات سایبری، و تولید گزارشات امنیتی برای کمک به تصمیم‌گیری و پاسخ به حوادث باشد.

Vulnerability Management:
Vulnerability Management (مدیریت آسیب‌پذیری) به فرآیند شناسایی، ارزیابی، و اصلاح آسیب‌پذیری‌ها و نقاط ضعف در سیستم‌ها و نرم‌افزارها اشاره دارد. هدف از این فرآیند کاهش ریسک‌های امنیتی ناشی از آسیب‌پذیری‌های شناسایی شده و بهبود وضعیت کلی امنیت اطلاعات در سازمان است.
مثال:
مدیریت آسیب‌پذیری ممکن است شامل اجرای اسکن‌های منظم برای شناسایی آسیب‌پذیری‌ها، ارزیابی ریسک‌های مرتبط، و اعمال به‌روزرسانی‌ها و اصلاحات لازم برای محافظت در برابر تهدیدات باشد.

Threat Intelligence:
Threat Intelligence (هوش تهدید) به فرآیند جمع‌آوری، تحلیل، و استفاده از داده‌ها و اطلاعات مرتبط با تهدیدات امنیتی برای درک بهتر و پیش‌بینی حملات سایبری اشاره دارد. این اطلاعات به سازمان‌ها کمک می‌کند تا تهدیدات بالقوه را شناسایی کنند، استراتژی‌های دفاعی خود را تقویت کنند، و پاسخ‌های مؤثری به حوادث امنیتی ارائه دهند.
مثال:
هوش تهدید ممکن است شامل تحلیل داده‌های جمع‌آوری‌شده از منابع مختلف، مانند وب‌سایت‌های تاریک، گزارش‌های تهدید، و فعالیت‌های مشکوک در شبکه، و استفاده از این تحلیل‌ها برای بهبود دفاع‌های سایبری و استراتژی‌های امنیتی باشد.

CRM:
CRM (مدیریت ارتباط با مشتری) به یک سیستم و مجموعه‌ای از فرآیندها اشاره دارد که برای مدیریت تعاملات و ارتباطات با مشتریان و مشتریان بالقوه در سازمان‌ها طراحی شده‌اند. هدف CRM بهبود روابط با مشتریان، افزایش رضایت آنها، و ارتقاء فروش و خدمات است.
مثال:
سیستم‌های CRM معمولاً شامل ویژگی‌هایی مانند مدیریت اطلاعات تماس، پیگیری تعاملات مشتری، تحلیل داده‌های مشتری و گزارش‌گیری برای بهبود استراتژی‌های بازاریابی و خدمات مشتریان هستند.

Captive Portal:
Captive Portal (پورتال محصور) به یک نوع سیستم احراز هویت و کنترل دسترسی اشاره دارد که معمولاً در شبکه‌های بی‌سیم عمومی و خصوصی استفاده می‌شود. این سیستم کاربران را قبل از دسترسی به اینترنت یا شبکه، به صفحه‌ای هدایت می‌کند که از آنها می‌خواهد اطلاعاتی مانند نام کاربری و رمز عبور را وارد کنند یا شرایط استفاده از سرویس را بپذیرند.
مثال:
در یک شبکه Wi-Fi عمومی، کاربران ممکن است پس از اتصال به شبکه، به صفحه‌ای هدایت شوند که از آنها خواسته می‌شود برای دسترسی به اینترنت، اطلاعات تماس خود را وارد کنند یا شرایط استفاده از شبکه را تأیید کنند.

IMP:
IMP (فرآیندهای مدیریت اطلاعات) به مجموعه‌ای از فعالیت‌ها و رویه‌ها اشاره دارد که برای جمع‌آوری، ذخیره، سازمان‌دهی، و توزیع اطلاعات در سازمان‌ها طراحی شده‌اند. هدف از این فرآیندها بهینه‌سازی استفاده از اطلاعات، ارتقاء تصمیم‌گیری، و بهبود کارایی سازمانی است.
مثال:
فرآیندهای مدیریت اطلاعات ممکن است شامل برنامه‌ریزی برای جمع‌آوری داده‌ها، تعیین سیاست‌های ذخیره‌سازی و حفظ اطلاعات، و اجرای رویه‌های امنیتی برای حفاظت از داده‌های حساس باشند.

IMP:
IMP (سیاست مدیریت اطلاعات) به مجموعه‌ای از اصول و دستورالعمل‌ها اشاره دارد که برای هدایت و نظارت بر جمع‌آوری، ذخیره‌سازی، استفاده، و حفاظت از اطلاعات در یک سازمان تدوین شده‌اند. هدف از این سیاست‌ها اطمینان از اینکه اطلاعات به درستی مدیریت و محافظت می‌شود و مطابق با الزامات قانونی و مقررات سازمانی است.
مثال:
یک سیاست مدیریت اطلاعات ممکن است شامل دستورالعمل‌هایی برای دسترسی به داده‌ها، حفظ حریم خصوصی، امنیت اطلاعات، و فرآیندهای بازیابی اطلاعات در صورت وقوع حوادث باشد.

Classification:
Classification (طبقه‌بندی) به فرآیند سازمان‌دهی و دسته‌بندی اطلاعات، اسناد، یا داده‌ها بر اساس ویژگی‌ها و معیارهای خاص اشاره دارد. هدف از طبقه‌بندی، مدیریت و حفاظت مؤثر از اطلاعات، تسهیل دسترسی، و اطمینان از رعایت الزامات امنیتی و قانونی است.
مثال:
در یک سازمان، اطلاعات ممکن است به دسته‌های مختلفی مانند عمومی، محرمانه، و بسیار محرمانه طبقه‌بندی شوند تا به راحتی مدیریت شوند و از دسترسی غیرمجاز به داده‌های حساس جلوگیری شود.

Offensive Security:
Offensive Security (امنیت تهاجمی) به رویکردهایی اشاره دارد که به طور فعال و پیشگیرانه برای شبیه‌سازی حملات سایبری به منظور شناسایی و اصلاح نقاط ضعف و آسیب‌پذیری‌ها در سیستم‌ها و شبکه‌ها استفاده می‌شود. هدف از امنیت تهاجمی، پیش‌بینی و مقابله با تهدیدات قبل از وقوع آنها از طریق تکنیک‌های آزمایش نفوذ و ارزیابی آسیب‌پذیری است.
مثال:
تست‌های نفوذ (Penetration Testing) و ارزیابی آسیب‌پذیری از نمونه‌های متداول امنیت تهاجمی هستند که در آنها کارشناسان امنیتی به طور فعال به سیستم‌ها حمله کرده و نقاط ضعف را شناسایی می‌کنند تا سازمان‌ها بتوانند اقدامات اصلاحی لازم را انجام دهند.

Defensive Security:
Defensive Security (امنیت دفاعی) به رویکردهایی اشاره دارد که برای محافظت و دفاع از سیستم‌ها و شبکه‌ها در برابر تهدیدات و حملات سایبری طراحی شده‌اند. این رویکرد شامل پیاده‌سازی تدابیر و تکنیک‌هایی برای شناسایی، پیشگیری، و پاسخ به تهدیدات است تا امنیت و یکپارچگی سیستم‌ها حفظ شود.
مثال:
استفاده از فایروال‌ها، سیستم‌های پیشگیری از نفوذ (IPS)، و نرم‌افزارهای ضدویروس از نمونه‌های متداول امنیت دفاعی هستند که به طور فعال از سیستم‌ها در برابر حملات و تهدیدات محافظت می‌کنند.

QA:
QA (تضمین کیفیت) به مجموعه‌ای از فرآیندها و فعالیت‌ها اشاره دارد که برای تضمین اینکه محصولات و خدمات به استانداردهای کیفیت معین رسیده و انتظارات مشتریان را برآورده می‌کنند، طراحی شده‌اند. هدف از QA، شناسایی و رفع مشکلات و نقص‌ها قبل از ارائه محصول نهایی است.
مثال:
در فرآیند تضمین کیفیت نرم‌افزار، فعالیت‌هایی مانند تست‌های عملکرد، تست‌های امنیتی، و بررسی کد انجام می‌شود تا اطمینان حاصل شود که نرم‌افزار مطابق با مشخصات و استانداردهای کیفیت مورد نظر است.

Audit Management:
Audit Management (مدیریت ممیزی) به فرآیند برنامه‌ریزی، اجرای، و نظارت بر ممیزی‌های داخلی و خارجی در سازمان‌ها اشاره دارد. هدف از مدیریت ممیزی، ارزیابی و بهبود کارایی سیستم‌ها، فرآیندها، و کنترل‌های داخلی است تا اطمینان حاصل شود که آنها مطابق با استانداردها، مقررات، و سیاست‌های سازمانی عمل می‌کنند.
مثال:
مدیریت ممیزی می‌تواند شامل برنامه‌ریزی و اجرای ممیزی‌های مالی، ممیزی‌های امنیتی، و ممیزی‌های عملیاتی باشد که به شناسایی نقاط ضعف و ارائه پیشنهادات برای بهبود فرآیندها کمک می‌کند.

