ISMS:
ISMS (سیستم مدیریت امنیت اطلاعات) یک چارچوبی است که مجموعهای از سیاستها، فرآیندها، و رویهها را برای مدیریت امنیت اطلاعات سازمان فراهم میکند. این سیستم به محافظت از اطلاعات و کاهش ریسکهای امنیتی کمک میکند.
مثال:
شرکتها برای اطمینان از امنیت اطلاعات حساس خود، از ISMS برای ارزیابی و مدیریت ریسکهای امنیتی استفاده میکنند.
ISMS Controllers:
ISMS Controllers (کنترلکنندههای سیستم مدیریت امنیت اطلاعات) عناصری از ISMS هستند که وظیفه پیادهسازی و مدیریت اقدامات و سیاستهای امنیتی را در سازمان دارند. این کنترلکنندهها شامل فرآیندها، رویهها، ابزارها، و افراد مسئول برای محافظت از اطلاعات سازمان میشوند.
مثال:
در یک سازمان، ISMS Controllers میتوانند شامل استفاده از نرمافزارهای امنیتی، انجام ممیزیهای امنیتی، و آموزش کارکنان در زمینه امنیت اطلاعات باشند.
Plan-Do-Check-Act (PDCA):
PDCA (برنامهریزی-انجام-بررسی-اقدام) یک مدل مدیریتی است که به عنوان یک ابزار بهبود مستمر استفاده میشود. این مدل به سازمانها کمک میکند تا فرآیندها و محصولات خود را بهبود بخشند و از خطاها جلوگیری کنند.
مثال:
در یک پروژه بهبود کیفیت، تیم پروژه ممکن است از PDCA برای شناسایی مشکلات، برنامهریزی اقدامات اصلاحی، اجرا، بررسی نتایج، و سپس اقدام به بهبود بیشتر استفاده کند.
BCP:
BCP (برنامه تداوم کسبوکار) یک برنامه استراتژیک است که سازمانها برای تضمین ادامه فعالیتهای حیاتی در صورت وقوع بحرانها یا اختلالات ایجاد میکنند. BCP شامل فرآیندها و رویههایی است که به منظور بازیابی و ادامه عملیاتهای حیاتی بعد از وقوع وقایع غیرمترقبه طراحی شدهاند.
مثال:
یک شرکت ممکن است یک BCP داشته باشد که شامل رویههایی برای انتقال عملیات به یک مکان پشتیبان و بازیابی دادهها در صورت بروز زلزله باشد.
DRP:
DRP (برنامه بازیابی از فاجعه) مجموعهای از رویهها و دستورالعملهایی است که سازمانها برای بازیابی و بازگرداندن سیستمها و دادههای حیاتی خود پس از وقوع یک فاجعه استفاده میکنند. DRP به سازمانها کمک میکند تا پس از وقوع حوادثی مانند بلایای طبیعی، حملات سایبری یا خرابیهای فنی، به سرعت به حالت عادی بازگردند.
مثال:
یک شرکت ممکن است یک DRP داشته باشد که شامل پشتیبانگیری منظم از دادهها و تعیین یک تیم واکنش سریع برای مدیریت بحرانهای فناوری اطلاعات باشد.
Information Technology (IT):
IT (فناوری اطلاعات) به استفاده از کامپیوترها، شبکهها، ذخیرهسازی و سایر تجهیزات و فرآیندها برای ایجاد، پردازش، ذخیرهسازی، امنسازی و تبادل تمام انواع اطلاعات اشاره دارد. IT یکی از ارکان اساسی در مدیریت و عملیات سازمانهای مدرن است.
مثال:
واحد IT یک شرکت مسئول نگهداری و مدیریت سرورها، شبکهها، و نرمافزارهای سازمانی است.
Operational Technology (OT):
OT (فناوری عملیاتی) به استفاده از سختافزار و نرمافزار برای کنترل و نظارت بر دستگاهها و فرایندهای فیزیکی در صنایع مختلف مانند تولید، انرژی و حملونقل اشاره دارد. OT به مدیریت و بهینهسازی عملکردهای صنعتی کمک میکند.
مثال:
در یک کارخانه، سیستمهای OT برای کنترل خطوط تولید و نظارت بر عملکرد دستگاهها استفاده میشوند.
Industrial Internet Of Things (IIOT):
IIOT (اینترنت اشیا صنعتی) استفاده از فناوریهای IoT در بخشهای صنعتی و تولیدی است. IIOT از سنسورها و دستگاههای هوشمند برای جمعآوری و تحلیل دادهها جهت بهبود کارایی و کاهش هزینهها استفاده میکند.
مثال:
در یک کارخانه، سنسورهای IIOT میتوانند دادههای مربوط به عملکرد ماشینآلات را جمعآوری کرده و به تحلیلگرها برای بهبود بهرهوری ارسال کنند.
Internet of Things (IOT):
IOT (اینترنت اشیا) به شبکهای از دستگاههای فیزیکی اشاره دارد که به اینترنت متصل هستند و قادر به جمعآوری و تبادل دادهها میباشند. این دستگاهها میتوانند شامل وسایل خانگی هوشمند، خودروها، دستگاههای پوشیدنی و غیره باشند.
مثال:
یک سیستم روشنایی هوشمند خانگی که از طریق تلفن همراه کنترل میشود، نمونهای از کاربردهای IOT است.
Information and Communications Technology (ICT):
ICT (فناوری اطلاعات و ارتباطات) به مجموعهای از فناوریهای مختلف برای پردازش، ذخیرهسازی، بازیابی و انتقال اطلاعات اشاره دارد. ICT شامل کامپیوترها، اینترنت، سیستمهای ارتباطی و دستگاههای دیجیتال است.
مثال:
آموزش آنلاین از طریق پلتفرمهای دیجیتال نمونهای از کاربردهای ICT در حوزه آموزش است.
The Cybersecurity Capability Maturity Model (C2M2):
C2M2 (مدل بلوغ قابلیت امنیت سایبری) یک چارچوب برای ارزیابی و بهبود عملکردهای امنیت سایبری سازمانها است. این مدل به سازمانها کمک میکند تا قابلیتهای امنیت سایبری خود را اندازهگیری و تقویت کنند، و به شناخت نقاط ضعف و برنامهریزی برای بهبود آنها بپردازند.
مثال:
یک شرکت میتواند از C2M2 برای ارزیابی سطح فعلی آمادگی امنیت سایبری خود و برنامهریزی برای بهبود اقدامات حفاظتی استفاده کند.
Confidentiality, Integrity, Availability (CIA) Security Triangle:
CIA (مثلث امنیتی محرمانگی، یکپارچگی، دسترسپذیری) یک مدل اساسی در امنیت اطلاعات است که سه اصل اساسی را برای حفاظت از دادهها و سیستمهای اطلاعاتی تعریف میکند. این اصول عبارتند از:
- Confidentiality (محرمانگی): حفاظت از اطلاعات در برابر دسترسی غیرمجاز.
- Integrity (یکپارچگی): حفظ دقت و کامل بودن اطلاعات و جلوگیری از تغییرات غیرمجاز.
- Availability (دسترسپذیری): اطمینان از دسترسپذیری اطلاعات و سیستمها برای کاربران مجاز در زمان نیاز.
مثال:
در یک سازمان، تدابیر امنیتی مانند رمزگذاری دادهها، احراز هویت کاربران، و سیستمهای پشتیبانگیری بهمنظور محافظت از اصول CIA استفاده میشوند.
ISRM:
ISRM (مدیریت ریسک امنیت اطلاعات) فرآیندی است که سازمانها برای شناسایی، ارزیابی، و کاهش ریسکهای مرتبط با امنیت اطلاعات استفاده میکنند. هدف ISRM حفاظت از اطلاعات حساس و اطمینان از تداوم عملکردهای سازمان در برابر تهدیدات امنیتی است.
مثال:
یک سازمان ممکن است از ISRM برای ارزیابی نقاط ضعف در سیستمهای امنیتی خود و پیادهسازی کنترلهای مناسب برای کاهش ریسکهای امنیتی استفاده کند.
Risk Assessment:
Risk Assessment (ارزیابی ریسک) فرآیندی است که برای شناسایی، ارزیابی، و تحلیل ریسکهای احتمالی که میتوانند بر اهداف یا عملیات یک سازمان تأثیر بگذارند، انجام میشود. هدف این فرآیند، فهم میزان و تأثیر این ریسکها و کمک به تصمیمگیری در مورد اقدامات مدیریتی مناسب است.
مثال:
در یک پروژه فناوری اطلاعات، ارزیابی ریسک میتواند شامل شناسایی تهدیدات احتمالی مانند حملات سایبری و تحلیل تأثیر آنها بر امنیت دادهها و عملیات پروژه باشد.
Risk Treatment:
Risk Treatment (مدیریت ریسک) فرآیندی است که شامل انتخاب و پیادهسازی اقدامات یا کنترلهایی برای کاهش، انتقال، پذیرش، یا اجتناب از ریسکهای شناساییشده است. هدف این فرآیند کاهش تأثیر منفی ریسکها بر اهداف و عملیات سازمان است.
مثال:
اگر یک سازمان با خطراتی مانند حملات سایبری مواجه باشد، اقدامات درمانی میتواند شامل پیادهسازی سیستمهای امنیتی پیشرفته، آموزش کارکنان در زمینه امنیت، یا خرید بیمه سایبری باشد.
Business Alignment:
Business Alignment (همراستایی کسبوکار) به فرآیند هماهنگ کردن استراتژیها، اهداف، و فعالیتهای سازمانی با نیازها و اولویتهای کسبوکار اشاره دارد. هدف این فرآیند اطمینان از این است که تمامی بخشهای سازمان به طور همراستا به سمت دستیابی به اهداف کلی کسبوکار حرکت کنند.
مثال:
اگر یک شرکت به دنبال افزایش سهم بازار خود است، همراستایی کسبوکار ممکن است شامل هماهنگ کردن استراتژیهای بازاریابی، توسعه محصول، و عملیات فروش با این هدف باشد.
Program Definition:
Program Definition (تعریف برنامه) به فرآیند تعیین و مستندسازی اهداف، دامنه، منابع، و نحوه اجرای یک برنامه در سازمان اشاره دارد. این فرآیند شامل شناسایی نیازهای کسبوکار، تدوین اهداف کلی، و تعریف روشها و مراحل لازم برای دستیابی به این اهداف است.
مثال:
برای راهاندازی یک برنامه آموزشی جدید، تعریف برنامه ممکن است شامل مشخص کردن اهداف آموزشی، تعیین محتوا و منابع لازم، و برنامهریزی برای ارزیابی اثربخشی آموزش باشد.
Metrics and Benchmarking:
Metrics and Benchmarking (معیارها و ارزیابیهای مقایسهای) به فرآیندهای اندازهگیری و مقایسه عملکرد سازمانها یا پروژهها بر اساس معیارهای مشخص و استانداردهای صنعتی اشاره دارد. معیارها (Metrics) به جمعآوری و تحلیل دادهها برای ارزیابی عملکرد کمک میکنند، در حالی که ارزیابیهای مقایسهای (Benchmarking) به مقایسه این عملکرد با بهترینهای صنعت یا استانداردهای مشخص میپردازند.
مثال:
یک شرکت ممکن است برای ارزیابی کارایی فرآیندهای تولید خود از معیارهای مختلفی مانند سرعت تولید و کیفیت محصول استفاده کند و این عملکرد را با استانداردهای صنعتی یا رقبای اصلی مقایسه کند.
Implementation and Operation:
Implementation and Operation (پیادهسازی و عملیات) به فرآیندهای مربوط به پیادهسازی برنامهها یا سیستمها و سپس مدیریت و اجرای آنها در محیطهای واقعی اشاره دارد. پیادهسازی شامل نصب، تنظیم، و راهاندازی سیستمها یا فرآیندهای جدید است، در حالی که عملیات به مدیریت روزمره و نگهداری این سیستمها یا فرآیندها میپردازد تا عملکرد بهینه و پایدار آنها تضمین شود.
مثال:
در یک پروژه فناوری اطلاعات، پیادهسازی ممکن است شامل نصب نرمافزار و پیکربندی آن باشد، در حالی که عملیات شامل نظارت بر عملکرد سیستم، رفع مشکلات، و انجام بهروزرسانیهای منظم است.
Recover:
Recover (بازیابی) به فرآیند بازگشت به وضعیت عادی پس از وقوع یک اختلال یا فاجعه اشاره دارد. این شامل اقدامات برای بازسازی و احیای سیستمها و دادهها به حالت پیش از بحران است.
مثال:
پس از یک حمله سایبری، بازیابی ممکن است شامل بازگرداندن دادهها از نسخههای پشتیبان و بازسازی سیستمهای آسیبدیده باشد.
Respond:
Respond (پاسخ) به واکنش به یک حادثه یا تهدید به منظور کاهش آسیب و کنترل وضعیت اشاره دارد. این فرآیند شامل شناسایی، تحلیل، و رسیدگی به مشکلات به سرعت و به طور مؤثر است.
مثال:
در صورت وقوع یک نقض امنیتی، پاسخ ممکن است شامل اجرای پروتکلهای امنیتی و اطلاعرسانی به تیمهای مرتبط باشد.
Detect:
Detect (شناسایی) به فرآیند کشف و شناسایی تهدیدات، آسیبپذیریها، یا مشکلات قبل از اینکه تأثیرات جدی بر عملکرد سازمان بگذارند، اشاره دارد.
مثال:
استفاده از ابزارهای نظارتی برای شناسایی فعالیتهای غیرمعمول در شبکه یک روش برای شناسایی تهدیدات سایبری است.
Protect:
Protect (حفاظت) به اقداماتی اشاره دارد که به منظور جلوگیری از وقوع آسیب یا اختلال و تأمین امنیت سیستمها و دادهها انجام میشود.
مثال:
پیادهسازی فایروالها و رمزگذاری دادهها از جمله اقدامات حفاظتی است که برای حفظ امنیت اطلاعات انجام میشود.
Identify:
Identify (شناسایی) به فرآیند تعیین و تعریف داراییها، تهدیدات، و آسیبپذیریها در سازمان اشاره دارد. این مرحله پایهای برای مدیریت ریسک و امنیت است.
