• 🛡️ سیستم مدیریت امنیت اطلاعات (ISMS) - نقشه راه جامع و آموزشی
    • فاز ۰: حاکمیت، تعهد مدیریت و برنامه‌ریزی استراتژیک
      • 0.1 تعهد مدیریت ارشد و ساختار سازمانی
        • تدوین سیاست‌های کلان امنیت اطلاعات
        • تضمین انطباق سیاست‌ها با چارچوب‌های حاکمیتی (مانند IG - Information Governance) و استانداردها (مانند COBIT, ISO 27014)
        • منصوب کردن CISO و تعریف وظایف او بر اساس چارچوب‌های مدیریتی (مانند CISM - Certified Information Security Manager)
        • تشکیل کمیته راهبری امنیت اطلاعات و تیم امنیت اطلاعات
        • اجرای فرآیندهای حاکمیت و گزارش‌دهی امنیتی به مدیریت ارشد
        • انتخاب و پیاده‌سازی چارچوب امنیتی مناسب (ISO 27001:2022, NIST CSF, HITRUST)
        • تعریف شاخص‌های کلیدی امنیت (KPI/KRI)
        • انطباق: بندهای 5.1, 5.2, 5.3 ISO 27001 و اصول PDCA (Plan) شاخص: سیاست امضا شده + CISO منصوب + کمیته راهبری تشکیل شده (100%)
      • 0.2 برنامه‌ریزی، تعیین محدوده و اهداف ISMS
        • تعیین محدوده ISMS و مستندسازی آن (Scope Definition)
        • تعریف محیط داخلی و خارجی سازمان و الزامات طرف‌های ذینفع
        • ایجاد Statement of Applicability (SOA)
        • انتخاب و توجیه کنترل‌های امنیتی از Annex A و سایر کنترل‌های اختصاصی (با توجه به ریسک)
        • تعریف اهداف امنیتی سازمان (SMART)
        • ایجاد منشور و طرح پروژه ISMS
        • تخصیص منابع (مالی، انسانی، تکنولوژیک)
        • مثال: محدوده شامل تمام دیتاسنترها و سرویس‌های ابری اصلی
    • فاز ۱: شناسایی دارایی‌ها، مالکیت و ارزیابی ریسک
      • 1.1 مدیریت جامع دارایی‌ها
        • شناسایی و دسته‌بندی تمام دارایی‌های اطلاعاتی و فیزیکی
        • تعیین مالک و نماینده مالک برای هر دارایی
        • طبقه‌بندی اطلاعات (محرمانه، داخلی، عمومی، مالی، PII)
        • انجام ارزیابی دارایی‌ها بر اساس محرمانگی، یکپارچگی و دسترس‌پذیری (CIA Triad)
        • تعیین روش‌های نگهداری، پردازش و انتقال داده‌ها
        • تعریف و اجرای خط‌مشی‌های نگهداری (Retention Policy) و حذف داده‌ها
        • تهیه و به‌روزرسانی مستمر Asset Register
        • شاخص: ثبت و طبقه‌بندی ≥ ۹۸% دارایی‌های کلیدی و داده‌های حساس
      • 1.2 فرآیند ارزیابی ریسک و درمان
        • انجام ارزیابی ریسک جامع (بر اساس ISO 27005، OCTAVE و Risk Management Framework - RMF)
        • مدیریت ریسک با تمرکز بر چارچوب‌های مدل بلوغ (مانند C2M2 - Cybersecurity Capability Maturity Model)
        • شناسایی و تحلیل تهدیدها، آسیب‌پذیری‌ها و پیامدهای آن‌ها
        • تعریف معیار پذیرش ریسک سازمان و سطح ریسک باقی‌مانده (Residual Risk)
        • تهیه Risk Register و Risk Treatment Plan (RTP)
        • تصمیم‌گیری برای هر ریسک (پذیرش، اجتناب، انتقال، درمان)
        • بازبینی و تصویب RTP توسط مدیریت ارشد
        • انطباق: بند 6.1 و 8.2 ISO 27001 و اصول PDCA (Plan) شاخص: درمان یا پذیرش تمام ریسک‌های High ظرف ۹۰ روز
    • فاز ۲: پیاده‌سازی کنترل‌های فنی و سازمانی
      • 2.1 امنیت فیزیکی و محیطی
        • پیاده‌سازی کنترل دسترسی فیزیکی چند لایه (اتاق سرور، دیتاسنتر)
        • نصب و مانیتورینگ سیستم‌های نظارتی (دوربین مداربسته، حسگرها) و کنترل تردد
        • اجرای سیاست Clean Desk و دفع امن اسناد و رسانه‌ها
        • کنترل‌های محیطی (UPS, Fire Suppression, تهویه، رطوبت)
        • انطباق: بندهای A.7 ISO 27001 و اصول PDCA (Do)
      • 2.2 کنترل دسترسی و احراز هویت (IAM)
        • پیاده‌سازی سیستم مدیریت هویت و دسترسی متمرکز (Identity and Access Management - IAM)