UTM:
UTM (مدیریت تهدید یکپارچه) به یک راهکار امنیتی اشاره دارد که مجموعه‌ای از فناوری‌ها و ابزارها را در یک سیستم واحد ادغام می‌کند تا تهدیدات سایبری مختلف را شناسایی و مدیریت کند. هدف از UTM ارائه یک راه‌حل جامع برای محافظت از شبکه در برابر انواع مختلف تهدیدات از جمله ویروس‌ها، حملات نفوذ، و بدافزارها است.
مثال:
یک سیستم UTM ممکن است شامل فایروال، سیستم پیشگیری از نفوذ (IPS)، ضدویروس، و فیلترهای وب باشد که به طور یکپارچه با هم کار می‌کنند تا امنیت شبکه را بهبود بخشند و پیچیدگی‌های مدیریتی را کاهش دهند.

NDA:
NDA (قرارداد عدم افشا) به توافق‌نامه‌ای قانونی اشاره دارد که بین دو یا چند طرف به منظور حفاظت از اطلاعات محرمانه و جلوگیری از افشای آن به اشخاص ثالث امضاء می‌شود. هدف از NDA تضمین این است که اطلاعات حساس تنها برای مقاصد معین استفاده شده و در معرض دید عمومی قرار نگیرد.
مثال:
یک شرکت ممکن است با کارمندان خود قرارداد عدم افشا امضاء کند تا از افشای اطلاعات تجاری یا فناوری‌های نوآورانه‌ای که در دست توسعه است، جلوگیری کند.

Internal Audit:
Internal Audit (ممیزی داخلی) به فرآیند بررسی و ارزیابی فعالیت‌ها، فرآیندها، و کنترل‌های داخلی در یک سازمان توسط واحد ممیزی داخلی خود آن سازمان اشاره دارد. هدف از ممیزی داخلی، شناسایی نقاط ضعف، ارزیابی رعایت مقررات و سیاست‌ها، و پیشنهاد بهبودهای لازم برای افزایش کارایی و کاهش ریسک‌ها است.
مثال:
ممیزی داخلی ممکن است شامل بررسی فرآیندهای مالی، ارزیابی کنترل‌های امنیتی، و تحلیل اثربخشی فرآیندهای عملیاتی برای اطمینان از انطباق با قوانین و استانداردها باشد.

External Audit:
External Audit (ممیزی خارجی) به فرآیند ارزیابی و بررسی فعالیت‌ها، گزارش‌ها، و کنترل‌های مالی و عملیاتی در یک سازمان توسط یک ممیز مستقل و خارجی اشاره دارد. هدف از ممیزی خارجی، ارائه یک ارزیابی بی‌طرف و مستقل از وضعیت مالی و عملکرد سازمان و اطمینان از رعایت استانداردها و مقررات است.
مثال:
یک سازمان ممکن است برای ممیزی سالانه مالی خود، از یک شرکت حسابرسی مستقل استفاده کند تا گزارش مالی خود را بررسی و تأیید کند و اطمینان حاصل کند که تمامی اصول حسابداری و مقررات قانونی رعایت شده است.

Specialized Audit:
Specialized Audit (ممیزی تخصصی) به فرآیند بررسی و ارزیابی عمیق در حوزه‌های خاص و تخصصی از جمله فناوری اطلاعات، امنیت سایبری، یا انطباق با مقررات ویژه اشاره دارد. هدف از ممیزی تخصصی، ارائه تحلیل دقیق و کارشناسانه در زمینه‌های خاص و شناسایی نقاط ضعف و مسائل پیچیده است که ممکن است در ممیزی‌های عمومی کمتر مورد توجه قرار گیرند.
مثال:
ممیزی تخصصی در زمینه امنیت سایبری ممکن است شامل ارزیابی آسیب‌پذیری‌ها، بررسی سیاست‌های امنیتی، و تحلیل تهدیدات سایبری برای شناسایی ضعف‌های امنیتی و پیشنهاد راهکارهای بهبود باشد.

Security Audit:
Security Audit (ممیزی امنیت) به فرآیند ارزیابی و بررسی سیستم‌ها، شبکه‌ها، و فرآیندهای امنیتی یک سازمان به منظور شناسایی آسیب‌پذیری‌ها، نقاط ضعف، و مشکلات امنیتی اشاره دارد. هدف از ممیزی امنیت، اطمینان از رعایت استانداردهای امنیتی و شناسایی اقداماتی است که برای بهبود امنیت و حفاظت از دارایی‌های اطلاعاتی نیاز است.
مثال:
ممیزی امنیت ممکن است شامل بررسی پیکربندی‌های امنیتی، ارزیابی دسترسی‌ها و کنترل‌های موجود، و تست‌های نفوذ به منظور شناسایی و رفع ضعف‌های امنیتی باشد.

Network Audit:
Network Audit (ممیزی شبکه) به فرآیند بررسی و ارزیابی زیرساخت‌های شبکه، پیکربندی‌ها، و عملکرد شبکه‌های کامپیوتری یک سازمان اشاره دارد. هدف از ممیزی شبکه، شناسایی آسیب‌پذیری‌ها، نقاط ضعف، و مسائل عملکردی به منظور بهبود امنیت، کارایی، و مدیریت شبکه است.
مثال:
ممیزی شبکه ممکن است شامل بررسی تنظیمات فایروال‌ها، تحلیل ترافیک شبکه، ارزیابی کنترل‌های دسترسی، و بررسی نقاط ضعف احتمالی در طراحی شبکه باشد.

Behavioral Audit:
Behavioral Audit (ممیزی رفتاری) به فرآیند بررسی و تحلیل رفتارها و فعالیت‌های کاربران یا کارکنان در یک سازمان اشاره دارد. هدف از ممیزی رفتاری شناسایی الگوهای رفتاری غیرمعمول، ارزیابی انطباق با سیاست‌ها و مقررات، و تشخیص مشکلات احتمالی مرتبط با عملکرد و امنیت است.
مثال:
ممیزی رفتاری ممکن است شامل تحلیل فعالیت‌های کاربران در سیستم‌های IT برای شناسایی رفتارهای غیرعادی یا نقض سیاست‌های امنیتی باشد و همچنین بررسی تأثیرات بالقوه بر امنیت اطلاعات و کارایی سازمان.

Technical Audit:
Technical Audit (ممیزی فنی) به فرآیند بررسی و ارزیابی جنبه‌های فنی و تکنولوژیکی یک سیستم، برنامه، یا زیرساخت اشاره دارد. هدف از ممیزی فنی شناسایی مشکلات فنی، آسیب‌پذیری‌ها، و بهینه‌سازی عملکرد و امنیت سیستم‌های فناوری اطلاعات است.
مثال:
ممیزی فنی ممکن است شامل ارزیابی کد منبع نرم‌افزار، بررسی معماری سیستم، تحلیل عملکرد سرورها و شبکه‌ها، و بررسی پیکربندی‌های امنیتی باشد.

Process Audit:
Process Audit (ممیزی فرآیند) به فرآیند بررسی و ارزیابی مراحل و فعالیت‌های خاص در یک فرآیند تجاری یا عملیاتی اشاره دارد. هدف از ممیزی فرآیند، شناسایی ناکارآمدی‌ها، مشکلات، و فرصتی برای بهبود و تضمین اینکه فرآیندها به درستی و مطابق با استانداردها و سیاست‌ها اجرا می‌شوند، است.
مثال:
ممیزی فرآیند ممکن است شامل بررسی مراحل تولید یک محصول برای شناسایی مشکلات کیفیت، تحلیل فرآیندهای خدمات مشتریان برای بهبود کارایی و رضایت مشتری، و ارزیابی فرآیندهای مالی برای اطمینان از انطباق با مقررات و استانداردها باشد.

Information Systems Audit:
Information Systems Audit (ممیزی سیستم‌های اطلاعاتی) به فرآیند بررسی و ارزیابی سیستم‌های اطلاعاتی و فناوری اطلاعات یک سازمان اشاره دارد. هدف از ممیزی سیستم‌های اطلاعاتی، شناسایی مشکلات، آسیب‌پذیری‌ها، و عدم انطباق با سیاست‌ها و مقررات، و همچنین بررسی اثربخشی و کارایی سیستم‌ها است.
مثال:
ممیزی سیستم‌های اطلاعاتی ممکن است شامل بررسی امنیت داده‌ها، تحلیل پیکربندی سیستم‌ها، ارزیابی عملکرد نرم‌افزارها و سخت‌افزارها، و تحلیل کنترل‌های دسترسی و حفاظت از اطلاعات باشد.

Physical Audit:
Physical Audit (ممیزی فیزیکی) به فرآیند بررسی و ارزیابی فیزیکی دارایی‌ها، تجهیزات، و منابع یک سازمان اشاره دارد. هدف از ممیزی فیزیکی، اطمینان از وضعیت صحیح و عملکرد درست تجهیزات، کنترل انطباق با سیاست‌ها و استانداردها، و شناسایی مشکلات یا نقص‌ها در دارایی‌های فیزیکی است.
مثال:
ممیزی فیزیکی ممکن است شامل بررسی وضعیت سرورها و تجهیزات شبکه، ارزیابی شرایط نگهداری و ذخیره‌سازی تجهیزات، و شناسایی هر گونه آسیب یا نقص در دارایی‌های فیزیکی سازمان باشد.