مثال:
شناسایی سیستمهای حیاتی و داراییهای اطلاعاتی در یک سازمان به منظور ارزیابی و مدیریت ریسکها انجام میشود.
Monitor:
Monitor (نظارت) به فرآیند پایش مداوم سیستمها، شبکهها، و فعالیتها به منظور شناسایی مشکلات، تهدیدات، و عملکرد غیرعادی اشاره دارد.
مثال:
نظارت بر ترافیک شبکه و فعالیتهای کاربران برای شناسایی حملات سایبری و مشکلات امنیتی از جمله فعالیتهای نظارتی است.
Assess:
Assess (ارزیابی) به فرآیند تحلیل و ارزیابی وضعیت موجود برای تعیین نقاط قوت و ضعف، خطرات، و فرصتهای بهبود اشاره دارد.
مثال:
ارزیابی ریسکهای امنیتی برای شناسایی ضعفهای موجود و توصیههای بهبود از جمله فعالیتهای ارزیابی است.
Implement:
Implement (پیادهسازی) به فرآیند اجرایی کردن راهکارها، سیاستها، و اقدامات طراحیشده به منظور بهبود عملکرد یا مدیریت ریسکها اشاره دارد.
مثال:
پیادهسازی یک سیستم مدیریت امنیت اطلاعات جدید به منظور افزایش سطح امنیت سازمان یک نمونه از پیادهسازی است.
Select:
Select (انتخاب) به فرآیند انتخاب و تصمیمگیری درباره ابزارها، روشها، یا راهکارهای مناسب برای برآورده کردن نیازهای خاص اشاره دارد.
مثال:
انتخاب نرمافزار امنیتی مناسب برای محافظت از دادهها و سیستمها در برابر تهدیدات سایبری از جمله فرآیندهای انتخاب است.
Categorize:
Categorize (دستهبندی) به فرآیند گروهبندی و طبقهبندی داراییها، دادهها، یا مشکلات به دستههای مشخص برای مدیریت بهتر و تحلیل اشاره دارد.
مثال:
دستهبندی دادهها بر اساس حساسیت و اهمیت آنها برای تعیین سطح دسترسی و سیاستهای امنیتی مناسب یک نمونه از دستهبندی است.
Prepare:
Prepare (آمادهسازی) به فرآیند آمادهسازی و برنامهریزی برای مواجهه با موقعیتها یا مشکلات احتمالی به منظور کاهش تأثیرات منفی اشاره دارد.
مثال:
تهیه برنامههای آموزشی برای کارکنان در زمینه امنیت سایبری به منظور آمادهسازی آنها برای واکنش به تهدیدات امنیتی از جمله فعالیتهای آمادهسازی است.
Implementation and Operation:
Implementation and Operation (پیادهسازی و عملیات) به فرآیندهای مربوط به پیادهسازی برنامهها یا سیستمها و سپس مدیریت و اجرای آنها در محیطهای واقعی اشاره دارد. پیادهسازی شامل نصب، تنظیم، و راهاندازی سیستمها یا فرآیندهای جدید است، در حالی که عملیات به مدیریت روزمره و نگهداری این سیستمها یا فرآیندها میپردازد تا عملکرد بهینه و پایدار آنها تضمین شود.
مثال:
در یک پروژه فناوری اطلاعات، پیادهسازی ممکن است شامل نصب نرمافزار و پیکربندی آن باشد، در حالی که عملیات شامل نظارت بر عملکرد سیستم، رفع مشکلات، و انجام بهروزرسانیهای منظم است.
NIST:
NIST (موسسه ملی استانداردها و فناوری) یک سازمان دولتی ایالات متحده است که مسئول توسعه و ارائه استانداردها، راهنماها، و فناوریهای مربوط به اندازهگیری، فناوری، و امنیت اطلاعات است. NIST نقش مهمی در تعیین بهترین شیوهها و استانداردهای بینالمللی در حوزههای مختلف، از جمله امنیت سایبری، ایفا میکند.
مثال:
استانداردهای امنیت سایبری NIST مانند NIST SP 800-53 به سازمانها کمک میکند تا چارچوبهایی برای مدیریت و کاهش ریسکهای امنیتی پیادهسازی کنند.
Roadmap:
Roadmap (نقشه راه) به برنامهای استراتژیک و زمانبندیشده که اهداف، مراحل، و مراحل کلیدی یک پروژه، ابتکار، یا طرح را مشخص میکند. نقشه راه به عنوان یک راهنمای جامع برای دستیابی به اهداف بلندمدت و کوتاهمدت عمل میکند و روند پیشرفت را به وضوح ترسیم میکند.
مثال:
در توسعه نرمافزار، نقشه راه ممکن است شامل مراحل کلیدی مانند تحلیل نیازمندیها، طراحی، پیادهسازی، و تست نرمافزار، همراه با زمانبندی و نقاط عطف مربوطه باشد.
Scope:
Scope (دامنه) به محدوده و حدود یک پروژه، برنامه، یا فعالیت اشاره دارد که شامل تمام فعالیتها، وظایف، منابع، و نتایج مورد نیاز برای دستیابی به اهداف مشخص شده است. دامنه مشخص میکند که چه چیزهایی در پروژه گنجانده شده و چه چیزی خارج از محدوده آن است.
مثال:
در یک پروژه ساخت و ساز، دامنه ممکن است شامل طراحی، تأمین مصالح، ساخت، و بازبینی نهایی ساختمان باشد، در حالی که فعالیتهای مربوط به طراحی محوطهسازی یا تأسیسات داخلی خارج از دامنه پروژه تعریفشده است.
Security Gap Analysis:
Security Gap Analysis (تحلیل شکافهای امنیتی) به فرآیند شناسایی و ارزیابی تفاوتها بین وضعیت فعلی امنیت سیستمها و دادهها و وضعیت مطلوب یا استانداردهای امنیتی اشاره دارد. این تحلیل کمک میکند تا نقاط ضعف و شکافهای موجود در سیاستها و کنترلهای امنیتی شناسایی و برطرف شوند.
مثال:
یک سازمان ممکن است از تحلیل شکافهای امنیتی برای شناسایی ضعفهای امنیتی در زیرساختهای فناوری اطلاعات خود و پیادهسازی اقدامات اصلاحی استفاده کند.
Cyber Assessments:
Cyber Assessments (ارزیابیهای سایبری) به ارزیابی و تحلیل امنیت سایبری یک سازمان به منظور شناسایی آسیبپذیریها، تهدیدات، و وضعیت امنیتی کلی اشاره دارد. این ارزیابیها شامل بررسی سیستمها، شبکهها، و فرآیندها برای اطمینان از محافظت مؤثر در برابر تهدیدات سایبری و انطباق با استانداردها و بهترین شیوهها است.
مثال:
یک ارزیابی سایبری میتواند شامل تحلیل نفوذ، بررسی سیستمهای نظارتی، و ارزیابی سیاستهای امنیتی برای شناسایی و کاهش ریسکهای سایبری باشد.
Risk (Likelihood, Impact):
Risk (ریسک) به احتمال وقوع یک تهدید و تأثیر آن بر اهداف سازمان اشاره دارد. دو جنبه کلیدی در ارزیابی ریسک عبارتند از:
- Likelihood (احتمال): میزان احتمال وقوع یک تهدید یا حادثه در یک دوره زمانی معین.
- Impact (تأثیر): میزان تأثیر یا خسارتی که وقوع آن تهدید میتواند بر سازمان، پروژه، یا فعالیتها داشته باشد.
مثال:
اگر احتمال وقوع یک حمله سایبری بالا باشد و تأثیر آن بر روی دادههای حساس بسیار جدی باشد، ریسک آن به عنوان ریسک بالایی ارزیابی میشود که نیاز به اقدامات پیشگیرانه و پاسخگویی دارد.
SOA:
SOA (معماری مبتنی بر سرویس) یک رویکرد طراحی و توسعه نرمافزار است که در آن برنامهها به صورت مجموعهای از سرویسهای مستقل و قابل استفاده مجدد طراحی میشوند. این سرویسها از طریق پروتکلهای استاندارد به یکدیگر متصل میشوند و میتوانند به طور مستقل از یکدیگر بهروزرسانی و مدیریت شوند.
مثال:
در یک سیستم مالی، SOA میتواند شامل سرویسهای مختلفی مانند پرداخت، حسابداری، و مدیریت مشتری باشد که هر کدام به طور مستقل و از طریق یک رابط استاندارد به یکدیگر متصل میشوند.
Penetration Testing:
Penetration Testing (آزمون نفوذ) به فرآیند شبیهسازی حملات سایبری به سیستمها، شبکهها، یا برنامههای کاربردی به منظور شناسایی آسیبپذیریها و نقاط ضعف امنیتی اشاره دارد. هدف این آزمون، ارزیابی امنیت و بررسی اثربخشی تدابیر امنیتی موجود است.
مثال:
در یک سازمان، آزمون نفوذ میتواند شامل تلاش برای دسترسی غیرمجاز به سیستمها از طریق آسیبپذیریهای شناختهشده و تجزیه و تحلیل نتایج برای پیشنهاد اقدامات اصلاحی باشد.
Impact Analysis:
Impact Analysis (تحلیل تأثیر) به فرآیند ارزیابی و تعیین اثرات یا پیامدهای احتمالی یک تغییر، رویداد، یا بحران بر روی سازمان، پروژه، یا سیستمها اشاره دارد. هدف این تحلیل، شناسایی و درک تأثیرات منفی و مثبت احتمالی به منظور برنامهریزی و مدیریت مؤثر تغییرات و پاسخ به بحرانها است.
مثال:
در صورت برنامهریزی برای یک تغییر بزرگ در سیستمهای فناوری اطلاعات، تحلیل تأثیر ممکن است شامل ارزیابی تأثیر این تغییر بر عملکرد سیستمها، کاربران، و فرآیندهای کسبوکار باشد.
Information Management (IMP):
IMP (مدیریت اطلاعات) به فرآیند جمعآوری، سازماندهی، ذخیرهسازی، و توزیع اطلاعات به گونهای که کارایی و اثربخشی سازمان بهبود یابد، اشاره دارد. این فرآیند شامل استفاده از ابزارها و روشهای مختلف برای مدیریت دادهها و اطلاعات به منظور پشتیبانی از تصمیمگیری و ارتقاء عملکرد سازمان است.
مثال:
در یک سازمان، مدیریت اطلاعات ممکن است شامل ایجاد سیستمهای پایگاه داده برای ذخیرهسازی اطلاعات مشتریان و استفاده از نرمافزارهای تحلیلی برای استخراج گزارشهای مدیریتی باشد.
BCM (Business Continuity Management):
BCM (مدیریت تداوم کسبوکار) به فرآیند برنامهریزی و آمادهسازی برای حفظ و ادامه فعالیتهای کلیدی سازمان در صورت وقوع اختلالات یا بحرانها اشاره دارد. هدف BCM اطمینان از ادامه عملیات بحرانی و کاهش زمان توقف و خسارتهای ناشی از وقایع غیرمنتظره است.
مثال:
یک سازمان ممکن است برای مدیریت تداوم کسبوکار خود برنامههایی برای بازیابی دادهها، ادامه فعالیتهای کلیدی، و هماهنگی با تیمهای پاسخگویی به بحران تهیه کند.
RTP (Real-Time Protection):
RTP (حفاظت در زمان واقعی) به مکانیزمها و ابزارهایی اشاره دارد که به صورت مداوم و در زمان واقعی از سیستمها، شبکهها، و دادهها در برابر تهدیدات و حملات محافظت میکنند. این روش شامل نظارت و پاسخ سریع به تهدیدات برای جلوگیری از آسیبپذیری و نقض امنیت است.
مثال:
نرمافزار آنتیویروس با قابلیت حفاظت در زمان واقعی میتواند به سرعت تهدیدات جدید را شناسایی و مقابله کند، بدون نیاز به بررسیهای دورهای.
RPU (Risk Prevention Unit):
RPU (واحد پیشگیری از ریسک) به بخشی از سازمان یا واحدی که مسئول شناسایی، ارزیابی، و پیشگیری از ریسکها و تهدیدات احتمالی است، اشاره دارد. این واحد به توسعه و پیادهسازی استراتژیها و اقدامات پیشگیرانه برای کاهش احتمال وقوع ریسکها و آسیبها میپردازد.
مثال:
واحد پیشگیری از ریسک در یک بانک ممکن است شامل تیمهایی باشد که به تحلیل و مدیریت ریسکهای مالی، امنیتی، و عملیاتی میپردازند.
RTU (Real-Time Updates):
RTU (بهروزرسانیهای زمان واقعی) به فرآیند دریافت و اعمال تغییرات و اطلاعات جدید به صورت آنی و در لحظه اشاره دارد. این بهروزرسانیها معمولاً برای تضمین دقت و تازگی دادهها و اطلاعات در سیستمها و نرمافزارها استفاده میشود.
مثال:
در یک سیستم اطلاعاتی، بهروزرسانیهای زمان واقعی ممکن است شامل دریافت اطلاعات جدید از منابع مختلف و اعمال تغییرات در پایگاههای داده به صورت فوری برای حفظ هماهنگی و دقت اطلاعات باشد.
سطح خطر Minor/Major:
Minor/Major (سطح خطر کم/زیاد) به ارزیابی شدت و تأثیر یک خطر یا تهدید بر سازمان یا پروژه اشاره دارد.
- Minor (کم): به خطراتی اشاره دارد که تأثیرات محدودی دارند و میتوانند با اقدامات معمولی مدیریت و کنترل شوند. این نوع خطرات معمولاً آسیبهای کمی ایجاد میکنند و تأثیر آنها بر عملیات به حداقل میرسد.
- Major (زیاد): به خطراتی اشاره دارد که تأثیرات قابل توجه و شدیدی دارند و ممکن است نیاز به اقدامات فوری و گسترده برای مدیریت و کاهش آنها باشد. این نوع خطرات میتوانند به طور جدی به عملیات، منابع، یا شهرت سازمان آسیب برسانند.