        • اجرای کنترل دسترسی مبتنی بر نقش (RBAC) و کمترین امتیاز (Principle of Least Privilege)
        • پیاده‌سازی احراز هویت چند عاملی (MFA) برای تمام دسترسی‌ها
        • مدیریت دسترسی‌های ویژه (PAM) و Session Recording
        • سیاست رمزعبور قوی و مدیریت چرخه حیات حساب‌های کاربری
        • ممیزی منظم و مانیتورینگ دسترسی‌های کاربران و سرویس‌ها
        • پیاده‌سازی معماری Zero Trust
      • 2.3 امنیت شبکه و زیرساخت
        • بخش‌بندی شبکه (Segmentation) و Micro-segmentation (شامل VLAN, NAT, QoS)
        • پیاده‌سازی IDS/IPS، WAF، NAC در نقاط کلیدی
        • پیکربندی امن Firewall، DNS، VPN، RDP و پروتکل‌های شبکه (IPsec, SSL/TLS)
        • پیاده‌سازی دسترسی امن از راه دور (S-VPN)
        • امنیت شبکه‌های بی‌سیم (WPA3، مانیتورینگ RF)
        • امنیت زیرساخت ابری و Cloud Security Posture Management (CSPM) (مطابق با CSA STAR)
        • Hardening سیستم‌ها بر اساس استانداردهای CIS/STIG
      • 2.4 حفاظت از داده، رمزنگاری و حریم خصوصی
        • رمزنگاری داده‌ها در حالت استراحت و انتقال (TLS 1.3, AES-256)
        • راه‌اندازی سیستم جلوگیری از نشت داده (DLP) و Sandbox
        • Tokenization و Data Masking برای داده‌های حساس (PII)
        • مدیریت امن کلیدهای رمزنگاری (Key Management System) (مطابق با استاندارد FIPS 140-2)
        • سیاست امن برای حذف و از بین بردن داده‌ها و رسانه‌ها
        • اجرای ارزیابی تأثیرگذاری حریم خصوصی (PIA/DPIA)
      • 2.5 مدیریت آسیب‌پذیری، پچ و تغییرات
        • ایجاد سیستم مدیریت آسیب‌پذیری و ارزیابی مستمر
        • اسکن آسیب‌پذیری ماهانه و گزارش‌دهی به مالک سیستم
        • برنامه مدیریت Patch (تعریف SLA برای انواع Severityها: Critical ≤ 48h)
        • اجرای فرآیند مدیریت تغییرات امن (Change Management)
        • پیاده‌سازی سیستم مدیریت پیکربندی امن (Configuration Management)
    • فاز ۳: مانیتورینگ، تشخیص و پاسخ به حادثه
      • 3.1 مانیتورینگ، جمع‌آوری لاگ و تشخیص تهدید
        • راه‌اندازی SIEM و SOAR برای خودکارسازی تحلیل و پاسخ
        • جمع‌آوری و تحلیل متمرکز لاگ‌ها و ترافیک شبکه (مطابق با الزامات Audit Log و استفاده از ابزارهایی مانند Wireshark)
        • استفاده از Behavioral Analytics و Threat Intelligence Feeds
        • مانیتور تهدیدات داخلی، APT و Data Exfiltration
        • مانیتور امنیت Cloud، Container و دسترسی‌های شخص ثالث
        • توسعه خودکارسازی Threat Hunting
        • انطباق: اصول PDCA (Check) و الزامات NIS 2 Directive
      • 3.2 پاسخ به حادثه و بازیابی کسب‌وکار
        • تدوین برنامه پاسخ به حادثه (IRP) + Playbook و تشکیل تیم IR (CERT/CSIRT)
        • طراحی و پیاده‌سازی BCP و DRP (مطابق با ISO 22301)
        • سیستم Backup ایمن و جداشده (قواعد 3-2-1: 3 نسخه، 2 نوع رسانه، 1 نسخه آفلاین)
        • انجام تست سالانه واقعی DRP/BCP
        • تمرینات Tabletop و شبیه‌سازی حوادث (Red/Blue/Purple Teaming)
        • انطباق: بند 8.3 و A.18 ISO 27001
    • فاز ۴: امنیت توسعه، تست و زنجیره تأمین
      • 4.1 امنیت چرخه توسعه نرم‌افزار (DevSecOps)
        • تدوین Secure SDLC و الزامات امنیتی توسعه
        • پیاده‌سازی ابزارهای SAST/DAST/SCA در Pipeline CI/CD
        • بازبینی امن کد و ارزیابی معماری توسط تیم امنیت
        • امنیت Pipeline CI/CD (Secrets Management) و ایمن‌سازی زیرساخت به عنوان کد (IaC)
        • امنیت API (OAuth, Rate Limiting, Input Validation)
        • انطباق: OWASP SAMM (Software Assurance Maturity Model)
      • 4.2 تست نفوذ و ارزیابی عمیق