Operational Audit:
Operational Audit (ممیزی عملیاتی) به فرآیند بررسی و ارزیابی کارایی و اثربخشی فرآیندها و فعالیت‌های عملیاتی یک سازمان اشاره دارد. هدف از ممیزی عملیاتی، شناسایی مشکلات، ناکارآمدی‌ها، و فرصت‌های بهبود در فرآیندها و فعالیت‌های روزمره سازمان است.
مثال:
ممیزی عملیاتی ممکن است شامل بررسی عملکرد فرآیندهای تولید، ارزیابی کارایی فرآیندهای خدمات مشتری، و تحلیل کارایی سیستم‌های مدیریت منابع انسانی باشد تا اطمینان حاصل شود که این فرآیندها به درستی و با کارایی بالا اجرا می‌شوند.

Value-added Audit:
Value-added Audit (ممیزی ارزش افزوده) به فرآیند بررسی و ارزیابی که هدف آن شناسایی و پیشنهاد بهبودهایی است که به افزایش ارزش و کارایی سازمان کمک می‌کند، اشاره دارد. این نوع ممیزی نه تنها به دنبال شناسایی مشکلات و نقایص است بلکه بر روی راهکارهایی تمرکز دارد که می‌تواند به بهبود عملکرد و ایجاد ارزش بیشتر برای سازمان کمک کند.
مثال:
ممیزی ارزش افزوده ممکن است شامل تحلیل فرآیندهای کسب‌وکار برای پیشنهاد تغییرات بهبوددهنده، ارزیابی پروژه‌ها برای شناسایی فرصت‌های افزایش بهره‌وری، و بررسی سیستم‌های مالی برای پیشنهاد راهکارهای بهینه‌سازی هزینه‌ها باشد.

Security System Audit:
Security System Audit (ممیزی سیستم‌های امنیتی) به فرآیند بررسی و ارزیابی زیرساخت‌های امنیتی، سیاست‌ها، و کنترل‌های حفاظتی یک سازمان اشاره دارد. هدف از ممیزی سیستم‌های امنیتی، شناسایی نقاط ضعف و آسیب‌پذیری‌ها، ارزیابی اثربخشی تدابیر امنیتی، و تضمین انطباق با استانداردها و مقررات امنیتی است.
مثال:
ممیزی سیستم‌های امنیتی ممکن است شامل بررسی تنظیمات فایروال‌ها، ارزیابی کنترل‌های دسترسی، تحلیل سیستم‌های نظارتی و پیشگیری از نفوذ، و ارزیابی پروتکل‌های امنیتی برای اطمینان از حفاظت مناسب از اطلاعات و دارایی‌های سازمان باشد.

User Behavior Audit:
User Behavior Audit (ممیزی رفتار کاربران) به فرآیند بررسی و تحلیل فعالیت‌ها و رفتارهای کاربران در سیستم‌های اطلاعاتی و محیط‌های کاری اشاره دارد. هدف از ممیزی رفتار کاربران، شناسایی الگوهای رفتاری غیرمعمول یا مشکوک، ارزیابی انطباق با سیاست‌های امنیتی و مدیریتی، و بهبود امنیت و کارایی سازمان است.
مثال:
ممیزی رفتار کاربران ممکن است شامل تحلیل الگوهای ورود و خروج، بررسی فعالیت‌های غیرعادی یا غیرمجاز در سیستم‌ها، و ارزیابی تطابق با قوانین و سیاست‌های دسترسی به اطلاعات باشد.

SLA Audit:
SLA Audit (ممیزی توافق‌نامه سطح خدمات) به فرآیند بررسی و ارزیابی انطباق با توافق‌نامه‌های سطح خدمات (SLA) بین ارائه‌دهندگان خدمات و مشتریان اشاره دارد. هدف از ممیزی SLA، ارزیابی رعایت تعهدات، شناسایی نقاط ضعف در ارائه خدمات، و تضمین کیفیت و کارایی خدمات مطابق با استانداردها و قراردادها است.
مثال:
ممیزی SLA ممکن است شامل بررسی زمان‌های پاسخ و حل مشکلات، ارزیابی میزان رضایت مشتریان، و تحلیل داده‌های عملکرد برای اطمینان از این‌که خدمات ارائه شده مطابق با تعهدات قراردادی هستند، باشد.

Security Equipment Audit:
Security Equipment Audit (ممیزی تجهیزات امنیتی) به فرآیند بررسی و ارزیابی عملکرد، پیکربندی، و نگهداری تجهیزات امنیتی یک سازمان اشاره دارد. هدف از ممیزی تجهیزات امنیتی، اطمینان از کارایی و اثربخشی تجهیزات امنیتی، شناسایی نقاط ضعف و مشکلات احتمالی، و تضمین انطباق با استانداردها و سیاست‌های امنیتی است.
مثال:
ممیزی تجهیزات امنیتی ممکن است شامل بررسی عملکرد دوربین‌های نظارتی، ارزیابی تنظیمات سیستم‌های کنترل دسترسی، تحلیل وضعیت فایروال‌ها و دستگاه‌های تشخیص نفوذ، و اطمینان از به‌روزرسانی و نگهداری مناسب تجهیزات باشد.

Quantitative Reports:
Quantitative Reports (گزارش‌های کمی) به گزارش‌هایی اشاره دارد که اطلاعات و داده‌ها را به صورت عددی و آماری ارائه می‌دهند. هدف از گزارش‌های کمی، تحلیل داده‌ها برای استخراج الگوها، روندها، و شاخص‌های عملکردی به منظور کمک به تصمیم‌گیری‌های مبتنی بر داده‌ها است.
مثال:
گزارش‌های کمی ممکن است شامل آمار فروش ماهانه، نرخ خطاهای سیستم، میانگین زمان پاسخگویی به درخواست‌های مشتریان، و تحلیل داده‌های مالی برای ارزیابی سودآوری و کارایی باشند.

Qualitative Reports:
Qualitative Reports (گزارش‌های کیفی) به گزارش‌هایی اشاره دارد که اطلاعات و داده‌ها را به صورت غیر عددی و توصیفی ارائه می‌دهند. هدف از گزارش‌های کیفی، تحلیل و تفسیر پدیده‌ها، نگرش‌ها، تجربیات، و فرآیندها به منظور درک عمیق‌تر مسائل و کمک به تصمیم‌گیری‌های استراتژیک است.
مثال:
گزارش‌های کیفی ممکن است شامل نتایج مصاحبه‌ها و نظرسنجی‌ها، تحلیل محتوا از بازخوردهای مشتریان، توصیف تجربیات کارمندان از فرآیندهای کاری، و بررسی فرهنگ سازمانی باشد.

Security Token:
Security Token (توکن امنیتی) به یک دستگاه یا ابزار دیجیتالی اشاره دارد که برای احراز هویت کاربران و تأمین امنیت دسترسی به سیستم‌ها و داده‌ها استفاده می‌شود. هدف از توکن امنیتی، افزایش امنیت از طریق ارائه یک لایه اضافی از تأیید هویت علاوه بر رمز عبورهای سنتی است.
مثال:
توکن‌های امنیتی ممکن است به صورت سخت‌افزاری (مانند کارت‌های هوشمند یا دستگاه‌های OTP) یا نرم‌افزاری (مانند اپلیکیشن‌های موبایلی) ارائه شوند و می‌توانند برای دسترسی به حساب‌های بانکی، سیستم‌های شرکتی، و دیگر خدمات آنلاین استفاده شوند.

Sandbox:
Sandbox (محیط ایزوله) به یک محیط امن و مجزا اشاره دارد که برای اجرای برنامه‌ها یا کدها بدون تأثیرگذاری بر سیستم اصلی یا شبکه استفاده می‌شود. هدف از استفاده از Sandbox، تست و تجزیه و تحلیل نرم‌افزارها یا فایل‌های مشکوک بدون به خطر انداختن امنیت سیستم اصلی است.
مثال:
Sandbox‌ها معمولاً برای آزمایش نرم‌افزارهای جدید، تحلیل بدافزارها، یا بررسی تأثیرات احتمالی کدهای اجرایی ناشناخته استفاده می‌شوند. این محیط‌ها به محققان و توسعه‌دهندگان امکان می‌دهند تا رفتارهای مشکوک را در یک محیط کنترل‌شده بررسی کنند.

ISO 27001:
ISO 27001 (استاندارد بین‌المللی سیستم مدیریت امنیت اطلاعات) یک استاندارد جهانی است که الزامات مربوط به سیستم مدیریت امنیت اطلاعات (ISMS) را تعریف می‌کند. هدف از ISO 27001، کمک به سازمان‌ها در حفاظت از اطلاعات حساس، کاهش خطرات امنیتی، و اطمینان از انطباق با قوانین و مقررات مربوط به امنیت اطلاعات است.
مثال:
سازمان‌هایی که گواهینامه ISO 27001 را دریافت می‌کنند، باید فرآیندهای مدیریت ریسک را پیاده‌سازی کرده و کنترل‌های امنیتی مناسب را اعمال کنند. این استاندارد به ویژه برای سازمان‌هایی که اطلاعات حساس را پردازش و ذخیره می‌کنند، مانند مؤسسات مالی، بخش بهداشت، و شرکت‌های فناوری اطلاعات اهمیت دارد.

NIST SP 800-53:
NIST SP 800-53 (نشریه ویژه مؤسسه ملی استاندارد و فناوری 800-53) مجموعه‌ای جامع از کنترل‌های امنیتی برای سیستم‌های اطلاعاتی و سازمان‌ها است. این نشریه به منظور کمک به سازمان‌ها در پیاده‌سازی چارچوب‌های امنیتی مؤثر و محافظت از اطلاعات حساس طراحی شده است.
مثال:
استفاده از کنترل‌های دسترسی قوی برای محدود کردن دسترسی به داده‌های حساس و پیاده‌سازی اقدامات رمزنگاری برای حفاظت از داده‌ها در حالت ذخیره‌سازی و انتقال.