مثال:
در یک پروژه ساختمانی، خطای کوچک مانند نقص جزئی در مواد ممکن است به عنوان خطر کم طبقهبندی شود، در حالی که وقوع یک بحران بزرگ مانند سقوط تجهیزات سنگین میتواند به عنوان خطر زیاد در نظر گرفته شود.
Defence in Depth:
Defence in Depth (دفاع در عمق) به یک استراتژی امنیتی چندلایه اشاره دارد که از چندین سطح حفاظتی برای محافظت از سیستمها و دادهها در برابر تهدیدات و حملات استفاده میکند. این رویکرد به این صورت عمل میکند که حتی اگر یک لایه امنیتی شکست بخورد، لایههای دیگر همچنان به محافظت از سیستم ادامه میدهند.
مثال:
در یک سازمان، دفاع در عمق ممکن است شامل استفاده از فایروالها، نرمافزارهای ضدویروس، سیستمهای تشخیص نفوذ، و سیاستهای امنیتی داخلی باشد که به طور مشترک برای ایجاد یک لایه حفاظتی قوی و مقاوم در برابر حملات عمل میکنند.
Hardening:
Hardening (سختسازی) به فرآیند تقویت و ایمنسازی سیستمها، شبکهها، و نرمافزارها برای کاهش آسیبپذیریها و افزایش مقاومت در برابر حملات و تهدیدات اشاره دارد. این فرآیند شامل بهروزرسانی سیستمها، پیکربندی مناسب، و حذف خدمات و ویژگیهای غیرضروری است.
مثال:
سختسازی یک سرور ممکن است شامل غیرفعال کردن پورتهای غیرضروری، بهروزرسانی نرمافزارها به آخرین نسخه، و پیادهسازی سیاستهای امنیتی برای مدیریت دسترسی باشد.
CIS:
CIS (مرکز امنیت اینترنت) یک سازمان غیرانتفاعی است که به ارائه منابع و استانداردهای امنیت سایبری برای کمک به سازمانها در بهبود وضعیت امنیتی خود میپردازد. CIS مشهور به توسعه مجموعهای از بهترین شیوهها و راهنماها برای امنیت فناوری اطلاعات است.
مثال:
یکی از معروفترین مجموعههای CIS، CIS Controls است که شامل دستورالعملهای جامع برای محافظت از سیستمها و دادهها در برابر تهدیدات امنیتی میباشد.
IG:
IG (راهنمای پیادهسازی) به مستندات و دستورالعملهایی اشاره دارد که برای کمک به سازمانها در پیادهسازی و اجرای استانداردها، سیاستها، یا فرآیندهای خاص طراحی شدهاند. این راهنماها معمولاً شامل مراحل، بهترین شیوهها، و توصیههایی برای بهبود عملکرد و انطباق با الزامات هستند.
مثال:
یک راهنمای پیادهسازی ممکن است شامل مراحل لازم برای پیادهسازی یک سیستم مدیریت امنیت اطلاعات (ISMS) بر اساس استانداردهای ISO 27001 باشد.
ISM3:
ISM3 (مدل بلوغ مدیریت امنیت اطلاعات) یک مدل ارزیابی و بهبود فرآیندهای امنیت اطلاعات است که به سازمانها کمک میکند تا وضعیت بلوغ سیستمهای مدیریت امنیت اطلاعات خود را ارزیابی و بهبود دهند. ISM3 به شناسایی نقاط قوت و ضعف در فرآیندهای امنیتی و ارائه راهکارهایی برای ارتقاء آنها میپردازد.
مثال:
سازمانی که از مدل ISM3 استفاده میکند، ممکن است ارزیابیهای منظم از وضعیت امنیت اطلاعات خود انجام دهد و بر اساس نتایج بهبودهایی را در سیاستها و فرآیندهای امنیتی خود اعمال کند.
CSIRT:
CSIRT (تیم پاسخ به حوادث امنیتی کامپیوتری) به گروهی از متخصصان امنیت سایبری اشاره دارد که مسئول شناسایی، مدیریت، و پاسخ به حوادث و نقضهای امنیتی در یک سازمان یا شبکه هستند. CSIRT به منظور کاهش تأثیرات تهدیدات امنیتی و بهبود وضعیت امنیتی کلی سازمان فعالیت میکند.
مثال:
یک CSIRT ممکن است در پاسخ به یک حمله سایبری، تیمهای خود را برای تحلیل و پاسخ به حمله، اطلاعرسانی به ذینفعان، و اجرای اقدامات اصلاحی به کار گیرد.
SMP:
SMP (طرح مدیریت امنیت) به برنامهای جامع و ساختاریافته اشاره دارد که برای مدیریت و کنترل مسائل امنیتی در یک سازمان طراحی شده است. SMP شامل استراتژیها، سیاستها، و رویههایی است که برای شناسایی، ارزیابی، و کاهش خطرات امنیتی به کار میروند.
مثال:
یک طرح مدیریت امنیت ممکن است شامل سیاستهای مربوط به دسترسی به دادهها، نحوه برخورد با حوادث امنیتی، و برنامههای آموزشی برای کارکنان باشد.
ROOT CAST:
ROOT CAST (مدلسازی تهدید مبتنی بر ریسک برای امنیت سایبری) به یک رویکرد تحلیل تهدید اشاره دارد که تمرکز آن بر ارزیابی و شبیهسازی تهدیدات و آسیبپذیریهای امنیتی به منظور شناسایی و کاهش ریسکها در محیطهای سایبری است. این روش به سازمانها کمک میکند تا تهدیدات بالقوه را شناسایی و مدیریت کنند تا امنیت سیستمها و دادهها بهبود یابد.
مثال:
استفاده از ROOT CAST میتواند شامل تحلیل تهدیدات مختلفی مانند حملات سایبری، نقاط ضعف سیستمها، و ارزیابی تأثیرات آنها بر روی دادهها و عملیات سازمان باشد.
Information Security Management Levels:
Information Security Management Levels (سطوح مدیریت امنیت اطلاعات) به درجات مختلفی از مدیریت و نظارت بر امنیت اطلاعات در سازمانها اشاره دارد. این سطوح معمولاً شامل برنامهریزی، پیادهسازی، نظارت، و بهبود مستمر فرآیندهای امنیتی هستند تا اطمینان حاصل شود که امنیت اطلاعات به درستی مدیریت و حفظ میشود.
مثال:
در یک سازمان، سطوح مدیریت امنیت اطلاعات ممکن است شامل توسعه سیاستهای امنیتی، پیادهسازی کنترلهای امنیتی، نظارت بر عملکرد امنیتی، و ارزیابی مستمر تهدیدات و آسیبپذیریها باشد.
GDPR:
GDPR (مقررات عمومی حفاظت از دادهها) به یک قانون حفاظت از دادهها در اتحادیه اروپا اشاره دارد که برای حفاظت از حریم خصوصی و دادههای شخصی افراد در اتحادیه اروپا و منطقه اقتصادی اروپا طراحی شده است. این مقررات شامل اصول، حقوق، و الزامات برای جمعآوری، پردازش، و ذخیرهسازی دادههای شخصی است.
مثال:
تحت GDPR، سازمانها موظف به دریافت رضایت صریح از افراد برای جمعآوری و استفاده از دادههای شخصی آنها و همچنین ارائه حقوق دسترسی و اصلاح به دادههایشان هستند.
CCPA:
CCPA (قانون حریم خصوصی مصرفکنندگان کالیفرنیا) به قانونی در ایالت کالیفرنیا اشاره دارد که به حفاظت از حریم خصوصی و دادههای شخصی مصرفکنندگان در کالیفرنیا میپردازد. این قانون به مصرفکنندگان حق میدهد تا از جمعآوری، فروش، و استفاده از دادههای شخصی خود اطلاع یابند و آن را کنترل کنند.
مثال:
بر اساس CCPA، مصرفکنندگان کالیفرنیا حق دارند تا از شرکتها درخواست کنند که اطلاعات شخصی آنها را حذف کنند و همچنین از حقوق خود برای دسترسی به دادههای شخصی و بررسی چگونگی استفاده از آنها استفاده کنند.
CSF (Cybersecurity Framework):
CSF (چارچوب امنیت سایبری) به یک مجموعه از راهنماها و استانداردها اشاره دارد که توسط سازمانها برای مدیریت و بهبود امنیت سایبری طراحی شده است. این چارچوب به سازمانها کمک میکند تا وضعیت امنیت سایبری خود را ارزیابی کنند، خطرات را شناسایی کنند، و اقدامات مؤثری برای محافظت از داراییهای دیجیتال خود انجام دهند.
مثال:
چارچوب امنیت سایبری NIST (National Institute of Standards and Technology) یکی از نمونههای معروف CSF است که شامل دستهبندیها و کنترلهایی برای مدیریت و کاهش تهدیدات امنیت سایبری است.
ISFW (Integrated Security Firewall):
ISFW (فایروال امنیتی یکپارچه) به یک سیستم حفاظتی اشاره دارد که به طور جامع و یکپارچه به مدیریت و نظارت بر ترافیک شبکه و محافظت از سیستمها در برابر تهدیدات و حملات مختلف میپردازد. این نوع فایروال ترکیبی از قابلیتهای مختلف امنیتی، از جمله فیلترینگ بستهها، تجزیه و تحلیل ترافیک، و جلوگیری از نفوذ است.
مثال:
یک ISFW ممکن است شامل ویژگیهایی مانند شناسایی و پیشگیری از نفوذ، کنترل دسترسی مبتنی بر نقش، و تجزیه و تحلیل رفتار شبکه باشد که به سازمانها کمک میکند تا امنیت شبکههای خود را به طور مؤثر حفظ کنند.
NGFW (Next Generation Firewall):
NGFW (فایروال نسل جدید) به نوعی از فایروال اشاره دارد که قابلیتهای پیشرفتهتری نسبت به فایروالهای سنتی ارائه میدهد. این فایروالها علاوه بر فیلترینگ بستههای داده و کنترل دسترسی، شامل ویژگیهایی مانند شناسایی و پیشگیری از نفوذ، تجزیه و تحلیل رفتار کاربر و برنامه، و قابلیتهای امنیتی پیشرفته برای مقابله با تهدیدات پیچیدهتر هستند.
مثال:
یک NGFW ممکن است شامل قابلیتهایی مانند بررسی عمیق بستهها (DPI)، تجزیه و تحلیل رفتار شبکه، و کنترل برنامههای کاربردی برای شناسایی و جلوگیری از حملات و تهدیدات پیشرفته باشد.
DLP (Data Loss Prevention):
DLP (پیشگیری از از دست رفتن دادهها) به مجموعهای از فناوریها و استراتژیها اشاره دارد که برای شناسایی، نظارت، و جلوگیری از نشت یا از دست رفتن دادههای حساس در یک سازمان طراحی شدهاند. هدف DLP محافظت از دادههای مهم و جلوگیری از افشای ناخواسته یا سرقت اطلاعات است.
مثال:
یک سیستم DLP ممکن است شامل ابزارهایی باشد که به بررسی و کنترل دسترسی به دادههای حساس، نظارت بر فعالیتهای کاربران، و اعمال سیاستهای امنیتی برای جلوگیری از انتقال غیرمجاز اطلاعات کمک کند.
LDAP (Lightweight Directory Access Protocol):
LDAP (پروتکل دسترسی به دایرکتوری سبک) به یک پروتکل شبکهای اشاره دارد که برای دسترسی به اطلاعات دایرکتوری و مدیریت آنها در شبکههای کامپیوتری طراحی شده است. LDAP به سازمانها این امکان را میدهد که اطلاعات مربوط به کاربران، گروهها، و منابع شبکه را به صورت متمرکز ذخیره و مدیریت کنند.
مثال:
LDAP معمولاً برای تأیید هویت کاربران و مدیریت دسترسی در سیستمهای مدیریتی و شبکههای سازمانی استفاده میشود، مانند استفاده از LDAP برای احراز هویت کاربران در یک سرویس ایمیل یا سیستم مدیریت شبکه.
Program Management:
Program Management (مدیریت برنامه) به فرآیند هماهنگی و مدیریت مجموعهای از پروژهها و فعالیتها با هدف دستیابی به نتایج استراتژیک و بهبود عملکرد کلی سازمان اشاره دارد. این فرآیند شامل تعریف اهداف، تخصیص منابع، نظارت بر پیشرفت، و ارزیابی نتایج است.
مثال:
در یک سازمان، مدیریت برنامه ممکن است شامل هدایت چندین پروژه مرتبط به توسعه یک محصول جدید باشد، با تمرکز بر اطمینان از هماهنگی میان پروژهها و دستیابی به اهداف تجاری مورد نظر.
COBIT:
COBIT (اهداف کنترل برای اطلاعات و فناوریهای مرتبط) به یک چارچوب مدیریتی و راهنما برای مدیریت و کنترل فناوری اطلاعات در سازمانها اشاره دارد. COBIT شامل مجموعهای از بهترین شیوهها و اهداف کنترلی است که به سازمانها کمک میکند تا فرآیندهای IT خود را بهینه کرده و اطمینان حاصل کنند که فناوری اطلاعات به اهداف تجاری کمک میکند.
مثال:
استفاده از COBIT میتواند شامل پیادهسازی فرآیندهای مدیریت امنیت اطلاعات، کنترلهای مالی IT، و ارزیابی و بهبود مستمر عملکرد فناوری اطلاعات باشد.
OWASP:
OWASP (پروژه امنیت وب اپلیکیشنهای باز) به یک پروژه جهانی و غیرانتفاعی اشاره دارد که به ارائه منابع و ابزارهایی برای بهبود امنیت وب اپلیکیشنها و نرمافزارهای وب اختصاص دارد. OWASP شامل مجموعهای از استانداردها، بهترین شیوهها، و ابزارهای امنیتی است که به توسعهدهندگان و سازمانها کمک میکند تا آسیبپذیریهای امنیتی را شناسایی و مدیریت کنند.
مثال:
یکی از معروفترین منابع OWASP، OWASP Top Ten است که لیستی از ده آسیبپذیری برتر امنیتی در وب اپلیکیشنها را ارائه میدهد و راهکارهایی برای مقابله با آنها پیشنهاد میکند.
SIEM:
SIEM (مدیریت اطلاعات و رویدادهای امنیتی) به یک دسته از فناوریها و فرآیندها اشاره دارد که برای جمعآوری، تحلیل، و مدیریت دادههای امنیتی و رویدادهای مرتبط با آنها طراحی شدهاند. SIEM به سازمانها کمک میکند تا تهدیدات امنیتی را شناسایی کنند، پاسخ به حوادث را بهبود بخشند، و تطابق با الزامات قانونی و استانداردهای امنیتی را تضمین کنند.
مثال:
استفاده از SIEM میتواند شامل جمعآوری و تحلیل لاگهای سیستمها و شبکهها، شناسایی الگوهای مشکوک یا حملات سایبری، و تولید گزارشات امنیتی برای کمک به تصمیمگیری و پاسخ به حوادث باشد.
Vulnerability Management:
Vulnerability Management (مدیریت آسیبپذیری) به فرآیند شناسایی، ارزیابی، و اصلاح آسیبپذیریها و نقاط ضعف در سیستمها و نرمافزارها اشاره دارد. هدف از این فرآیند کاهش ریسکهای امنیتی ناشی از آسیبپذیریهای شناسایی شده و بهبود وضعیت کلی امنیت اطلاعات در سازمان است.
مثال:
مدیریت آسیبپذیری ممکن است شامل اجرای اسکنهای منظم برای شناسایی آسیبپذیریها، ارزیابی ریسکهای مرتبط، و اعمال بهروزرسانیها و اصلاحات لازم برای محافظت در برابر تهدیدات باشد.
Threat Intelligence:
Threat Intelligence (هوش تهدید) به فرآیند جمعآوری، تحلیل، و استفاده از دادهها و اطلاعات مرتبط با تهدیدات امنیتی برای درک بهتر و پیشبینی حملات سایبری اشاره دارد. این اطلاعات به سازمانها کمک میکند تا تهدیدات بالقوه را شناسایی کنند، استراتژیهای دفاعی خود را تقویت کنند، و پاسخهای مؤثری به حوادث امنیتی ارائه دهند.
مثال:
هوش تهدید ممکن است شامل تحلیل دادههای جمعآوریشده از منابع مختلف، مانند وبسایتهای تاریک، گزارشهای تهدید، و فعالیتهای مشکوک در شبکه، و استفاده از این تحلیلها برای بهبود دفاعهای سایبری و استراتژیهای امنیتی باشد.
CRM:
CRM (مدیریت ارتباط با مشتری) به یک سیستم و مجموعهای از فرآیندها اشاره دارد که برای مدیریت تعاملات و ارتباطات با مشتریان و مشتریان بالقوه در سازمانها طراحی شدهاند. هدف CRM بهبود روابط با مشتریان، افزایش رضایت آنها، و ارتقاء فروش و خدمات است.
مثال:
سیستمهای CRM معمولاً شامل ویژگیهایی مانند مدیریت اطلاعات تماس، پیگیری تعاملات مشتری، تحلیل دادههای مشتری و گزارشگیری برای بهبود استراتژیهای بازاریابی و خدمات مشتریان هستند.
Captive Portal:
Captive Portal (پورتال محصور) به یک نوع سیستم احراز هویت و کنترل دسترسی اشاره دارد که معمولاً در شبکههای بیسیم عمومی و خصوصی استفاده میشود. این سیستم کاربران را قبل از دسترسی به اینترنت یا شبکه، به صفحهای هدایت میکند که از آنها میخواهد اطلاعاتی مانند نام کاربری و رمز عبور را وارد کنند یا شرایط استفاده از سرویس را بپذیرند.
مثال:
در یک شبکه Wi-Fi عمومی، کاربران ممکن است پس از اتصال به شبکه، به صفحهای هدایت شوند که از آنها خواسته میشود برای دسترسی به اینترنت، اطلاعات تماس خود را وارد کنند یا شرایط استفاده از شبکه را تأیید کنند.
IMP:
IMP (فرآیندهای مدیریت اطلاعات) به مجموعهای از فعالیتها و رویهها اشاره دارد که برای جمعآوری، ذخیره، سازماندهی، و توزیع اطلاعات در سازمانها طراحی شدهاند. هدف از این فرآیندها بهینهسازی استفاده از اطلاعات، ارتقاء تصمیمگیری، و بهبود کارایی سازمانی است.
مثال:
فرآیندهای مدیریت اطلاعات ممکن است شامل برنامهریزی برای جمعآوری دادهها، تعیین سیاستهای ذخیرهسازی و حفظ اطلاعات، و اجرای رویههای امنیتی برای حفاظت از دادههای حساس باشند.
IMP:
IMP (سیاست مدیریت اطلاعات) به مجموعهای از اصول و دستورالعملها اشاره دارد که برای هدایت و نظارت بر جمعآوری، ذخیرهسازی، استفاده، و حفاظت از اطلاعات در یک سازمان تدوین شدهاند. هدف از این سیاستها اطمینان از اینکه اطلاعات به درستی مدیریت و محافظت میشود و مطابق با الزامات قانونی و مقررات سازمانی است.
مثال:
یک سیاست مدیریت اطلاعات ممکن است شامل دستورالعملهایی برای دسترسی به دادهها، حفظ حریم خصوصی، امنیت اطلاعات، و فرآیندهای بازیابی اطلاعات در صورت وقوع حوادث باشد.
Classification:
Classification (طبقهبندی) به فرآیند سازماندهی و دستهبندی اطلاعات، اسناد، یا دادهها بر اساس ویژگیها و معیارهای خاص اشاره دارد. هدف از طبقهبندی، مدیریت و حفاظت مؤثر از اطلاعات، تسهیل دسترسی، و اطمینان از رعایت الزامات امنیتی و قانونی است.
مثال:
در یک سازمان، اطلاعات ممکن است به دستههای مختلفی مانند عمومی، محرمانه، و بسیار محرمانه طبقهبندی شوند تا به راحتی مدیریت شوند و از دسترسی غیرمجاز به دادههای حساس جلوگیری شود.
Offensive Security:
Offensive Security (امنیت تهاجمی) به رویکردهایی اشاره دارد که به طور فعال و پیشگیرانه برای شبیهسازی حملات سایبری به منظور شناسایی و اصلاح نقاط ضعف و آسیبپذیریها در سیستمها و شبکهها استفاده میشود. هدف از امنیت تهاجمی، پیشبینی و مقابله با تهدیدات قبل از وقوع آنها از طریق تکنیکهای آزمایش نفوذ و ارزیابی آسیبپذیری است.
مثال:
تستهای نفوذ (Penetration Testing) و ارزیابی آسیبپذیری از نمونههای متداول امنیت تهاجمی هستند که در آنها کارشناسان امنیتی به طور فعال به سیستمها حمله کرده و نقاط ضعف را شناسایی میکنند تا سازمانها بتوانند اقدامات اصلاحی لازم را انجام دهند.
Defensive Security:
Defensive Security (امنیت دفاعی) به رویکردهایی اشاره دارد که برای محافظت و دفاع از سیستمها و شبکهها در برابر تهدیدات و حملات سایبری طراحی شدهاند. این رویکرد شامل پیادهسازی تدابیر و تکنیکهایی برای شناسایی، پیشگیری، و پاسخ به تهدیدات است تا امنیت و یکپارچگی سیستمها حفظ شود.
مثال:
استفاده از فایروالها، سیستمهای پیشگیری از نفوذ (IPS)، و نرمافزارهای ضدویروس از نمونههای متداول امنیت دفاعی هستند که به طور فعال از سیستمها در برابر حملات و تهدیدات محافظت میکنند.
QA:
QA (تضمین کیفیت) به مجموعهای از فرآیندها و فعالیتها اشاره دارد که برای تضمین اینکه محصولات و خدمات به استانداردهای کیفیت معین رسیده و انتظارات مشتریان را برآورده میکنند، طراحی شدهاند. هدف از QA، شناسایی و رفع مشکلات و نقصها قبل از ارائه محصول نهایی است.
مثال:
در فرآیند تضمین کیفیت نرمافزار، فعالیتهایی مانند تستهای عملکرد، تستهای امنیتی، و بررسی کد انجام میشود تا اطمینان حاصل شود که نرمافزار مطابق با مشخصات و استانداردهای کیفیت مورد نظر است.
Audit Management:
Audit Management (مدیریت ممیزی) به فرآیند برنامهریزی، اجرای، و نظارت بر ممیزیهای داخلی و خارجی در سازمانها اشاره دارد. هدف از مدیریت ممیزی، ارزیابی و بهبود کارایی سیستمها، فرآیندها، و کنترلهای داخلی است تا اطمینان حاصل شود که آنها مطابق با استانداردها، مقررات، و سیاستهای سازمانی عمل میکنند.
مثال:
مدیریت ممیزی میتواند شامل برنامهریزی و اجرای ممیزیهای مالی، ممیزیهای امنیتی، و ممیزیهای عملیاتی باشد که به شناسایی نقاط ضعف و ارائه پیشنهادات برای بهبود فرآیندها کمک میکند.
UTM:
UTM (مدیریت تهدید یکپارچه) به یک راهکار امنیتی اشاره دارد که مجموعهای از فناوریها و ابزارها را در یک سیستم واحد ادغام میکند تا تهدیدات سایبری مختلف را شناسایی و مدیریت کند. هدف از UTM ارائه یک راهحل جامع برای محافظت از شبکه در برابر انواع مختلف تهدیدات از جمله ویروسها، حملات نفوذ، و بدافزارها است.
مثال:
یک سیستم UTM ممکن است شامل فایروال، سیستم پیشگیری از نفوذ (IPS)، ضدویروس، و فیلترهای وب باشد که به طور یکپارچه با هم کار میکنند تا امنیت شبکه را بهبود بخشند و پیچیدگیهای مدیریتی را کاهش دهند.
NDA:
NDA (قرارداد عدم افشا) به توافقنامهای قانونی اشاره دارد که بین دو یا چند طرف به منظور حفاظت از اطلاعات محرمانه و جلوگیری از افشای آن به اشخاص ثالث امضاء میشود. هدف از NDA تضمین این است که اطلاعات حساس تنها برای مقاصد معین استفاده شده و در معرض دید عمومی قرار نگیرد.
مثال:
یک شرکت ممکن است با کارمندان خود قرارداد عدم افشا امضاء کند تا از افشای اطلاعات تجاری یا فناوریهای نوآورانهای که در دست توسعه است، جلوگیری کند.
Internal Audit:
Internal Audit (ممیزی داخلی) به فرآیند بررسی و ارزیابی فعالیتها، فرآیندها، و کنترلهای داخلی در یک سازمان توسط واحد ممیزی داخلی خود آن سازمان اشاره دارد. هدف از ممیزی داخلی، شناسایی نقاط ضعف، ارزیابی رعایت مقررات و سیاستها، و پیشنهاد بهبودهای لازم برای افزایش کارایی و کاهش ریسکها است.
مثال:
ممیزی داخلی ممکن است شامل بررسی فرآیندهای مالی، ارزیابی کنترلهای امنیتی، و تحلیل اثربخشی فرآیندهای عملیاتی برای اطمینان از انطباق با قوانین و استانداردها باشد.
External Audit:
External Audit (ممیزی خارجی) به فرآیند ارزیابی و بررسی فعالیتها، گزارشها، و کنترلهای مالی و عملیاتی در یک سازمان توسط یک ممیز مستقل و خارجی اشاره دارد. هدف از ممیزی خارجی، ارائه یک ارزیابی بیطرف و مستقل از وضعیت مالی و عملکرد سازمان و اطمینان از رعایت استانداردها و مقررات است.
مثال:
یک سازمان ممکن است برای ممیزی سالانه مالی خود، از یک شرکت حسابرسی مستقل استفاده کند تا گزارش مالی خود را بررسی و تأیید کند و اطمینان حاصل کند که تمامی اصول حسابداری و مقررات قانونی رعایت شده است.
Specialized Audit:
Specialized Audit (ممیزی تخصصی) به فرآیند بررسی و ارزیابی عمیق در حوزههای خاص و تخصصی از جمله فناوری اطلاعات، امنیت سایبری، یا انطباق با مقررات ویژه اشاره دارد. هدف از ممیزی تخصصی، ارائه تحلیل دقیق و کارشناسانه در زمینههای خاص و شناسایی نقاط ضعف و مسائل پیچیده است که ممکن است در ممیزیهای عمومی کمتر مورد توجه قرار گیرند.
مثال:
ممیزی تخصصی در زمینه امنیت سایبری ممکن است شامل ارزیابی آسیبپذیریها، بررسی سیاستهای امنیتی، و تحلیل تهدیدات سایبری برای شناسایی ضعفهای امنیتی و پیشنهاد راهکارهای بهبود باشد.
Security Audit:
Security Audit (ممیزی امنیت) به فرآیند ارزیابی و بررسی سیستمها، شبکهها، و فرآیندهای امنیتی یک سازمان به منظور شناسایی آسیبپذیریها، نقاط ضعف، و مشکلات امنیتی اشاره دارد. هدف از ممیزی امنیت، اطمینان از رعایت استانداردهای امنیتی و شناسایی اقداماتی است که برای بهبود امنیت و حفاظت از داراییهای اطلاعاتی نیاز است.
مثال:
ممیزی امنیت ممکن است شامل بررسی پیکربندیهای امنیتی، ارزیابی دسترسیها و کنترلهای موجود، و تستهای نفوذ به منظور شناسایی و رفع ضعفهای امنیتی باشد.
Network Audit:
Network Audit (ممیزی شبکه) به فرآیند بررسی و ارزیابی زیرساختهای شبکه، پیکربندیها، و عملکرد شبکههای کامپیوتری یک سازمان اشاره دارد. هدف از ممیزی شبکه، شناسایی آسیبپذیریها، نقاط ضعف، و مسائل عملکردی به منظور بهبود امنیت، کارایی، و مدیریت شبکه است.