Cyber Maturity Levels:
Cyber Maturity Levels (سطوح بلوغ سایبری) مدل‌هایی هستند که میزان پیشرفت و اثربخشی یک سازمان در پیاده‌سازی اقدامات امنیت سایبری را ارزیابی می‌کنند. این سطوح معمولاً از پایه تا پیشرفته طبقه‌بندی شده و به سازمان‌ها کمک می‌کنند تا نقاط ضعف و قوت خود را شناسایی و برنامه‌های بهبود امنیتی مناسب را تدوین کنند.
مثال:
یک سازمان در سطح ابتدایی ممکن است تنها دارای سیاست‌های پایه امنیتی باشد، در حالی که یک سازمان در سطح پیشرفته دارای مانیتورینگ مستمر و واکنش سریع به حوادث امنیتی است.

Cyber Maturity Standards:
Cyber Maturity Standards (استانداردهای بلوغ سایبری) معیارهایی هستند که به سازمان‌ها کمک می‌کنند تا میزان پیشرفت و توانمندی‌های خود در زمینه امنیت سایبری را ارزیابی و بهبود بخشند. این استانداردها شامل مجموعه‌ای از اصول، فرآیندها، و بهترین شیوه‌ها هستند که برای ارتقاء و تثبیت وضعیت امنیت سایبری به کار می‌روند.
مثال:
استانداردهای بلوغ سایبری ممکن است شامل معیارهایی برای ارزیابی سیاست‌های امنیتی، مدیریت ریسک، و واکنش به حوادث باشند که سازمان‌ها را قادر می‌سازد تا به صورت سیستماتیک و مستمر وضعیت امنیتی خود را بهبود بخشند.

Cybersecurity Maturity Models:
Cybersecurity Maturity Models (مدل‌های بلوغ امنیت سایبری) چارچوب‌هایی هستند که به سازمان‌ها کمک می‌کنند تا سطح آمادگی و توانمندی‌های خود را در زمینه امنیت سایبری ارزیابی کنند. این مدل‌ها معمولاً شامل سطوح یا مراحل مختلف هستند که از وضعیت ابتدایی تا پیشرفته را پوشش می‌دهند و راهکارهایی برای بهبود مستمر ارائه می‌دهند.
مثال:
یک مدل بلوغ امنیت سایبری ممکن است شامل سطوحی مانند ابتدایی، توسعه‌یافته، و بهینه شده باشد، با معیارهایی برای هر سطح که ارزیابی پیشرفت در زمینه‌های مختلف امنیتی مانند مدیریت ریسک، سیاست‌های امنیتی، و واکنش به حوادث را تسهیل کند.

Number of Controls in Standards:
Number of Controls in Standards (تعداد کنترل‌ها در استانداردها) به تعداد و نوع اقدامات و راهکارهایی اشاره دارد که در استانداردهای مختلف امنیتی برای مدیریت و حفاظت از سیستم‌های اطلاعاتی تعیین شده‌اند. این کنترل‌ها می‌توانند شامل معیارهای امنیتی، فرآیندهای مدیریتی، و تکنیک‌های فنی باشند.
مثال:
استاندارد NIST SP 800-53 شامل بیش از 400 کنترل امنیتی است که به سازمان‌ها کمک می‌کند تا اقدامات لازم برای محافظت از سیستم‌های خود را شناسایی و پیاده‌سازی کنند.

Other Standards and Number of Controls:
Other Standards and Number of Controls (استانداردهای دیگر و تعداد کنترل‌ها) به مجموعه‌ای از استانداردهای امنیتی اشاره دارد که در کنار استانداردهایی مانند NIST SP 800-53 وجود دارند و تعداد کنترل‌های مربوط به هر کدام ممکن است متفاوت باشد. این استانداردها به سازمان‌ها کمک می‌کنند تا به روش‌های مختلفی به امنیت اطلاعات و مدیریت ریسک بپردازند.
مثال:
استاندارد ISO/IEC 27001 شامل حدود 114 کنترل است که در قالب 14 بخش مختلف دسته‌بندی شده‌اند، در حالی که استاندارد COBIT 2019 شامل حدود 40 فرآیند مدیریت است که هر کدام مجموعه‌ای از کنترل‌ها را در بر دارد.

Initial Stage, Defined Stage, Managed Stage:
Initial Stage, Defined Stage, Managed Stage (مرحله ابتدایی، مرحله تعریف شده، مرحله مدیریت شده) مراحل مختلف در مدل‌های بلوغ سازمانی هستند که نشان‌دهنده پیشرفت و تکامل فرآیندها و کنترل‌های امنیتی در یک سازمان می‌باشند.
مثال:
در مرحله ابتدایی، سازمان ممکن است فقط اقداماتی ابتدایی و پراکنده انجام دهد. در مرحله تعریف شده، فرآیندها و کنترل‌ها به صورت مستند و منظم تعریف شده‌اند، و در مرحله مدیریت شده، سازمان به صورت مستمر و بهینه‌سازی شده این فرآیندها را مدیریت و نظارت می‌کند.

Advanced Level, Intermediate Level, Defined Stage:
Advanced Level, Intermediate Level, Defined Stage (سطح پیشرفته، سطح میانی، مرحله تعریف شده) سطوح مختلف بلوغ در مدل‌های ارزیابی امنیت سایبری هستند که به ترتیب نشان‌دهنده پیشرفت و تکامل در پیاده‌سازی و مدیریت کنترل‌های امنیتی هستند.
مثال:
در سطح تعریف شده، فرآیندها و کنترل‌ها به طور رسمی مستند شده و به کار گرفته می‌شوند. در سطح میانی، سازمان‌ها فرآیندها را به طور منظم پیاده‌سازی کرده و بهبود می‌دهند. در سطح پیشرفته، سازمان‌ها از تکنیک‌های پیشرفته و بهترین شیوه‌ها استفاده کرده و فرآیندها را به طور مداوم بهینه‌سازی و نوآوری می‌کنند.

بلوغ مدیریت امنیت اطلاعات:
بلوغ مدیریت امنیت اطلاعات (سطح بلوغ مدیریت امنیت اطلاعات) به میزان توانمندی و تکامل سازمان در پیاده‌سازی و مدیریت سیاست‌ها، فرآیندها، و کنترل‌های امنیتی برای حفاظت از اطلاعات اشاره دارد.
مثال:
یک سازمان در این سطح ممکن است دارای سیاست‌های مستند و فرآیندهای مشخص برای مدیریت امنیت اطلاعات باشد که به طور منظم بررسی و به‌روزرسانی می‌شود.

بلوغ فنی و امنیتی:
بلوغ فنی و امنیتی (سطح بلوغ فنی و امنیتی) به میزان پیشرفت و توانمندی در پیاده‌سازی تکنولوژی‌ها و ابزارهای امنیتی برای محافظت از سیستم‌های فناوری اطلاعات و زیرساخت‌ها اشاره دارد.
مثال:
در این سطح، سازمان‌ها ممکن است از تکنیک‌های پیشرفته مانند رمزنگاری، سیستم‌های تشخیص نفوذ، و کنترل‌های دسترسی استفاده کنند.

بلوغ شناسایی و پاسخ به حملات سایبری:
بلوغ شناسایی و پاسخ به حملات سایبری (سطح بلوغ شناسایی و پاسخ به حملات سایبری) به توانمندی سازمان در شناسایی سریع و مؤثر حملات سایبری و واکنش به آن‌ها اشاره دارد.
مثال:
یک سازمان در این سطح ممکن است دارای تیم‌های واکنش به حادثه و ابزارهای تحلیل برای شناسایی و مدیریت تهدیدات باشد.

بلوغ تحلیل امنیتی و ریسک‌مدیریت:
بلوغ تحلیل امنیتی و ریسک‌مدیریت (سطح بلوغ تحلیل امنیتی و ریسک‌مدیریت) به میزان توانمندی در تحلیل تهدیدات امنیتی و مدیریت ریسک‌ها برای به حداقل رساندن آسیب‌های بالقوه اشاره دارد.
مثال:
در این سطح، سازمان‌ها ممکن است از روش‌های پیشرفته تحلیل ریسک و ارزیابی آسیب‌پذیری استفاده کنند و برنامه‌های مدیریت ریسک را به صورت مداوم به‌روزرسانی کنند.

بلوغ امنیت دیتاسنتر:
بلوغ امنیت دیتاسنتر (سطح بلوغ امنیت دیتاسنتر) به توانمندی سازمان در محافظت از زیرساخت‌های دیتاسنتر و اطلاعات ذخیره شده در آن‌ها اشاره دارد.
مثال:
یک سازمان در این سطح ممکن است از کنترل‌های فیزیکی و الکترونیکی مانند سیستم‌های نظارت و کنترل دسترسی برای حفاظت از دیتاسنتر استفاده کند.