مثال:
ممیزی شبکه ممکن است شامل بررسی تنظیمات فایروالها، تحلیل ترافیک شبکه، ارزیابی کنترلهای دسترسی، و بررسی نقاط ضعف احتمالی در طراحی شبکه باشد.
Behavioral Audit:
Behavioral Audit (ممیزی رفتاری) به فرآیند بررسی و تحلیل رفتارها و فعالیتهای کاربران یا کارکنان در یک سازمان اشاره دارد. هدف از ممیزی رفتاری شناسایی الگوهای رفتاری غیرمعمول، ارزیابی انطباق با سیاستها و مقررات، و تشخیص مشکلات احتمالی مرتبط با عملکرد و امنیت است.
مثال:
ممیزی رفتاری ممکن است شامل تحلیل فعالیتهای کاربران در سیستمهای IT برای شناسایی رفتارهای غیرعادی یا نقض سیاستهای امنیتی باشد و همچنین بررسی تأثیرات بالقوه بر امنیت اطلاعات و کارایی سازمان.
Technical Audit:
Technical Audit (ممیزی فنی) به فرآیند بررسی و ارزیابی جنبههای فنی و تکنولوژیکی یک سیستم، برنامه، یا زیرساخت اشاره دارد. هدف از ممیزی فنی شناسایی مشکلات فنی، آسیبپذیریها، و بهینهسازی عملکرد و امنیت سیستمهای فناوری اطلاعات است.
مثال:
ممیزی فنی ممکن است شامل ارزیابی کد منبع نرمافزار، بررسی معماری سیستم، تحلیل عملکرد سرورها و شبکهها، و بررسی پیکربندیهای امنیتی باشد.
Process Audit:
Process Audit (ممیزی فرآیند) به فرآیند بررسی و ارزیابی مراحل و فعالیتهای خاص در یک فرآیند تجاری یا عملیاتی اشاره دارد. هدف از ممیزی فرآیند، شناسایی ناکارآمدیها، مشکلات، و فرصتی برای بهبود و تضمین اینکه فرآیندها به درستی و مطابق با استانداردها و سیاستها اجرا میشوند، است.
مثال:
ممیزی فرآیند ممکن است شامل بررسی مراحل تولید یک محصول برای شناسایی مشکلات کیفیت، تحلیل فرآیندهای خدمات مشتریان برای بهبود کارایی و رضایت مشتری، و ارزیابی فرآیندهای مالی برای اطمینان از انطباق با مقررات و استانداردها باشد.
Information Systems Audit:
Information Systems Audit (ممیزی سیستمهای اطلاعاتی) به فرآیند بررسی و ارزیابی سیستمهای اطلاعاتی و فناوری اطلاعات یک سازمان اشاره دارد. هدف از ممیزی سیستمهای اطلاعاتی، شناسایی مشکلات، آسیبپذیریها، و عدم انطباق با سیاستها و مقررات، و همچنین بررسی اثربخشی و کارایی سیستمها است.
مثال:
ممیزی سیستمهای اطلاعاتی ممکن است شامل بررسی امنیت دادهها، تحلیل پیکربندی سیستمها، ارزیابی عملکرد نرمافزارها و سختافزارها، و تحلیل کنترلهای دسترسی و حفاظت از اطلاعات باشد.
Physical Audit:
Physical Audit (ممیزی فیزیکی) به فرآیند بررسی و ارزیابی فیزیکی داراییها، تجهیزات، و منابع یک سازمان اشاره دارد. هدف از ممیزی فیزیکی، اطمینان از وضعیت صحیح و عملکرد درست تجهیزات، کنترل انطباق با سیاستها و استانداردها، و شناسایی مشکلات یا نقصها در داراییهای فیزیکی است.
مثال:
ممیزی فیزیکی ممکن است شامل بررسی وضعیت سرورها و تجهیزات شبکه، ارزیابی شرایط نگهداری و ذخیرهسازی تجهیزات، و شناسایی هر گونه آسیب یا نقص در داراییهای فیزیکی سازمان باشد.
Operational Audit:
Operational Audit (ممیزی عملیاتی) به فرآیند بررسی و ارزیابی کارایی و اثربخشی فرآیندها و فعالیتهای عملیاتی یک سازمان اشاره دارد. هدف از ممیزی عملیاتی، شناسایی مشکلات، ناکارآمدیها، و فرصتهای بهبود در فرآیندها و فعالیتهای روزمره سازمان است.
مثال:
ممیزی عملیاتی ممکن است شامل بررسی عملکرد فرآیندهای تولید، ارزیابی کارایی فرآیندهای خدمات مشتری، و تحلیل کارایی سیستمهای مدیریت منابع انسانی باشد تا اطمینان حاصل شود که این فرآیندها به درستی و با کارایی بالا اجرا میشوند.
Value-added Audit:
Value-added Audit (ممیزی ارزش افزوده) به فرآیند بررسی و ارزیابی که هدف آن شناسایی و پیشنهاد بهبودهایی است که به افزایش ارزش و کارایی سازمان کمک میکند، اشاره دارد. این نوع ممیزی نه تنها به دنبال شناسایی مشکلات و نقایص است بلکه بر روی راهکارهایی تمرکز دارد که میتواند به بهبود عملکرد و ایجاد ارزش بیشتر برای سازمان کمک کند.
مثال:
ممیزی ارزش افزوده ممکن است شامل تحلیل فرآیندهای کسبوکار برای پیشنهاد تغییرات بهبوددهنده، ارزیابی پروژهها برای شناسایی فرصتهای افزایش بهرهوری، و بررسی سیستمهای مالی برای پیشنهاد راهکارهای بهینهسازی هزینهها باشد.
Security System Audit:
Security System Audit (ممیزی سیستمهای امنیتی) به فرآیند بررسی و ارزیابی زیرساختهای امنیتی، سیاستها، و کنترلهای حفاظتی یک سازمان اشاره دارد. هدف از ممیزی سیستمهای امنیتی، شناسایی نقاط ضعف و آسیبپذیریها، ارزیابی اثربخشی تدابیر امنیتی، و تضمین انطباق با استانداردها و مقررات امنیتی است.
مثال:
ممیزی سیستمهای امنیتی ممکن است شامل بررسی تنظیمات فایروالها، ارزیابی کنترلهای دسترسی، تحلیل سیستمهای نظارتی و پیشگیری از نفوذ، و ارزیابی پروتکلهای امنیتی برای اطمینان از حفاظت مناسب از اطلاعات و داراییهای سازمان باشد.
User Behavior Audit:
User Behavior Audit (ممیزی رفتار کاربران) به فرآیند بررسی و تحلیل فعالیتها و رفتارهای کاربران در سیستمهای اطلاعاتی و محیطهای کاری اشاره دارد. هدف از ممیزی رفتار کاربران، شناسایی الگوهای رفتاری غیرمعمول یا مشکوک، ارزیابی انطباق با سیاستهای امنیتی و مدیریتی، و بهبود امنیت و کارایی سازمان است.
مثال:
ممیزی رفتار کاربران ممکن است شامل تحلیل الگوهای ورود و خروج، بررسی فعالیتهای غیرعادی یا غیرمجاز در سیستمها، و ارزیابی تطابق با قوانین و سیاستهای دسترسی به اطلاعات باشد.
SLA Audit:
SLA Audit (ممیزی توافقنامه سطح خدمات) به فرآیند بررسی و ارزیابی انطباق با توافقنامههای سطح خدمات (SLA) بین ارائهدهندگان خدمات و مشتریان اشاره دارد. هدف از ممیزی SLA، ارزیابی رعایت تعهدات، شناسایی نقاط ضعف در ارائه خدمات، و تضمین کیفیت و کارایی خدمات مطابق با استانداردها و قراردادها است.
مثال:
ممیزی SLA ممکن است شامل بررسی زمانهای پاسخ و حل مشکلات، ارزیابی میزان رضایت مشتریان، و تحلیل دادههای عملکرد برای اطمینان از اینکه خدمات ارائه شده مطابق با تعهدات قراردادی هستند، باشد.
Security Equipment Audit:
Security Equipment Audit (ممیزی تجهیزات امنیتی) به فرآیند بررسی و ارزیابی عملکرد، پیکربندی، و نگهداری تجهیزات امنیتی یک سازمان اشاره دارد. هدف از ممیزی تجهیزات امنیتی، اطمینان از کارایی و اثربخشی تجهیزات امنیتی، شناسایی نقاط ضعف و مشکلات احتمالی، و تضمین انطباق با استانداردها و سیاستهای امنیتی است.
مثال:
ممیزی تجهیزات امنیتی ممکن است شامل بررسی عملکرد دوربینهای نظارتی، ارزیابی تنظیمات سیستمهای کنترل دسترسی، تحلیل وضعیت فایروالها و دستگاههای تشخیص نفوذ، و اطمینان از بهروزرسانی و نگهداری مناسب تجهیزات باشد.
Quantitative Reports:
Quantitative Reports (گزارشهای کمی) به گزارشهایی اشاره دارد که اطلاعات و دادهها را به صورت عددی و آماری ارائه میدهند. هدف از گزارشهای کمی، تحلیل دادهها برای استخراج الگوها، روندها، و شاخصهای عملکردی به منظور کمک به تصمیمگیریهای مبتنی بر دادهها است.
مثال:
گزارشهای کمی ممکن است شامل آمار فروش ماهانه، نرخ خطاهای سیستم، میانگین زمان پاسخگویی به درخواستهای مشتریان، و تحلیل دادههای مالی برای ارزیابی سودآوری و کارایی باشند.
Qualitative Reports:
Qualitative Reports (گزارشهای کیفی) به گزارشهایی اشاره دارد که اطلاعات و دادهها را به صورت غیر عددی و توصیفی ارائه میدهند. هدف از گزارشهای کیفی، تحلیل و تفسیر پدیدهها، نگرشها، تجربیات، و فرآیندها به منظور درک عمیقتر مسائل و کمک به تصمیمگیریهای استراتژیک است.
مثال:
گزارشهای کیفی ممکن است شامل نتایج مصاحبهها و نظرسنجیها، تحلیل محتوا از بازخوردهای مشتریان، توصیف تجربیات کارمندان از فرآیندهای کاری، و بررسی فرهنگ سازمانی باشد.
Security Token:
Security Token (توکن امنیتی) به یک دستگاه یا ابزار دیجیتالی اشاره دارد که برای احراز هویت کاربران و تأمین امنیت دسترسی به سیستمها و دادهها استفاده میشود. هدف از توکن امنیتی، افزایش امنیت از طریق ارائه یک لایه اضافی از تأیید هویت علاوه بر رمز عبورهای سنتی است.
مثال:
توکنهای امنیتی ممکن است به صورت سختافزاری (مانند کارتهای هوشمند یا دستگاههای OTP) یا نرمافزاری (مانند اپلیکیشنهای موبایلی) ارائه شوند و میتوانند برای دسترسی به حسابهای بانکی، سیستمهای شرکتی، و دیگر خدمات آنلاین استفاده شوند.
Sandbox:
Sandbox (محیط ایزوله) به یک محیط امن و مجزا اشاره دارد که برای اجرای برنامهها یا کدها بدون تأثیرگذاری بر سیستم اصلی یا شبکه استفاده میشود. هدف از استفاده از Sandbox، تست و تجزیه و تحلیل نرمافزارها یا فایلهای مشکوک بدون به خطر انداختن امنیت سیستم اصلی است.
مثال:
Sandboxها معمولاً برای آزمایش نرمافزارهای جدید، تحلیل بدافزارها، یا بررسی تأثیرات احتمالی کدهای اجرایی ناشناخته استفاده میشوند. این محیطها به محققان و توسعهدهندگان امکان میدهند تا رفتارهای مشکوک را در یک محیط کنترلشده بررسی کنند.
ISO 27001:
ISO 27001 (استاندارد بینالمللی سیستم مدیریت امنیت اطلاعات) یک استاندارد جهانی است که الزامات مربوط به سیستم مدیریت امنیت اطلاعات (ISMS) را تعریف میکند. هدف از ISO 27001، کمک به سازمانها در حفاظت از اطلاعات حساس، کاهش خطرات امنیتی، و اطمینان از انطباق با قوانین و مقررات مربوط به امنیت اطلاعات است.
مثال:
سازمانهایی که گواهینامه ISO 27001 را دریافت میکنند، باید فرآیندهای مدیریت ریسک را پیادهسازی کرده و کنترلهای امنیتی مناسب را اعمال کنند. این استاندارد به ویژه برای سازمانهایی که اطلاعات حساس را پردازش و ذخیره میکنند، مانند مؤسسات مالی، بخش بهداشت، و شرکتهای فناوری اطلاعات اهمیت دارد.
NIST SP 800-53:
NIST SP 800-53 (نشریه ویژه مؤسسه ملی استاندارد و فناوری 800-53) مجموعهای جامع از کنترلهای امنیتی برای سیستمهای اطلاعاتی و سازمانها است. این نشریه به منظور کمک به سازمانها در پیادهسازی چارچوبهای امنیتی مؤثر و محافظت از اطلاعات حساس طراحی شده است.
مثال:
استفاده از کنترلهای دسترسی قوی برای محدود کردن دسترسی به دادههای حساس و پیادهسازی اقدامات رمزنگاری برای حفاظت از دادهها در حالت ذخیرهسازی و انتقال.
Cyber Maturity Levels:
Cyber Maturity Levels (سطوح بلوغ سایبری) مدلهایی هستند که میزان پیشرفت و اثربخشی یک سازمان در پیادهسازی اقدامات امنیت سایبری را ارزیابی میکنند. این سطوح معمولاً از پایه تا پیشرفته طبقهبندی شده و به سازمانها کمک میکنند تا نقاط ضعف و قوت خود را شناسایی و برنامههای بهبود امنیتی مناسب را تدوین کنند.
مثال:
یک سازمان در سطح ابتدایی ممکن است تنها دارای سیاستهای پایه امنیتی باشد، در حالی که یک سازمان در سطح پیشرفته دارای مانیتورینگ مستمر و واکنش سریع به حوادث امنیتی است.