بلوغ امنیت شبکه:
بلوغ امنیت شبکه (سطح بلوغ امنیت شبکه) به میزان پیشرفت در محافظت از شبکه‌های ارتباطی و داده‌ها در برابر تهدیدات و نفوذهای خارجی و داخلی اشاره دارد.
مثال:
سازمان‌ها ممکن است از فایروال‌ها، سیستم‌های پیشگیری از نفوذ، و ابزارهای تحلیل ترافیک برای تقویت امنیت شبکه استفاده کنند.

بلوغ امنیت سایبری صنعتی:
بلوغ امنیت سایبری صنعتی (سطح بلوغ امنیت سایبری صنعتی) به توانمندی در محافظت از سیستم‌های کنترل صنعتی و تجهیزات مرتبط در برابر تهدیدات سایبری اشاره دارد.
مثال:
در این سطح، سازمان‌ها ممکن است از تکنیک‌های امنیتی ویژه برای سیستم‌های کنترل صنعتی و شبکه‌های مرتبط استفاده کنند.

بلوغ امنیت اینترنت اشیاء (IoT):
بلوغ امنیت اینترنت اشیاء (IoT) (سطح بلوغ امنیت اینترنت اشیاء) به میزان توانمندی در محافظت از دستگاه‌ها و سیستم‌های متصل به اینترنت اشیاء اشاره دارد.
مثال:
سازمان‌ها در این سطح ممکن است از روش‌های امنیتی خاص مانند رمزنگاری و مدیریت هویت برای ایمن‌سازی دستگاه‌های IoT استفاده کنند.

بلوغ امنیت کاربران و آموزش به کارکنان در زمینه امنیت سایبری:
بلوغ امنیت کاربران و آموزش به کارکنان در زمینه امنیت سایبری (سطح بلوغ امنیت کاربران و آموزش) به توانمندی در آموزش کارکنان و ارتقاء آگاهی آن‌ها در زمینه امنیت سایبری اشاره دارد.
مثال:
سازمان‌ها ممکن است برنامه‌های آموزشی منظم و ارزیابی‌های امنیتی برای کارکنان خود اجرا کنند تا آگاهی و آمادگی آن‌ها را در برابر تهدیدات سایبری افزایش دهند.

بلوغ امنیت برای کسب‌وکارهای کوچک و متوسط (SMBs):
بلوغ امنیت برای کسب‌وکارهای کوچک و متوسط (SMBs) (سطح بلوغ امنیت برای SMBs) به توانمندی سازمان‌های کوچک و متوسط در پیاده‌سازی اقدامات امنیتی مناسب و متناسب با اندازه و نیازهای خود اشاره دارد.
مثال:
کسب‌وکارهای کوچک و متوسط ممکن است از راهکارهای امنیتی مقرون به صرفه و مقیاس‌پذیر استفاده کنند که با منابع محدود آن‌ها سازگار باشد.

همچنین باید توجه داشت که این لیست می‌تواند با توجه به پویایی حوزه سایبری و تحولات جدید، در آینده به روزرسانی شود.

استاندارد NIST:
استاندارد NIST (مؤسسه ملی استانداردها و فناوری) یک سامانه شناسایی، پیشگیری و پاسخ به حملات سایبری را فراهم می‌کند.
مثال:
این استاندارد شامل مجموعه‌ای از کنترل‌ها و راهنمایی‌ها برای ارزیابی و بهبود وضعیت امنیت سایبری سازمان‌ها است.

استاندارد ISO/IEC 27001:
استاندارد ISO/IEC 27001 استانداردی برای مدیریت امنیت اطلاعات است که شامل رویه‌ها، روش‌ها و سیاست‌های مدیریت امنیت اطلاعات می‌باشد.
مثال:
این استاندارد به سازمان‌ها کمک می‌کند تا یک سیستم مدیریت امنیت اطلاعات (ISMS) ایجاد کنند و اطلاعات حساس را محافظت کنند.

استاندارد PCI DSS:
استاندارد PCI DSS استانداردی برای امنیت پرداخت است که شامل روش‌هایی برای جلوگیری از سوء استفاده از اطلاعات کارت اعتباری و پرداخت الکترونیکی می‌باشد.
مثال:
این استاندارد برای تضمین امنیت اطلاعات کارت‌های اعتباری و کاهش ریسک‌های مرتبط با پرداخت‌های الکترونیکی طراحی شده است.

استاندارد HIPAA:
استاندارد HIPAA یک استاندارد ایمنی و حفاظت از اطلاعات پزشکی و سلامت است که برای مراکز پزشکی و داروخانه‌ها معرفی شده است.
مثال:
این استاندارد شامل الزامات سخت‌گیرانه‌ای برای حفاظت از اطلاعات سلامت بیماران و اطمینان از حفظ حریم خصوصی آنهاست.

استاندارد GDPR:
استاندارد GDPR یک استاندارد اروپایی برای حفاظت از حریم خصوصی و حفظ امنیت اطلاعات شخصی است.
مثال:
این استاندارد به حفاظت از داده‌های شخصی کاربران در سراسر اتحادیه اروپا می‌پردازد و الزامات سخت‌گیرانه‌ای برای مدیریت داده‌ها اعمال می‌کند.

استاندارد CIS Controls:
استاندارد CIS Controls یک راهنمای جامع برای مدیریت امنیت سایبری و رفع نواقص امنیتی در یک سازمان است.
مثال:
این استاندارد شامل مجموعه‌ای از کنترل‌ها و اقدامات عملی برای بهبود امنیت سایبری در سازمان‌ها می‌باشد.

استاندارد COBIT:
استاندارد COBIT یک چارچوب مدیریتی برای ارتباط بین تکنولوژی اطلاعات و اهداف تجاری در یک سازمان است.
مثال:
این استاندارد به سازمان‌ها کمک می‌کند تا از طریق بهینه‌سازی استفاده از فناوری اطلاعات به اهداف تجاری خود دست یابند.

استاندارد OWASP:
استاندارد OWASP یک استاندارد برای امنیت نرم‌افزارهای وب است که شامل یک فهرست از آسیب‌پذیری‌های معروف در نرم‌افزارهای وب می‌باشد.
مثال:
این استاندارد به توسعه‌دهندگان و سازمان‌ها کمک می‌کند تا امنیت نرم‌افزارهای وب خود را بهبود بخشند و از حملات معمول جلوگیری کنند.

استاندارد CISQ:
استاندارد CISQ استانداردی برای ارزیابی کیفیت نرم‌افزار و امنیت آن است.
مثال:
این استاندارد شامل مجموعه‌ای از معیارها برای ارزیابی کیفیت نرم‌افزار و تضمین امنیت در فرایند توسعه نرم‌افزار است.

استاندارد BSIMM:
استاندارد BSIMM یک مدل بلوغ برای ارزیابی امنیت نرم‌افزار است که به شرکت‌ها کمک می‌کند تا پایداری و بلوغ سایبری خود را بهبود بخشند.
مثال:
این استاندارد به سازمان‌ها اجازه می‌دهد تا برنامه‌های امنیتی خود را ارزیابی کرده و بهترین شیوه‌ها را برای بهبود امنیت نرم‌افزار به کار گیرند.

چرخه عمر امنیتی (Security Development Lifecycle):
چرخه عمر امنیتی یک روش مدیریت بلوغ برای تضمین امنیت برنامه‌های کامپیوتری است که در طول زمان و چرخه عمر برنامه اعمال می‌شود.
مثال:
این مدل شامل مراحل طراحی، پیاده‌سازی، آزمایش و نگهداری امنیتی در فرایند توسعه نرم‌افزار است.

NIST Cybersecurity Framework:
چارچوب امنیت سایبری NIST یک راهنمای مدیریت بلوغ امنیت سایبری است که توسط مؤسسه ملی استاندارد و فناوری ایالات متحده (NIST) توسعه یافته است. این راهنما شامل پنج بخش اصلی از جمله شناسایی، حفاظت، تشخیص، پاسخگویی و بهبود است.
مثال:
این چارچوب به سازمان‌ها کمک می‌کند تا نقاط ضعف خود را شناسایی کرده و راهکارهای بهینه برای حفاظت از سیستم‌ها و داده‌ها پیاده‌سازی کنند.

CIS Controls:
کنترل‌های امنیتی CIS یک سیستم مدیریت بلوغ امنیت سایبری است که توسط انجمن امنیتی موسسات (CIS) توسعه یافته است. این سیستم شامل 20 کنترل امنیتی اساسی است که به تنظیم، مانیتورینگ و حفاظت از فعالیت‌های سایبری در یک سازمان کمک می‌کند.
مثال:
این کنترل‌ها شامل اقدامات کلیدی مانند مدیریت حساب‌های کاربری، محافظت از شبکه و سیستم‌های اطلاعاتی، و مقابله با تهدیدات سایبری است.

ISO 27001:
استاندارد ISO 27001 یک استاندارد جهانی برای مدیریت امنیت اطلاعات است که شامل روش‌ها و فرآیندهای مورد نیاز برای تضمین امنیت اطلاعات در سازمان‌ها است.
مثال:
این استاندارد به سازمان‌ها کمک می‌کند تا یک سیستم مدیریت امنیت اطلاعات (ISMS) ایجاد کنند و اطلاعات حساس را محافظت کنند.

COBIT:
چارچوب COBIT یک چارچوب مدیریت بلوغ است که از مجموعه‌ای از راهنماهای بین‌المللی، استانداردها و بهترین روش‌های صنعت استفاده می‌کند. این چارچوب برای مدیریت بلوغ فرآیندهای IT در سازمان‌ها استفاده می‌شود.
مثال:
COBIT به سازمان‌ها کمک می‌کند تا از طریق بهینه‌سازی استفاده از فناوری اطلاعات به اهداف تجاری خود دست یابند.

FAIR:
چارچوب FAIR یک چارچوب مدیریت بلوغ است که برای تخمین و مقایسه ریسک‌های امنیتی در سازمان‌ها استفاده می‌شود. FAIR مخفف Factor Analysis of Information Risk است.
مثال:
این مدل به سازمان‌ها کمک می‌کند تا ریسک‌های مرتبط با اطلاعات خود را شناسایی کرده و استراتژی‌های مناسب برای کاهش این ریسک‌ها تدوین کنند.

SABSA:
چارچوب SABSA یک چارچوب مدیریت بلوغ امنیت سایبری است که برای طراحی و پیاده‌سازی راه‌حل‌های امنیتی مبتنی بر ریسک در سازمان‌ها استفاده می‌شود. این چارچوب شامل سه لایه اصلی به نام‌های استراتژی، معماری و عملیاتی است و در هر لایه از مجموعه‌ای از فرآیندها و مدل‌های امنیتی استفاده می‌کند.
مثال:
SABSA به سازمان‌ها کمک می‌کند تا امنیت سایبری را به‌عنوان یک فرآیند استراتژیک در کل سازمان نهادینه کنند.

Zero Trust:
مدل امنیتی Zero Trust یک مدل امنیتی است که برای حفاظت از داده‌ها و منابع سازمان در برابر تهدیدات سایبری استفاده می‌شود. این مدل فرض می‌کند که هیچ دسترسی به منابع سازمان بدون احراز هویت و اجازه دسترسی امن نیست و همه فعالیت‌های کاربران و دستگاه‌ها باید مداوماً بررسی و تحلیل شوند.
مثال:
Zero Trust به سازمان‌ها کمک می‌کند تا به‌طور مداوم سیاست‌های امنیتی خود را بروزرسانی کرده و از داده‌ها و منابع خود به‌طور مؤثرتر حفاظت کنند.

شاخص امنیتی CIS (CIS Security Metrics):
شاخص‌های امنیتی CIS یک مجموعه شاخص‌های امنیتی است که به سازمان‌ها کمک می‌کند تا عملکرد امنیتی خود را ارزیابی کنند و میزان پیشرفت خود را در راستای بهبود امنیت سایبری مشاهده کنند.
مثال:
این شاخص‌ها به سازمان‌ها کمک می‌کنند تا نقاط ضعف خود را شناسایی و اقدامات اصلاحی مناسب را انجام دهند.

Threat Modeling:
مدل‌سازی تهدیدات یک فرآیند تحلیلی است که برای شناسایی و تحلیل تهدیدات سایبری در سیستم‌های کامپیوتری و برنامه‌های کاربردی استفاده می‌شود. این فرآیند شامل تعیین مسیر حملات، شناسایی آسیب‌پذیری‌ها و مقایسه ریسک‌های امنیتی است.
مثال:
مدل‌سازی تهدیدات به توسعه‌دهندگان و مهندسان امنیتی کمک می‌کند تا آسیب‌پذیری‌های احتمالی را شناسایی کرده و اقدامات پیشگیرانه را اعمال کنند.

ISO 27001:
استاندارد ISO 27001 یک استاندارد جهانی برای مدیریت امنیت سایبری در سازمان‌ها است که به صورت یک چارچوب مدیریت بلوغ امنیتی عمل می‌کند. این استاندارد مشخصاتی را برای مدیریت امنیت سایبری در سازمان‌ها ارائه می‌دهد و شامل چهار مرحله اصلی به نام‌های برنامه‌ریزی، پیاده‌سازی، عملیات و بهبود است.
مثال:
این استاندارد به سازمان‌ها کمک می‌کند تا یک سیستم جامع برای مدیریت امنیت اطلاعات خود ایجاد کنند.

NIST Cybersecurity Framework:
چارچوب امنیت سایبری NIST یک چارچوب مدیریت بلوغ امنیت سایبری است که توسط مؤسسه ملی استانداردها و فناوری ایالات متحده (NIST) توسعه داده شده است. این چارچوب شامل پنج مرحله اصلی به نام‌های شناسایی، حفاظت، تشخیص، پاسخگویی و بهبود است.
مثال:
این چارچوب به سازمان‌ها کمک می‌کند تا استراتژی‌های امنیتی خود را تعریف و بهبود بخشند.

COBIT:
چارچوب COBIT یک چارچوب مدیریت بلوغ امنیت سایبری است که برای مدیریت فرآیندهای IT در سازمان‌ها و بهبود کیفیت و کارایی این فرآیندها ایجاد شده است. این چارچوب شامل پنج عملکرد اصلی به نام‌های تدارک، فرآیند، پیاده‌سازی، ارزیابی و بهبود است.
مثال:
COBIT به سازمان‌ها کمک می‌کند تا فرآیندهای IT خود را بهینه‌سازی کرده و به اهداف تجاری خود دست یابند.

CIS Controls:
کنترل‌های امنیتی CIS یک فهرست از شیوه‌ها، رویه‌ها و تکنیک‌های امنیتی است که به سازمان‌ها کمک می‌کند تا موارد امنیتی کلیدی را شناسایی کنند و برای محافظت از اطلاعات خود در برابر تهدیدات سایبری اقدام کنند. این فهرست شامل ۲۰ مورد اصلی به نام‌های پوشش پایه، پیشگیری از حملات، حفاظت از اطلاعات و زیرساخت‌های کلیدی است.
مثال:
این فهرست به سازمان‌ها کمک می‌کند تا یک چارچوب جامع برای مدیریت امنیت سایبری خود ایجاد کنند.

CSA Cloud Controls Matrix:
ماتریس کنترل‌های ابری CSA یک مجموعه شیوه‌های امنیتی است که به شرکت‌ها کمک می‌کند تا برای محافظت از اطلاعات خود در محیط استفاده از خدمات ابری اقدام کنند. این مجموعه شامل ۱۷ دسته‌بندی اصلی به نام‌های پوشش سرویس‌های ابری، نگهداری، تنظیمات امنیتی، احراز هویت و دسترسی، رصد و ردیابی، رفع خطا و بهبود، مدیریت حوادث، پیشگیری از تهدیدات داخلی، مدیریت ارتباط با مشتریان و قانونگذاری است.
مثال:
این ماتریس به سازمان‌ها کمک می‌کند تا امنیت اطلاعات خود را در محیط ابری بهبود بخشند.

ISA/IEC 62443:
استاندارد ISA/IEC 62443 یک استاندارد جهانی برای مدیریت امنیت سایبری در سیستم‌های کنترل صنعتی است که توسط سازمان بین‌المللی استانداردها (ISA) توسعه داده شده است. این استاندارد شامل چهار بخش اصلی به نام‌های مفاهیم اولیه، معماری، فرآیندها و پیاده‌سازی است.
مثال:
این استاندارد به سازمان‌ها کمک می‌کند تا سیستم‌های کنترل صنعتی خود را از تهدیدات سایبری محافظت کنند.

HIPAA Security Rule:
قوانین امنیتی HIPAA یک مجموعه قوانین و مقررات است که توسط وزارت بهداشت و خدمات انسانی ایالات متحده (HHS) ایجاد شده است و برای حفاظت از اطلاعات پزشکی بیماران در سازمان‌های مربوط به حوزه بهداشت و درمان اعمال می‌شود. این مجموعه شامل تدابیری برای محافظت از حریم شخصی بیماران و اطلاعات پزشکی آنان، کنترل دسترسی به این اطلاعات و مدیریت ریسک امنیتی است.
مثال:
این قوانین به سازمان‌ها کمک می‌کند تا اطلاعات پزشکی بیماران خود را محافظت کرده و از نقض حریم خصوصی جلوگیری کنند.

C2M2 MATURITY INDICATOR LEVELS:
C2M2 یک چارچوب مدیریت امنیت سایبری است که برای ارزیابی و بهبود قابلیت‌های امنیتی سازمان‌ها طراحی شده است. در این چارچوب، سطوح نشان دهنده قابلیت‌های امنیتی سازمان هستند که به آنها می‌توان به عنوان Maturity Indicator Levels (MILs) یا سطوح نشانگر رشد گفت.
مثال:
این چارچوب به سازمان‌ها کمک می‌کند تا به‌طور نظام‌مند قابلیت‌های امنیتی خود را توسعه دهند.

سطح ۱: مبتدی (Initial):
سطح ۱ در این سطح، سازمان هنوز به تأسیس و تدارک بنیادین قابلیت‌های امنیتی نرسیده است. سازمان اطلاعات و آگاهی کمی درباره امنیت سایبری دارد و برای پاسخ به تهدیدات و نفوذهای سایبری، از رویه‌های نادرست و فردی استفاده می‌کند.
مثال:
سازمان‌هایی که در این سطح قرار دارند، معمولاً برنامه‌های امنیتی منظم ندارند.

سطح ۲: تجربی (Experienced):
سطح ۲ در این سطح، سازمان شروع به توسعه و پیاده‌سازی برنامه‌های امنیتی می‌کند. این برنامه‌ها شامل پایش فعالیت‌های شبکه و بروزرسانی آنها، آموزش کارکنان در خصوص امنیت سایبری و ایجاد رویه‌های امنیتی است.
مثال:
در این سطح، سازمان‌ها اغلب برنامه‌های ابتدایی برای مدیریت تهدیدات و آموزش کارکنان دارند.