Cyber Maturity Standards:
Cyber Maturity Standards (استانداردهای بلوغ سایبری) معیارهایی هستند که به سازمانها کمک میکنند تا میزان پیشرفت و توانمندیهای خود در زمینه امنیت سایبری را ارزیابی و بهبود بخشند. این استانداردها شامل مجموعهای از اصول، فرآیندها، و بهترین شیوهها هستند که برای ارتقاء و تثبیت وضعیت امنیت سایبری به کار میروند.
مثال:
استانداردهای بلوغ سایبری ممکن است شامل معیارهایی برای ارزیابی سیاستهای امنیتی، مدیریت ریسک، و واکنش به حوادث باشند که سازمانها را قادر میسازد تا به صورت سیستماتیک و مستمر وضعیت امنیتی خود را بهبود بخشند.
Cybersecurity Maturity Models:
Cybersecurity Maturity Models (مدلهای بلوغ امنیت سایبری) چارچوبهایی هستند که به سازمانها کمک میکنند تا سطح آمادگی و توانمندیهای خود را در زمینه امنیت سایبری ارزیابی کنند. این مدلها معمولاً شامل سطوح یا مراحل مختلف هستند که از وضعیت ابتدایی تا پیشرفته را پوشش میدهند و راهکارهایی برای بهبود مستمر ارائه میدهند.
مثال:
یک مدل بلوغ امنیت سایبری ممکن است شامل سطوحی مانند ابتدایی، توسعهیافته، و بهینه شده باشد، با معیارهایی برای هر سطح که ارزیابی پیشرفت در زمینههای مختلف امنیتی مانند مدیریت ریسک، سیاستهای امنیتی، و واکنش به حوادث را تسهیل کند.
Number of Controls in Standards:
Number of Controls in Standards (تعداد کنترلها در استانداردها) به تعداد و نوع اقدامات و راهکارهایی اشاره دارد که در استانداردهای مختلف امنیتی برای مدیریت و حفاظت از سیستمهای اطلاعاتی تعیین شدهاند. این کنترلها میتوانند شامل معیارهای امنیتی، فرآیندهای مدیریتی، و تکنیکهای فنی باشند.
مثال:
استاندارد NIST SP 800-53 شامل بیش از 400 کنترل امنیتی است که به سازمانها کمک میکند تا اقدامات لازم برای محافظت از سیستمهای خود را شناسایی و پیادهسازی کنند.
Other Standards and Number of Controls:
Other Standards and Number of Controls (استانداردهای دیگر و تعداد کنترلها) به مجموعهای از استانداردهای امنیتی اشاره دارد که در کنار استانداردهایی مانند NIST SP 800-53 وجود دارند و تعداد کنترلهای مربوط به هر کدام ممکن است متفاوت باشد. این استانداردها به سازمانها کمک میکنند تا به روشهای مختلفی به امنیت اطلاعات و مدیریت ریسک بپردازند.
مثال:
استاندارد ISO/IEC 27001 شامل حدود 114 کنترل است که در قالب 14 بخش مختلف دستهبندی شدهاند، در حالی که استاندارد COBIT 2019 شامل حدود 40 فرآیند مدیریت است که هر کدام مجموعهای از کنترلها را در بر دارد.
Initial Stage, Defined Stage, Managed Stage:
Initial Stage, Defined Stage, Managed Stage (مرحله ابتدایی، مرحله تعریف شده، مرحله مدیریت شده) مراحل مختلف در مدلهای بلوغ سازمانی هستند که نشاندهنده پیشرفت و تکامل فرآیندها و کنترلهای امنیتی در یک سازمان میباشند.
مثال:
در مرحله ابتدایی، سازمان ممکن است فقط اقداماتی ابتدایی و پراکنده انجام دهد. در مرحله تعریف شده، فرآیندها و کنترلها به صورت مستند و منظم تعریف شدهاند، و در مرحله مدیریت شده، سازمان به صورت مستمر و بهینهسازی شده این فرآیندها را مدیریت و نظارت میکند.
Advanced Level, Intermediate Level, Defined Stage:
Advanced Level, Intermediate Level, Defined Stage (سطح پیشرفته، سطح میانی، مرحله تعریف شده) سطوح مختلف بلوغ در مدلهای ارزیابی امنیت سایبری هستند که به ترتیب نشاندهنده پیشرفت و تکامل در پیادهسازی و مدیریت کنترلهای امنیتی هستند.
مثال:
در سطح تعریف شده، فرآیندها و کنترلها به طور رسمی مستند شده و به کار گرفته میشوند. در سطح میانی، سازمانها فرآیندها را به طور منظم پیادهسازی کرده و بهبود میدهند. در سطح پیشرفته، سازمانها از تکنیکهای پیشرفته و بهترین شیوهها استفاده کرده و فرآیندها را به طور مداوم بهینهسازی و نوآوری میکنند.
بلوغ مدیریت امنیت اطلاعات:
بلوغ مدیریت امنیت اطلاعات (سطح بلوغ مدیریت امنیت اطلاعات) به میزان توانمندی و تکامل سازمان در پیادهسازی و مدیریت سیاستها، فرآیندها، و کنترلهای امنیتی برای حفاظت از اطلاعات اشاره دارد.
مثال:
یک سازمان در این سطح ممکن است دارای سیاستهای مستند و فرآیندهای مشخص برای مدیریت امنیت اطلاعات باشد که به طور منظم بررسی و بهروزرسانی میشود.
بلوغ فنی و امنیتی:
بلوغ فنی و امنیتی (سطح بلوغ فنی و امنیتی) به میزان پیشرفت و توانمندی در پیادهسازی تکنولوژیها و ابزارهای امنیتی برای محافظت از سیستمهای فناوری اطلاعات و زیرساختها اشاره دارد.
مثال:
در این سطح، سازمانها ممکن است از تکنیکهای پیشرفته مانند رمزنگاری، سیستمهای تشخیص نفوذ، و کنترلهای دسترسی استفاده کنند.
بلوغ شناسایی و پاسخ به حملات سایبری:
بلوغ شناسایی و پاسخ به حملات سایبری (سطح بلوغ شناسایی و پاسخ به حملات سایبری) به توانمندی سازمان در شناسایی سریع و مؤثر حملات سایبری و واکنش به آنها اشاره دارد.
مثال:
یک سازمان در این سطح ممکن است دارای تیمهای واکنش به حادثه و ابزارهای تحلیل برای شناسایی و مدیریت تهدیدات باشد.
بلوغ تحلیل امنیتی و ریسکمدیریت:
بلوغ تحلیل امنیتی و ریسکمدیریت (سطح بلوغ تحلیل امنیتی و ریسکمدیریت) به میزان توانمندی در تحلیل تهدیدات امنیتی و مدیریت ریسکها برای به حداقل رساندن آسیبهای بالقوه اشاره دارد.
مثال:
در این سطح، سازمانها ممکن است از روشهای پیشرفته تحلیل ریسک و ارزیابی آسیبپذیری استفاده کنند و برنامههای مدیریت ریسک را به صورت مداوم بهروزرسانی کنند.
بلوغ امنیت دیتاسنتر:
بلوغ امنیت دیتاسنتر (سطح بلوغ امنیت دیتاسنتر) به توانمندی سازمان در محافظت از زیرساختهای دیتاسنتر و اطلاعات ذخیره شده در آنها اشاره دارد.
مثال:
یک سازمان در این سطح ممکن است از کنترلهای فیزیکی و الکترونیکی مانند سیستمهای نظارت و کنترل دسترسی برای حفاظت از دیتاسنتر استفاده کند.
بلوغ امنیت شبکه:
بلوغ امنیت شبکه (سطح بلوغ امنیت شبکه) به میزان پیشرفت در محافظت از شبکههای ارتباطی و دادهها در برابر تهدیدات و نفوذهای خارجی و داخلی اشاره دارد.
مثال:
سازمانها ممکن است از فایروالها، سیستمهای پیشگیری از نفوذ، و ابزارهای تحلیل ترافیک برای تقویت امنیت شبکه استفاده کنند.
بلوغ امنیت سایبری صنعتی:
بلوغ امنیت سایبری صنعتی (سطح بلوغ امنیت سایبری صنعتی) به توانمندی در محافظت از سیستمهای کنترل صنعتی و تجهیزات مرتبط در برابر تهدیدات سایبری اشاره دارد.
مثال:
در این سطح، سازمانها ممکن است از تکنیکهای امنیتی ویژه برای سیستمهای کنترل صنعتی و شبکههای مرتبط استفاده کنند.
بلوغ امنیت اینترنت اشیاء (IoT):
بلوغ امنیت اینترنت اشیاء (IoT) (سطح بلوغ امنیت اینترنت اشیاء) به میزان توانمندی در محافظت از دستگاهها و سیستمهای متصل به اینترنت اشیاء اشاره دارد.
مثال:
سازمانها در این سطح ممکن است از روشهای امنیتی خاص مانند رمزنگاری و مدیریت هویت برای ایمنسازی دستگاههای IoT استفاده کنند.
بلوغ امنیت کاربران و آموزش به کارکنان در زمینه امنیت سایبری:
بلوغ امنیت کاربران و آموزش به کارکنان در زمینه امنیت سایبری (سطح بلوغ امنیت کاربران و آموزش) به توانمندی در آموزش کارکنان و ارتقاء آگاهی آنها در زمینه امنیت سایبری اشاره دارد.
مثال:
سازمانها ممکن است برنامههای آموزشی منظم و ارزیابیهای امنیتی برای کارکنان خود اجرا کنند تا آگاهی و آمادگی آنها را در برابر تهدیدات سایبری افزایش دهند.
بلوغ امنیت برای کسبوکارهای کوچک و متوسط (SMBs):
بلوغ امنیت برای کسبوکارهای کوچک و متوسط (SMBs) (سطح بلوغ امنیت برای SMBs) به توانمندی سازمانهای کوچک و متوسط در پیادهسازی اقدامات امنیتی مناسب و متناسب با اندازه و نیازهای خود اشاره دارد.
مثال:
کسبوکارهای کوچک و متوسط ممکن است از راهکارهای امنیتی مقرون به صرفه و مقیاسپذیر استفاده کنند که با منابع محدود آنها سازگار باشد.
همچنین باید توجه داشت که این لیست میتواند با توجه به پویایی حوزه سایبری و تحولات جدید، در آینده به روزرسانی شود.
استاندارد NIST:
استاندارد NIST (مؤسسه ملی استانداردها و فناوری) یک سامانه شناسایی، پیشگیری و پاسخ به حملات سایبری را فراهم میکند.
مثال:
این استاندارد شامل مجموعهای از کنترلها و راهنماییها برای ارزیابی و بهبود وضعیت امنیت سایبری سازمانها است.
استاندارد ISO/IEC 27001:
استاندارد ISO/IEC 27001 استانداردی برای مدیریت امنیت اطلاعات است که شامل رویهها، روشها و سیاستهای مدیریت امنیت اطلاعات میباشد.
مثال:
این استاندارد به سازمانها کمک میکند تا یک سیستم مدیریت امنیت اطلاعات (ISMS) ایجاد کنند و اطلاعات حساس را محافظت کنند.
استاندارد PCI DSS:
استاندارد PCI DSS استانداردی برای امنیت پرداخت است که شامل روشهایی برای جلوگیری از سوء استفاده از اطلاعات کارت اعتباری و پرداخت الکترونیکی میباشد.
مثال:
این استاندارد برای تضمین امنیت اطلاعات کارتهای اعتباری و کاهش ریسکهای مرتبط با پرداختهای الکترونیکی طراحی شده است.
استاندارد HIPAA:
استاندارد HIPAA یک استاندارد ایمنی و حفاظت از اطلاعات پزشکی و سلامت است که برای مراکز پزشکی و داروخانهها معرفی شده است.
مثال:
این استاندارد شامل الزامات سختگیرانهای برای حفاظت از اطلاعات سلامت بیماران و اطمینان از حفظ حریم خصوصی آنهاست.
استاندارد GDPR:
استاندارد GDPR یک استاندارد اروپایی برای حفاظت از حریم خصوصی و حفظ امنیت اطلاعات شخصی است.
مثال:
این استاندارد به حفاظت از دادههای شخصی کاربران در سراسر اتحادیه اروپا میپردازد و الزامات سختگیرانهای برای مدیریت دادهها اعمال میکند.
استاندارد CIS Controls:
استاندارد CIS Controls یک راهنمای جامع برای مدیریت امنیت سایبری و رفع نواقص امنیتی در یک سازمان است.
مثال:
این استاندارد شامل مجموعهای از کنترلها و اقدامات عملی برای بهبود امنیت سایبری در سازمانها میباشد.
استاندارد COBIT:
استاندارد COBIT یک چارچوب مدیریتی برای ارتباط بین تکنولوژی اطلاعات و اهداف تجاری در یک سازمان است.
مثال:
این استاندارد به سازمانها کمک میکند تا از طریق بهینهسازی استفاده از فناوری اطلاعات به اهداف تجاری خود دست یابند.
استاندارد OWASP:
استاندارد OWASP یک استاندارد برای امنیت نرمافزارهای وب است که شامل یک فهرست از آسیبپذیریهای معروف در نرمافزارهای وب میباشد.
مثال:
این استاندارد به توسعهدهندگان و سازمانها کمک میکند تا امنیت نرمافزارهای وب خود را بهبود بخشند و از حملات معمول جلوگیری کنند.
استاندارد CISQ:
استاندارد CISQ استانداردی برای ارزیابی کیفیت نرمافزار و امنیت آن است.
مثال:
این استاندارد شامل مجموعهای از معیارها برای ارزیابی کیفیت نرمافزار و تضمین امنیت در فرایند توسعه نرمافزار است.
استاندارد BSIMM:
استاندارد BSIMM یک مدل بلوغ برای ارزیابی امنیت نرمافزار است که به شرکتها کمک میکند تا پایداری و بلوغ سایبری خود را بهبود بخشند.
مثال:
این استاندارد به سازمانها اجازه میدهد تا برنامههای امنیتی خود را ارزیابی کرده و بهترین شیوهها را برای بهبود امنیت نرمافزار به کار گیرند.