سطح ۳: مستندسازی شده (Documented):
سطح ۳ در این سطح، سازمان پایه‌های قابلیت‌های امنیتی خود را برای تأسیس برنامه‌های امنیتی و توسعه رویه‌های امنیتی، مستند می‌کند.
مثال:
در این سطح، سازمان‌ها دارای اسناد و دستورالعمل‌های روشن برای مدیریت امنیت سایبری هستند.

سطح ۴: قابل تکامل (Managed):
سطح ۴ در این سطح، سازمان توانسته است برنامه‌های امنیتی خود را توسعه دهد و آنها را پیاده کند. در این سطح، سازمان برنامه‌های خود را برای پاسخ به تهدیدات سایبری و مدیریت ریسک‌های امنیتی به روز رسانی می‌کند. سازمان از رویه‌هایی مانند نظارت، تحلیل ریسک و به روز رسانی‌های مداوم استفاده می‌کند.
مثال:
سازمان‌هایی که در این سطح قرار دارند، به‌طور منظم امنیت خود را مانیتور و تحلیل می‌کنند و از به‌روز‌رسانی‌های امنیتی بهره می‌برند.

سطح ۵: بهینه شده (Optimized):
سطح ۵ در این سطح، سازمان برنامه‌های امنیتی خود را به روز رسانی و بهینه می‌کند. سازمان از داده‌های عملکرد خود برای بهبود فرآیندها، بهبود کارایی و کاهش هزینه‌های امنیتی استفاده می‌کند. همچنین، سازمان همکاری با سایر سازمان‌ها در خصوص بهبود قابلیت‌های امنیتی، اطلاعات و تجربیات خود را با دیگران به اشتراک می‌گذارد.
مثال:
در این سطح، سازمان‌ها به‌طور فعال به اشتراک‌گذاری بهترین روش‌ها و نوآوری‌ها در زمینه امنیت سایبری می‌پردازند.

Risk Management (RM):
مدیریت ریسک فرآیند شناسایی، ارزیابی و اولویت‌بندی ریسک‌های امنیت سایبری برای کاهش تأثیرات منفی آنها است.
مثال:
سازمان‌ها با استفاده از مدیریت ریسک می‌توانند تهدیدات احتمالی را پیش‌بینی کرده و برنامه‌های مناسب برای کاهش ریسک‌ها طراحی کنند.

Asset, Change, and Configuration Management (ACM):
مدیریت دارایی‌ها، تغییرات و پیکربندی فرآیند مدیریت منابع و دارایی‌های سازمانی، کنترل تغییرات و پیکربندی‌های سیستم‌ها و برنامه‌ها است.
مثال:
سازمان‌ها با استفاده از ACM می‌توانند منابع خود را به طور کارآمد مدیریت کرده و از ایجاد تغییرات ناخواسته جلوگیری کنند.

Identity and Access Management (IAM):
مدیریت هویت و دسترسی فرآیند مدیریت هویت کاربران و کنترل دسترسی به سیستم‌ها و اطلاعات است.
مثال:
IAM به سازمان‌ها کمک می‌کند تا مطمئن شوند که تنها کاربران مجاز به اطلاعات حساس دسترسی دارند.

Threat and Vulnerability Management (TVM):
مدیریت تهدیدات و آسیب‌پذیری‌ها فرآیند شناسایی، ارزیابی و مدیریت تهدیدات و آسیب‌پذیری‌های امنیتی در سیستم‌ها و شبکه‌ها است.
مثال:
سازمان‌ها با استفاده از TVM می‌توانند تهدیدات احتمالی را شناسایی کرده و آسیب‌پذیری‌ها را به حداقل برسانند.

Situational Awareness (SA):
آگاهی موقعیتی فرآیند نظارت و تحلیل اطلاعات به منظور درک موقعیت امنیتی فعلی سازمان است.
مثال:
SA به سازمان‌ها کمک می‌کند تا به سرعت نسبت به تهدیدات جدید واکنش نشان دهند و از حوادث امنیتی جلوگیری کنند.

Event and Incident Response, Continuity of Operations (IR):
پاسخ به رویدادها و حوادث، استمرار عملیات فرآیند شناسایی، پاسخگویی و بازیابی از حوادث امنیتی به منظور حفظ عملکرد مستمر سازمان است.
مثال:
سازمان‌ها با استفاده از IR می‌توانند تأثیرات ناشی از حوادث امنیتی را کاهش دهند و عملیات خود را به سرعت بازیابی کنند.

Supply Chain and External Dependencies Management (EDM):
مدیریت زنجیره تأمین و وابستگی‌های خارجی فرآیند مدیریت روابط و وابستگی‌های امنیتی با تأمین‌کنندگان و سایر طرف‌های خارجی است.
مثال:
EDM به سازمان‌ها کمک می‌کند تا ریسک‌های مرتبط با زنجیره تأمین و وابستگی‌های خارجی را مدیریت کنند.

Workforce Management (WF):
مدیریت نیروی کار فرآیند توسعه و مدیریت توانمندی‌های نیروی کار برای مقابله با تهدیدات سایبری است.
مثال:
سازمان‌ها با استفاده از WF می‌توانند مهارت‌های امنیت سایبری کارکنان خود را ارتقاء دهند.

Cybersecurity Program Management (CPM):
مدیریت برنامه امنیت سایبری فرآیند مدیریت کلی برنامه‌ها و فعالیت‌های امنیت سایبری در سازمان است.
مثال:
CPM به سازمان‌ها کمک می‌کند تا برنامه‌های امنیت سایبری خود را به صورت مؤثر مدیریت کنند و منابع را بهینه‌سازی کنند.

Information Sharing and Communications (ISC):
اشتراک‌گذاری اطلاعات و ارتباطات فرآیند به اشتراک‌گذاری اطلاعات امنیتی با سایر سازمان‌ها و نهادها به منظور بهبود آگاهی و پاسخ به تهدیدات است.
مثال:
سازمان‌ها با استفاده از ISC می‌توانند از تجربیات و اطلاعات سایر سازمان‌ها بهره‌مند شوند و بهتر به تهدیدات پاسخ دهند.

AD HOC مدل در مدیریت امنیت اطلاعات:
مدل AD HOC در مدیریت امنیت اطلاعات به رویکردی غیرسیستماتیک و موقتی برای مدیریت امنیت اطلاعات در سازمان اشاره دارد. در این مدل، سازمان‌ها فاقد ساختارهای رسمی، سیاست‌ها و رویه‌های امنیتی منظم هستند و اقدامات امنیتی به صورت واکنشی و بدون برنامه‌ریزی بلندمدت انجام می‌شود.
مثال:
در یک سازمان با مدل AD HOC، ممکن است به جای داشتن سیاست‌های مشخص برای مدیریت دسترسی‌ها، هر بار که یک کارمند به اطلاعات خاصی نیاز دارد، دسترسی به صورت جداگانه و بدون معیارهای ثابت اعطا شود. این مدل می‌تواند به کاهش کارایی و افزایش خطرات امنیتی منجر شود زیرا رویکردی استاندارد و سیستماتیک برای محافظت از اطلاعات وجود ندارد.

Risk Assessment (ارزیابی ریسک):
ارزیابی ریسک فرآیند جمع‌آوری و تجزیه و تحلیل اطلاعات در مورد دارایی‌ها و کنترل‌های شما، و ترکیب آن داده‌ها با ارزیابی احتمال وقوع رویدادهایی است که می‌تواند تهدیدی برای محیط فناوری اطلاعات باشد و تأثیر بالقوه آنها را مشخص می‌کند. این فرآیند به منظور تعریف و اولویت‌بندی ریسک‌های موجود انجام می‌شود.
مثال:
سازمان‌ها می‌توانند با انجام ارزیابی ریسک، نقاط ضعف سیستم‌ها و دارایی‌های خود را شناسایی کرده و برنامه‌های پیشگیرانه‌ای برای مقابله با تهدیدات احتمالی طراحی کنند.

Risk Treatment (درمان ریسک):
درمان ریسک شامل اقداماتی است که برای اصلاح، کاهش، اجتناب، پذیرش، انتقال یا مدیریت ریسک‌ها انجام می‌شود. این فرآیند بر اساس نتایج ارزیابی ریسک، به منظور کاهش یا از بین بردن ریسک‌ها و تضمین امنیت دارایی‌ها انجام می‌شود. مراحل اصلی درمان ریسک شامل: شناسایی ریسک، ارزیابی و تجزیه و تحلیل ریسک، تعیین استراتژی درمان ریسک، و پیاده‌سازی و پایش برنامه درمان ریسک می‌باشد.
مثال:
یک سازمان ممکن است تصمیم بگیرد برای درمان ریسک، اقدام به رمزگذاری داده‌های حساس خود کند تا در صورت نفوذ، اطلاعات سرقتی قابل استفاده نباشند.

Mitigation (اصلاح):
اصلاح به کاهش میزان خطر احتمالی اشاره دارد. این کار شامل شناسایی عوامل ایجاد ریسک و تلاش برای رفع یا کاهش آنها به منظور کاهش ریسک است.
مثال:
سازمان‌ها می‌توانند با نصب فایروال‌ها و آنتی‌ویروس‌ها، احتمال بروز حملات سایبری را کاهش دهند.

Reduction (کاهش):
کاهش به معنای کاهش اثرات مخرب ریسک‌ها است. برای این منظور، باید عواملی که می‌توانند به خطرات ایجاد شده توسط ریسک‌ها کمک کنند، شناسایی شوند و برای کاهش اثرات مخرب آنها اقدامات لازم صورت گیرد.
مثال:
استفاده از پشتیبان‌گیری منظم از داده‌ها به منظور کاهش اثرات مخرب از دست رفتن اطلاعات در صورت بروز یک حمله سایبری.

Avoidance (اجتناب):
اجتناب به معنای جلوگیری از بروز ریسک‌های جدید است. این روش شامل شناسایی عوامل محتمل ایجاد ریسک و اجتناب از آنها می‌باشد.
مثال:
سازمان‌ها ممکن است از استفاده از نرم‌افزارهای با ریسک بالا و بدون پشتیبانی اجتناب کنند تا از بروز مشکلات امنیتی جلوگیری شود.

Acceptance (پذیرش):
پذیرش به معنای پذیرش ریسک و انجام فعالیت‌هایی برای کاهش میزان خطرات آن است. برخی ریسک‌ها ممکن است قابل قبول باشند و مدیریت شوند.
مثال:
سازمان ممکن است ریسک‌های کوچک و کم‌هزینه را بپذیرد و فقط برای مدیریت و پاسخگویی به آنها آمادگی داشته باشد.

Transfer (انتقال):
انتقال به معنای انتقال ریسک به شخص یا سازمان دیگری است. در این روش، مسئولیت مدیریت ریسک به سازمان یا شخص دیگری واگذار می‌شود.
مثال:
سازمان‌ها می‌توانند با بستن قرارداد بیمه‌گذاری، ریسک‌های مالی ناشی از حملات سایبری را به شرکت‌های بیمه انتقال دهند.

Management (مدیریت):
مدیریت شامل شناسایی، تحلیل و مدیریت ریسک‌ها است. این روش شامل استفاده از ابزارها، فرایندها، سیاست‌ها و فناوری‌هایی است که به منظور پیشگیری از بروز ریسک‌ها و مدیریت ایمنی سیستم‌های اطلاعاتی استفاده می‌شود.
مثال:
ایجاد یک تیم مدیریت بحران برای واکنش سریع به تهدیدات امنیتی و کاهش اثرات آنها.

Mitigation (اصلاح):
اصلاح برای کاهش احتمال بروز ریسک یا کاهش تأثیرات آن‌ها، از روش‌های مختلفی استفاده می‌شود. برای مثال، استفاده از روش‌های تحلیلی، فنی و مدیریتی برای جلوگیری از بروز ریسک.
مثال:
استفاده از سیستم‌های تشخیص نفوذ (IDS) برای شناسایی و پاسخ به حملات سایبری قبل از وقوع آنها.

Reduction (کاهش):
کاهش شامل کاهش احتمال بروز ریسک و تأثیرات آن‌ها است. برای مثال، استفاده از روش‌های امنیتی مانند رمزگذاری و شبکه‌های امن.
مثال:
استفاده از تکنیک‌های رمزگذاری قوی برای حفاظت از اطلاعات حساس در برابر دسترسی غیرمجاز.

Avoidance (اجتناب):
اجتناب شامل جلوگیری از فعالیت‌هایی است که می‌توانند ریسک ایجاد کنند. این روش از بروز ریسک و تأثیرات آن‌ها جلوگیری می‌کند.
مثال:
تصمیم به عدم استفاده از فناوری‌هایی که ریسک‌های امنیتی بالا دارند، مانند اجتناب از استفاده از شبکه‌های بی‌سیم ناامن.

Acceptance (پذیرش):
پذیرش به معنای پذیرش ریسک با اطلاع از آن و عدم امکان اجتناب یا کاهش آن است. این روش شامل مدیریت و پاسخ به ریسک‌ها می‌شود.
مثال:
پذیرش احتمال بروز حملات DDoS و برنامه‌ریزی برای واکنش سریع به آنها.

Transfer (انتقال):
انتقال شامل انتقال ریسک به سازمان یا شخص دیگری است که در صورت بروز ریسک، مسئولیت مدیریت آن را بر عهده می‌گیرد.
مثال:
بستن قرارداد با شرکت‌های تخصصی امنیتی برای مدیریت و پاسخ به تهدیدات سایبری.

Management (مدیریت):
مدیریت شامل ارزیابی و مدیریت ریسک‌ها برای جلوگیری از بروز و کاهش تأثیرات آن‌ها است. این روش شامل استفاده از سیاست‌ها و رویه‌های امنیتی مناسب است.
مثال:
اجرای برنامه‌های آموزش امنیتی برای کارکنان به منظور افزایش آگاهی و جلوگیری از خطاهای انسانی در برخورد با تهدیدات سایبری.

مرحله شماره 1. آماده کردن (Prepare):
آماده سازی شامل شناسایی نقش‌های کلیدی در مدیریت ریسک است. این مرحله شامل تعیین میزان تحمل ریسک سازمان و انجام یک ارزیابی ریسک در سطح سازمان از خطرات امنیتی و حریم خصوصی ناشی از بهره‌برداری و استفاده از سیستم‌های فناوری اطلاعات است.
مثال:
سازمان می‌تواند تیم مدیریت ریسک خود را با تعیین وظایف و مسئولیت‌های کلیدی اعضای تیم شکل دهد و استانداردهایی را برای ارزیابی ریسک‌ها تعیین کند.

مرحله شماره 2. طبقه بندی (Categorize):
طبقه بندی در این مرحله، سیستم‌های فناوری اطلاعات بر اساس سطح ریسک دسته‌بندی می‌شوند. این مرحله شامل ارزیابی تأثیرات نامطلوب از دست دادن محرمانگی، یکپارچگی یا در دسترس بودن سیستم‌ها و اطلاعاتی که پردازش، ذخیره یا منتقل می‌کنند، است.
مثال:
سازمان می‌تواند سیستم‌های خود را به دسته‌هایی مانند سیستم‌های حیاتی و غیرحیاتی طبقه‌بندی کند و برای هر دسته سطح امنیتی مناسب را تعیین کند.

مرحله شماره 3. انتخاب کنید (Select):
انتخاب بر اساس نتایج مرحله قبل، باید کنترل‌های مناسب را برای هر سیستم انتخاب و پیاده‌سازی کنید. در این مرحله، بر اساس دسته‌بندی ریسک‌های امنیتی، تصمیم می‌گیرید که چه کنترل‌های امنیتی پایه را می‌خواهید اجرا کنید.
مثال:
انتخاب و پیاده‌سازی پروتکل‌های امنیتی مانند SSL/TLS برای حفاظت از اطلاعات در حال انتقال در سیستم‌های حساس.

مرحله شماره 4. پیاده سازی (Implement):
پیاده سازی گام بعدی اجرای کنترل‌ها برای کاهش خطرات امنیتی و حریم خصوصی سیستم است. این مرحله شامل نصب و پیکربندی ابزارها و فناوری‌های امنیتی مورد نیاز می‌باشد.
مثال:
نصب فایروال‌ها و سیستم‌های تشخیص نفوذ (IDS) برای حفاظت از شبکه‌های سازمانی.

مرحله شماره 5. ارزیابی کنید (Assess):
ارزیابی کنید در این مرحله، کنترل‌ها بررسی می‌شوند تا اطمینان حاصل شود که به درستی اجرا شده‌اند و همانطور که انتظار می‌رود برای حفاظت از سیستم‌ها عمل می‌کنند.
مثال:
انجام تست‌های نفوذ (penetration testing) برای ارزیابی اثربخشی کنترل‌های امنیتی پیاده‌سازی شده.

مرحله شماره 6. مجاز کردن (Authorize):
مجاز کردن برای آژانس‌های فدرال، زمانی که کنترل‌های امنیتی اعمال شد، ممکن است سیستم مجوز عملیات (ATO) را دریافت کند (یا رد شود). برای سایر سازمان‌ها، ذینفعان داخلی یا خارجی ممکن است نیاز داشته باشند بسته مجوزی را که شامل برنامه‌های امنیتی و حریم خصوصی، نقاط عطف، گزارش‌های ارزیابی و شواهد پشتیبان است، بررسی کنند.
مثال:
تهیه مستندات لازم برای دریافت مجوز عملیاتی از مراجع قانونی یا داخلی.

مرحله شماره 7. نظارت کنید (Monitor):
نظارت کنید برای آژانس‌های فدرال، کنترل‌های سیستم باید به طور منظم بررسی شوند. یک ATO فقط برای سه سال معتبر است و پس از آن کل فرآیند باید دوباره انجام شود. برای سایر سازمان‌ها، نظارت مستمر بر کنترل‌ها برای اطمینان از مؤثر باقی ماندن آنها و انجام به‌روزرسانی‌ها بر اساس تغییرات در محیط فناوری اطلاعات یا چشم‌انداز تهدید ضروری است.
مثال:
اجرای یک برنامه نظارت و گزارش‌دهی مستمر برای ارزیابی وضعیت امنیتی سازمان و به‌روزرسانی سیاست‌ها و رویه‌ها بر اساس تهدیدات جدید.