چرخه عمر امنیتی (Security Development Lifecycle):
چرخه عمر امنیتی یک روش مدیریت بلوغ برای تضمین امنیت برنامههای کامپیوتری است که در طول زمان و چرخه عمر برنامه اعمال میشود.
مثال:
این مدل شامل مراحل طراحی، پیادهسازی، آزمایش و نگهداری امنیتی در فرایند توسعه نرمافزار است.
NIST Cybersecurity Framework:
چارچوب امنیت سایبری NIST یک راهنمای مدیریت بلوغ امنیت سایبری است که توسط مؤسسه ملی استاندارد و فناوری ایالات متحده (NIST) توسعه یافته است. این راهنما شامل پنج بخش اصلی از جمله شناسایی، حفاظت، تشخیص، پاسخگویی و بهبود است.
مثال:
این چارچوب به سازمانها کمک میکند تا نقاط ضعف خود را شناسایی کرده و راهکارهای بهینه برای حفاظت از سیستمها و دادهها پیادهسازی کنند.
CIS Controls:
کنترلهای امنیتی CIS یک سیستم مدیریت بلوغ امنیت سایبری است که توسط انجمن امنیتی موسسات (CIS) توسعه یافته است. این سیستم شامل 20 کنترل امنیتی اساسی است که به تنظیم، مانیتورینگ و حفاظت از فعالیتهای سایبری در یک سازمان کمک میکند.
مثال:
این کنترلها شامل اقدامات کلیدی مانند مدیریت حسابهای کاربری، محافظت از شبکه و سیستمهای اطلاعاتی، و مقابله با تهدیدات سایبری است.
ISO 27001:
استاندارد ISO 27001 یک استاندارد جهانی برای مدیریت امنیت اطلاعات است که شامل روشها و فرآیندهای مورد نیاز برای تضمین امنیت اطلاعات در سازمانها است.
مثال:
این استاندارد به سازمانها کمک میکند تا یک سیستم مدیریت امنیت اطلاعات (ISMS) ایجاد کنند و اطلاعات حساس را محافظت کنند.
COBIT:
چارچوب COBIT یک چارچوب مدیریت بلوغ است که از مجموعهای از راهنماهای بینالمللی، استانداردها و بهترین روشهای صنعت استفاده میکند. این چارچوب برای مدیریت بلوغ فرآیندهای IT در سازمانها استفاده میشود.
مثال:
COBIT به سازمانها کمک میکند تا از طریق بهینهسازی استفاده از فناوری اطلاعات به اهداف تجاری خود دست یابند.
FAIR:
چارچوب FAIR یک چارچوب مدیریت بلوغ است که برای تخمین و مقایسه ریسکهای امنیتی در سازمانها استفاده میشود. FAIR مخفف Factor Analysis of Information Risk است.
مثال:
این مدل به سازمانها کمک میکند تا ریسکهای مرتبط با اطلاعات خود را شناسایی کرده و استراتژیهای مناسب برای کاهش این ریسکها تدوین کنند.
SABSA:
چارچوب SABSA یک چارچوب مدیریت بلوغ امنیت سایبری است که برای طراحی و پیادهسازی راهحلهای امنیتی مبتنی بر ریسک در سازمانها استفاده میشود. این چارچوب شامل سه لایه اصلی به نامهای استراتژی، معماری و عملیاتی است و در هر لایه از مجموعهای از فرآیندها و مدلهای امنیتی استفاده میکند.
مثال:
SABSA به سازمانها کمک میکند تا امنیت سایبری را بهعنوان یک فرآیند استراتژیک در کل سازمان نهادینه کنند.
Zero Trust:
مدل امنیتی Zero Trust یک مدل امنیتی است که برای حفاظت از دادهها و منابع سازمان در برابر تهدیدات سایبری استفاده میشود. این مدل فرض میکند که هیچ دسترسی به منابع سازمان بدون احراز هویت و اجازه دسترسی امن نیست و همه فعالیتهای کاربران و دستگاهها باید مداوماً بررسی و تحلیل شوند.
مثال:
Zero Trust به سازمانها کمک میکند تا بهطور مداوم سیاستهای امنیتی خود را بروزرسانی کرده و از دادهها و منابع خود بهطور مؤثرتر حفاظت کنند.
شاخص امنیتی CIS (CIS Security Metrics):
شاخصهای امنیتی CIS یک مجموعه شاخصهای امنیتی است که به سازمانها کمک میکند تا عملکرد امنیتی خود را ارزیابی کنند و میزان پیشرفت خود را در راستای بهبود امنیت سایبری مشاهده کنند.
مثال:
این شاخصها به سازمانها کمک میکنند تا نقاط ضعف خود را شناسایی و اقدامات اصلاحی مناسب را انجام دهند.
Threat Modeling:
مدلسازی تهدیدات یک فرآیند تحلیلی است که برای شناسایی و تحلیل تهدیدات سایبری در سیستمهای کامپیوتری و برنامههای کاربردی استفاده میشود. این فرآیند شامل تعیین مسیر حملات، شناسایی آسیبپذیریها و مقایسه ریسکهای امنیتی است.
مثال:
مدلسازی تهدیدات به توسعهدهندگان و مهندسان امنیتی کمک میکند تا آسیبپذیریهای احتمالی را شناسایی کرده و اقدامات پیشگیرانه را اعمال کنند.
ISO 27001:
استاندارد ISO 27001 یک استاندارد جهانی برای مدیریت امنیت سایبری در سازمانها است که به صورت یک چارچوب مدیریت بلوغ امنیتی عمل میکند. این استاندارد مشخصاتی را برای مدیریت امنیت سایبری در سازمانها ارائه میدهد و شامل چهار مرحله اصلی به نامهای برنامهریزی، پیادهسازی، عملیات و بهبود است.
مثال:
این استاندارد به سازمانها کمک میکند تا یک سیستم جامع برای مدیریت امنیت اطلاعات خود ایجاد کنند.
NIST Cybersecurity Framework:
چارچوب امنیت سایبری NIST یک چارچوب مدیریت بلوغ امنیت سایبری است که توسط مؤسسه ملی استانداردها و فناوری ایالات متحده (NIST) توسعه داده شده است. این چارچوب شامل پنج مرحله اصلی به نامهای شناسایی، حفاظت، تشخیص، پاسخگویی و بهبود است.
مثال:
این چارچوب به سازمانها کمک میکند تا استراتژیهای امنیتی خود را تعریف و بهبود بخشند.
COBIT:
چارچوب COBIT یک چارچوب مدیریت بلوغ امنیت سایبری است که برای مدیریت فرآیندهای IT در سازمانها و بهبود کیفیت و کارایی این فرآیندها ایجاد شده است. این چارچوب شامل پنج عملکرد اصلی به نامهای تدارک، فرآیند، پیادهسازی، ارزیابی و بهبود است.
مثال:
COBIT به سازمانها کمک میکند تا فرآیندهای IT خود را بهینهسازی کرده و به اهداف تجاری خود دست یابند.
CIS Controls:
کنترلهای امنیتی CIS یک فهرست از شیوهها، رویهها و تکنیکهای امنیتی است که به سازمانها کمک میکند تا موارد امنیتی کلیدی را شناسایی کنند و برای محافظت از اطلاعات خود در برابر تهدیدات سایبری اقدام کنند. این فهرست شامل ۲۰ مورد اصلی به نامهای پوشش پایه، پیشگیری از حملات، حفاظت از اطلاعات و زیرساختهای کلیدی است.
مثال:
این فهرست به سازمانها کمک میکند تا یک چارچوب جامع برای مدیریت امنیت سایبری خود ایجاد کنند.
CSA Cloud Controls Matrix:
ماتریس کنترلهای ابری CSA یک مجموعه شیوههای امنیتی است که به شرکتها کمک میکند تا برای محافظت از اطلاعات خود در محیط استفاده از خدمات ابری اقدام کنند. این مجموعه شامل ۱۷ دستهبندی اصلی به نامهای پوشش سرویسهای ابری، نگهداری، تنظیمات امنیتی، احراز هویت و دسترسی، رصد و ردیابی، رفع خطا و بهبود، مدیریت حوادث، پیشگیری از تهدیدات داخلی، مدیریت ارتباط با مشتریان و قانونگذاری است.
مثال:
این ماتریس به سازمانها کمک میکند تا امنیت اطلاعات خود را در محیط ابری بهبود بخشند.
ISA/IEC 62443:
استاندارد ISA/IEC 62443 یک استاندارد جهانی برای مدیریت امنیت سایبری در سیستمهای کنترل صنعتی است که توسط سازمان بینالمللی استانداردها (ISA) توسعه داده شده است. این استاندارد شامل چهار بخش اصلی به نامهای مفاهیم اولیه، معماری، فرآیندها و پیادهسازی است.
مثال:
این استاندارد به سازمانها کمک میکند تا سیستمهای کنترل صنعتی خود را از تهدیدات سایبری محافظت کنند.
HIPAA Security Rule:
قوانین امنیتی HIPAA یک مجموعه قوانین و مقررات است که توسط وزارت بهداشت و خدمات انسانی ایالات متحده (HHS) ایجاد شده است و برای حفاظت از اطلاعات پزشکی بیماران در سازمانهای مربوط به حوزه بهداشت و درمان اعمال میشود. این مجموعه شامل تدابیری برای محافظت از حریم شخصی بیماران و اطلاعات پزشکی آنان، کنترل دسترسی به این اطلاعات و مدیریت ریسک امنیتی است.
مثال:
این قوانین به سازمانها کمک میکند تا اطلاعات پزشکی بیماران خود را محافظت کرده و از نقض حریم خصوصی جلوگیری کنند.
C2M2 MATURITY INDICATOR LEVELS:
C2M2 یک چارچوب مدیریت امنیت سایبری است که برای ارزیابی و بهبود قابلیتهای امنیتی سازمانها طراحی شده است. در این چارچوب، سطوح نشان دهنده قابلیتهای امنیتی سازمان هستند که به آنها میتوان به عنوان Maturity Indicator Levels (MILs) یا سطوح نشانگر رشد گفت.
مثال:
این چارچوب به سازمانها کمک میکند تا بهطور نظاممند قابلیتهای امنیتی خود را توسعه دهند.
سطح ۱: مبتدی (Initial):
سطح ۱ در این سطح، سازمان هنوز به تأسیس و تدارک بنیادین قابلیتهای امنیتی نرسیده است. سازمان اطلاعات و آگاهی کمی درباره امنیت سایبری دارد و برای پاسخ به تهدیدات و نفوذهای سایبری، از رویههای نادرست و فردی استفاده میکند.
مثال:
سازمانهایی که در این سطح قرار دارند، معمولاً برنامههای امنیتی منظم ندارند.
سطح ۲: تجربی (Experienced):
سطح ۲ در این سطح، سازمان شروع به توسعه و پیادهسازی برنامههای امنیتی میکند. این برنامهها شامل پایش فعالیتهای شبکه و بروزرسانی آنها، آموزش کارکنان در خصوص امنیت سایبری و ایجاد رویههای امنیتی است.
مثال:
در این سطح، سازمانها اغلب برنامههای ابتدایی برای مدیریت تهدیدات و آموزش کارکنان دارند.
سطح ۳: مستندسازی شده (Documented):
سطح ۳ در این سطح، سازمان پایههای قابلیتهای امنیتی خود را برای تأسیس برنامههای امنیتی و توسعه رویههای امنیتی، مستند میکند.
مثال:
در این سطح، سازمانها دارای اسناد و دستورالعملهای روشن برای مدیریت امنیت سایبری هستند.
سطح ۴: قابل تکامل (Managed):
سطح ۴ در این سطح، سازمان توانسته است برنامههای امنیتی خود را توسعه دهد و آنها را پیاده کند. در این سطح، سازمان برنامههای خود را برای پاسخ به تهدیدات سایبری و مدیریت ریسکهای امنیتی به روز رسانی میکند. سازمان از رویههایی مانند نظارت، تحلیل ریسک و به روز رسانیهای مداوم استفاده میکند.
مثال:
سازمانهایی که در این سطح قرار دارند، بهطور منظم امنیت خود را مانیتور و تحلیل میکنند و از بهروزرسانیهای امنیتی بهره میبرند.
سطح ۵: بهینه شده (Optimized):
سطح ۵ در این سطح، سازمان برنامههای امنیتی خود را به روز رسانی و بهینه میکند. سازمان از دادههای عملکرد خود برای بهبود فرآیندها، بهبود کارایی و کاهش هزینههای امنیتی استفاده میکند. همچنین، سازمان همکاری با سایر سازمانها در خصوص بهبود قابلیتهای امنیتی، اطلاعات و تجربیات خود را با دیگران به اشتراک میگذارد.
مثال:
در این سطح، سازمانها بهطور فعال به اشتراکگذاری بهترین روشها و نوآوریها در زمینه امنیت سایبری میپردازند.
Risk Management (RM):
مدیریت ریسک فرآیند شناسایی، ارزیابی و اولویتبندی ریسکهای امنیت سایبری برای کاهش تأثیرات منفی آنها است.
مثال:
سازمانها با استفاده از مدیریت ریسک میتوانند تهدیدات احتمالی را پیشبینی کرده و برنامههای مناسب برای کاهش ریسکها طراحی کنند.
Asset, Change, and Configuration Management (ACM):
مدیریت داراییها، تغییرات و پیکربندی فرآیند مدیریت منابع و داراییهای سازمانی، کنترل تغییرات و پیکربندیهای سیستمها و برنامهها است.
مثال:
سازمانها با استفاده از ACM میتوانند منابع خود را به طور کارآمد مدیریت کرده و از ایجاد تغییرات ناخواسته جلوگیری کنند.
Identity and Access Management (IAM):
مدیریت هویت و دسترسی فرآیند مدیریت هویت کاربران و کنترل دسترسی به سیستمها و اطلاعات است.
مثال:
IAM به سازمانها کمک میکند تا مطمئن شوند که تنها کاربران مجاز به اطلاعات حساس دسترسی دارند.
Threat and Vulnerability Management (TVM):
مدیریت تهدیدات و آسیبپذیریها فرآیند شناسایی، ارزیابی و مدیریت تهدیدات و آسیبپذیریهای امنیتی در سیستمها و شبکهها است.
مثال:
سازمانها با استفاده از TVM میتوانند تهدیدات احتمالی را شناسایی کرده و آسیبپذیریها را به حداقل برسانند.
Situational Awareness (SA):
آگاهی موقعیتی فرآیند نظارت و تحلیل اطلاعات به منظور درک موقعیت امنیتی فعلی سازمان است.
مثال:
SA به سازمانها کمک میکند تا به سرعت نسبت به تهدیدات جدید واکنش نشان دهند و از حوادث امنیتی جلوگیری کنند.
Event and Incident Response, Continuity of Operations (IR):
پاسخ به رویدادها و حوادث، استمرار عملیات فرآیند شناسایی، پاسخگویی و بازیابی از حوادث امنیتی به منظور حفظ عملکرد مستمر سازمان است.
مثال:
سازمانها با استفاده از IR میتوانند تأثیرات ناشی از حوادث امنیتی را کاهش دهند و عملیات خود را به سرعت بازیابی کنند.
Supply Chain and External Dependencies Management (EDM):
مدیریت زنجیره تأمین و وابستگیهای خارجی فرآیند مدیریت روابط و وابستگیهای امنیتی با تأمینکنندگان و سایر طرفهای خارجی است.
مثال:
EDM به سازمانها کمک میکند تا ریسکهای مرتبط با زنجیره تأمین و وابستگیهای خارجی را مدیریت کنند.
Workforce Management (WF):
مدیریت نیروی کار فرآیند توسعه و مدیریت توانمندیهای نیروی کار برای مقابله با تهدیدات سایبری است.
مثال:
سازمانها با استفاده از WF میتوانند مهارتهای امنیت سایبری کارکنان خود را ارتقاء دهند.
Cybersecurity Program Management (CPM):
مدیریت برنامه امنیت سایبری فرآیند مدیریت کلی برنامهها و فعالیتهای امنیت سایبری در سازمان است.
مثال:
CPM به سازمانها کمک میکند تا برنامههای امنیت سایبری خود را به صورت مؤثر مدیریت کنند و منابع را بهینهسازی کنند.
Information Sharing and Communications (ISC):
اشتراکگذاری اطلاعات و ارتباطات فرآیند به اشتراکگذاری اطلاعات امنیتی با سایر سازمانها و نهادها به منظور بهبود آگاهی و پاسخ به تهدیدات است.
مثال:
سازمانها با استفاده از ISC میتوانند از تجربیات و اطلاعات سایر سازمانها بهرهمند شوند و بهتر به تهدیدات پاسخ دهند.
AD HOC مدل در مدیریت امنیت اطلاعات:
مدل AD HOC در مدیریت امنیت اطلاعات به رویکردی غیرسیستماتیک و موقتی برای مدیریت امنیت اطلاعات در سازمان اشاره دارد. در این مدل، سازمانها فاقد ساختارهای رسمی، سیاستها و رویههای امنیتی منظم هستند و اقدامات امنیتی به صورت واکنشی و بدون برنامهریزی بلندمدت انجام میشود.
مثال:
در یک سازمان با مدل AD HOC، ممکن است به جای داشتن سیاستهای مشخص برای مدیریت دسترسیها، هر بار که یک کارمند به اطلاعات خاصی نیاز دارد، دسترسی به صورت جداگانه و بدون معیارهای ثابت اعطا شود. این مدل میتواند به کاهش کارایی و افزایش خطرات امنیتی منجر شود زیرا رویکردی استاندارد و سیستماتیک برای محافظت از اطلاعات وجود ندارد.
Risk Assessment (ارزیابی ریسک):
ارزیابی ریسک فرآیند جمعآوری و تجزیه و تحلیل اطلاعات در مورد داراییها و کنترلهای شما، و ترکیب آن دادهها با ارزیابی احتمال وقوع رویدادهایی است که میتواند تهدیدی برای محیط فناوری اطلاعات باشد و تأثیر بالقوه آنها را مشخص میکند. این فرآیند به منظور تعریف و اولویتبندی ریسکهای موجود انجام میشود.
مثال:
سازمانها میتوانند با انجام ارزیابی ریسک، نقاط ضعف سیستمها و داراییهای خود را شناسایی کرده و برنامههای پیشگیرانهای برای مقابله با تهدیدات احتمالی طراحی کنند.
Risk Treatment (درمان ریسک):
درمان ریسک شامل اقداماتی است که برای اصلاح، کاهش، اجتناب، پذیرش، انتقال یا مدیریت ریسکها انجام میشود. این فرآیند بر اساس نتایج ارزیابی ریسک، به منظور کاهش یا از بین بردن ریسکها و تضمین امنیت داراییها انجام میشود. مراحل اصلی درمان ریسک شامل: شناسایی ریسک، ارزیابی و تجزیه و تحلیل ریسک، تعیین استراتژی درمان ریسک، و پیادهسازی و پایش برنامه درمان ریسک میباشد.
مثال:
یک سازمان ممکن است تصمیم بگیرد برای درمان ریسک، اقدام به رمزگذاری دادههای حساس خود کند تا در صورت نفوذ، اطلاعات سرقتی قابل استفاده نباشند.
Mitigation (اصلاح):
اصلاح به کاهش میزان خطر احتمالی اشاره دارد. این کار شامل شناسایی عوامل ایجاد ریسک و تلاش برای رفع یا کاهش آنها به منظور کاهش ریسک است.
مثال:
سازمانها میتوانند با نصب فایروالها و آنتیویروسها، احتمال بروز حملات سایبری را کاهش دهند.
Reduction (کاهش):
کاهش به معنای کاهش اثرات مخرب ریسکها است. برای این منظور، باید عواملی که میتوانند به خطرات ایجاد شده توسط ریسکها کمک کنند، شناسایی شوند و برای کاهش اثرات مخرب آنها اقدامات لازم صورت گیرد.
مثال:
استفاده از پشتیبانگیری منظم از دادهها به منظور کاهش اثرات مخرب از دست رفتن اطلاعات در صورت بروز یک حمله سایبری.
Avoidance (اجتناب):
اجتناب به معنای جلوگیری از بروز ریسکهای جدید است. این روش شامل شناسایی عوامل محتمل ایجاد ریسک و اجتناب از آنها میباشد.
مثال:
سازمانها ممکن است از استفاده از نرمافزارهای با ریسک بالا و بدون پشتیبانی اجتناب کنند تا از بروز مشکلات امنیتی جلوگیری شود.
Acceptance (پذیرش):
پذیرش به معنای پذیرش ریسک و انجام فعالیتهایی برای کاهش میزان خطرات آن است. برخی ریسکها ممکن است قابل قبول باشند و مدیریت شوند.
مثال:
سازمان ممکن است ریسکهای کوچک و کمهزینه را بپذیرد و فقط برای مدیریت و پاسخگویی به آنها آمادگی داشته باشد.
Transfer (انتقال):
انتقال به معنای انتقال ریسک به شخص یا سازمان دیگری است. در این روش، مسئولیت مدیریت ریسک به سازمان یا شخص دیگری واگذار میشود.
مثال:
سازمانها میتوانند با بستن قرارداد بیمهگذاری، ریسکهای مالی ناشی از حملات سایبری را به شرکتهای بیمه انتقال دهند.
Management (مدیریت):
مدیریت شامل شناسایی، تحلیل و مدیریت ریسکها است. این روش شامل استفاده از ابزارها، فرایندها، سیاستها و فناوریهایی است که به منظور پیشگیری از بروز ریسکها و مدیریت ایمنی سیستمهای اطلاعاتی استفاده میشود.
مثال:
ایجاد یک تیم مدیریت بحران برای واکنش سریع به تهدیدات امنیتی و کاهش اثرات آنها.
Mitigation (اصلاح):
اصلاح برای کاهش احتمال بروز ریسک یا کاهش تأثیرات آنها، از روشهای مختلفی استفاده میشود. برای مثال، استفاده از روشهای تحلیلی، فنی و مدیریتی برای جلوگیری از بروز ریسک.
مثال:
استفاده از سیستمهای تشخیص نفوذ (IDS) برای شناسایی و پاسخ به حملات سایبری قبل از وقوع آنها.
Reduction (کاهش):
کاهش شامل کاهش احتمال بروز ریسک و تأثیرات آنها است. برای مثال، استفاده از روشهای امنیتی مانند رمزگذاری و شبکههای امن.
مثال:
استفاده از تکنیکهای رمزگذاری قوی برای حفاظت از اطلاعات حساس در برابر دسترسی غیرمجاز.
Avoidance (اجتناب):
اجتناب شامل جلوگیری از فعالیتهایی است که میتوانند ریسک ایجاد کنند. این روش از بروز ریسک و تأثیرات آنها جلوگیری میکند.
مثال:
تصمیم به عدم استفاده از فناوریهایی که ریسکهای امنیتی بالا دارند، مانند اجتناب از استفاده از شبکههای بیسیم ناامن.
Acceptance (پذیرش):
پذیرش به معنای پذیرش ریسک با اطلاع از آن و عدم امکان اجتناب یا کاهش آن است. این روش شامل مدیریت و پاسخ به ریسکها میشود.
مثال:
پذیرش احتمال بروز حملات DDoS و برنامهریزی برای واکنش سریع به آنها.
Transfer (انتقال):
انتقال شامل انتقال ریسک به سازمان یا شخص دیگری است که در صورت بروز ریسک، مسئولیت مدیریت آن را بر عهده میگیرد.
مثال:
بستن قرارداد با شرکتهای تخصصی امنیتی برای مدیریت و پاسخ به تهدیدات سایبری.
Management (مدیریت):
مدیریت شامل ارزیابی و مدیریت ریسکها برای جلوگیری از بروز و کاهش تأثیرات آنها است. این روش شامل استفاده از سیاستها و رویههای امنیتی مناسب است.
مثال:
اجرای برنامههای آموزش امنیتی برای کارکنان به منظور افزایش آگاهی و جلوگیری از خطاهای انسانی در برخورد با تهدیدات سایبری.
مرحله شماره 1. آماده کردن (Prepare):
آماده سازی شامل شناسایی نقشهای کلیدی در مدیریت ریسک است. این مرحله شامل تعیین میزان تحمل ریسک سازمان و انجام یک ارزیابی ریسک در سطح سازمان از خطرات امنیتی و حریم خصوصی ناشی از بهرهبرداری و استفاده از سیستمهای فناوری اطلاعات است.
مثال:
سازمان میتواند تیم مدیریت ریسک خود را با تعیین وظایف و مسئولیتهای کلیدی اعضای تیم شکل دهد و استانداردهایی را برای ارزیابی ریسکها تعیین کند.
مرحله شماره 2. طبقه بندی (Categorize):
طبقه بندی در این مرحله، سیستمهای فناوری اطلاعات بر اساس سطح ریسک دستهبندی میشوند. این مرحله شامل ارزیابی تأثیرات نامطلوب از دست دادن محرمانگی، یکپارچگی یا در دسترس بودن سیستمها و اطلاعاتی که پردازش، ذخیره یا منتقل میکنند، است.
مثال:
سازمان میتواند سیستمهای خود را به دستههایی مانند سیستمهای حیاتی و غیرحیاتی طبقهبندی کند و برای هر دسته سطح امنیتی مناسب را تعیین کند.
مرحله شماره 3. انتخاب کنید (Select):
انتخاب بر اساس نتایج مرحله قبل، باید کنترلهای مناسب را برای هر سیستم انتخاب و پیادهسازی کنید. در این مرحله، بر اساس دستهبندی ریسکهای امنیتی، تصمیم میگیرید که چه کنترلهای امنیتی پایه را میخواهید اجرا کنید.
مثال:
انتخاب و پیادهسازی پروتکلهای امنیتی مانند SSL/TLS برای حفاظت از اطلاعات در حال انتقال در سیستمهای حساس.
مرحله شماره 4. پیاده سازی (Implement):
پیاده سازی گام بعدی اجرای کنترلها برای کاهش خطرات امنیتی و حریم خصوصی سیستم است. این مرحله شامل نصب و پیکربندی ابزارها و فناوریهای امنیتی مورد نیاز میباشد.
مثال:
نصب فایروالها و سیستمهای تشخیص نفوذ (IDS) برای حفاظت از شبکههای سازمانی.
مرحله شماره 5. ارزیابی کنید (Assess):
ارزیابی کنید در این مرحله، کنترلها بررسی میشوند تا اطمینان حاصل شود که به درستی اجرا شدهاند و همانطور که انتظار میرود برای حفاظت از سیستمها عمل میکنند.
مثال:
انجام تستهای نفوذ (penetration testing) برای ارزیابی اثربخشی کنترلهای امنیتی پیادهسازی شده.
مرحله شماره 6. مجاز کردن (Authorize):
مجاز کردن برای آژانسهای فدرال، زمانی که کنترلهای امنیتی اعمال شد، ممکن است سیستم مجوز عملیات (ATO) را دریافت کند (یا رد شود). برای سایر سازمانها، ذینفعان داخلی یا خارجی ممکن است نیاز داشته باشند بسته مجوزی را که شامل برنامههای امنیتی و حریم خصوصی، نقاط عطف، گزارشهای ارزیابی و شواهد پشتیبان است، بررسی کنند.
مثال:
تهیه مستندات لازم برای دریافت مجوز عملیاتی از مراجع قانونی یا داخلی.
مرحله شماره 7. نظارت کنید (Monitor):
نظارت کنید برای آژانسهای فدرال، کنترلهای سیستم باید به طور منظم بررسی شوند. یک ATO فقط برای سه سال معتبر است و پس از آن کل فرآیند باید دوباره انجام شود. برای سایر سازمانها، نظارت مستمر بر کنترلها برای اطمینان از مؤثر باقی ماندن آنها و انجام بهروزرسانیها بر اساس تغییرات در محیط فناوری اطلاعات یا چشمانداز تهدید ضروری است.
مثال:
اجرای یک برنامه نظارت و گزارشدهی مستمر برای ارزیابی وضعیت امنیتی سازمان و بهروزرسانی سیاستها و رویهها بر اساس تهدیدات جدید.