        • انجام تست نفوذ داخلی و خارجی توسط تیم مستقل (حداقل سالی ۱ بار)
        • تست امنیتی برنامه‌های تحت وب (بر اساس OWASP Top 10)
        • شبیه‌سازی حملات فیشینگ هدفمند و تست مهندسی اجتماعی
        • تمرینات Red/Blue/Purple حداقل سالی ۲ بار
        • انطباق: PTES (Penetration Testing Execution Standard) و TIBER-EU مثال: استفاده از ابزارهایی مانند Metasploit و Burp Suite در تست نفوذ
      • 4.3 مدیریت تامین‌کنندگان و شخص ثالث
        • اجرای فرآیند مدیریت ریسک امنیتی تأمین‌کنندگان (Supply Chain Risk Management)
        • ارزیابی امنیت خدمات شخص ثالث (Vendor Security Assessment) (مطابق با SOC 2 Type II)
        • مدیریت دسترسی امن و جداسازی تأمین‌کنندگان
        • گنجاندن الزامات امنیتی و حق ممیزی در قراردادهای شخص ثالث
        • انطباق: ISO 27036 و الزامات SC-7 NIST SP 800-53
    • فاز ۵: آموزش، آگاهی، انطباق و ممیزی
      • 5.1 آموزش و آگاهی مستمر کارکنان
        • برنامه آموزش امنیتی ماهانه و فصلی برای سطوح مختلف (عمومی، توسعه‌دهندگان، مدیریت)
        • شبیه‌سازی فیشینگ و تست مهندسی اجتماعی دوره‌ای
        • آموزش و آزمون سالیانه اجباری برای تمام پرسنل
        • آموزش تخصصی برای تیم‌های توسعه، IT و تیم‌های واکنش به حادثه
        • شاخص: نرخ کلیک فیشینگ ≤ ۵% + موفقیت در آزمون ≥ ۹۰%
      • 5.2 انطباق قانونی، چارچوبی و ممیزی داخلی/خارجی
        • انطباق با الزامات قانونی، مقرراتی و قراردادی (GDPR, HIPAA, PCI-DSS, SOX, CCPA, NIS 2, FERPA, GLBA)
        • تدوین و اجرای سیاست‌های امنیتی و رویه‌های اجرایی
        • انجام ممیزی داخلی (Internal Audit) توسط تیم مستقل (حداقل سالی ۲ بار) (مطابق با ISO 19011)
        • برنامه‌ریزی و اجرای ممیزی خارجی و صدور گواهینامه ISO 27001
        • انجام ارزیابی کنترل‌های داخلی (مانند SAS 70/SOC 1/SOC 2)
        • بازبینی الزامات انطباق با مقررات خاص صنعت (مثلاً NERC-CIP برای انرژی)
      • 5.3 بازبینی مدیریت و اقدامات اصلاحی
        • برگزاری جلسات بازبینی مدیریت (Management Review) (حداقل سالی ۲ بار)
        • بررسی اثربخشی ISMS، نتایج ممیزی، حوادث و ریسک‌ها
        • ثبت و ردیابی اقدامات اصلاحی و پیشگیرانه (CAPA)
        • انطباق: بندهای 9.2, 9.3, 10.1 ISO 27001 و اصول PDCA (Act)
    • فاز ۶: بهبود مداوم و بلوغ امنیتی
      • به‌روزرسانی مداوم سیاست‌ها، ارزیابی ریسک و SOA بر اساس تغییرات سازمانی و تهدیدات جدید
      • گزارش‌دهی شاخص‌های امنیتی و ریسک به هیئت مدیره و ذینفعان (ماهانه)
      • بهبود مستمر (Continual Improvement) بر اساس یافته‌های ممیزی، حوادث و تغییرات تهدیدات
      • ارزیابی بلوغ امنیتی با استفاده از مدل‌هایی مانند CMMI, C2M2 یا ISM3 (Information Security Management Maturity Model)
      • بازتعریف و تعیین اهداف جدید ISMS
      • شاخص نهایی: دریافت/نگهداری گواهینامه ISO 27001 + ارتقاء یک سطح در مدل بلوغ (مثل C2M2 یا CMMI) + کاهش ۵۰% زمان متوسط پاسخ به حادثه (MTTR)
    • فاز ۷: مدیریت پایان عمر و امحاء (Retirement & Disposal)
      • 7.1 امحاء امن داده‌ها و تجهیزات
        • پاکسازی غیرقابل بازگشت داده‌ها (Sanitization/Wiping) طبق استاندارد
        • استفاده از نرم‌افزارهای استاندارد یا امحاء فیزیکی
        • صدور گواهی امحاء (Certificate of Destruction) برای مستندسازی
        • مدیریت پسماند الکترونیکی (E-Waste) طبق مقررات زیست‌محیطی
        • انطباق: NIST SP 800-88 & ISO 27002 A.7.14 مثال: استفاده از ابزار DBAN یا خردکن فیزیکی
      • 7.2 خروج امن پرسنل (Offboarding)
        • لغو فوری دسترسی‌های سیستمی و فیزیکی در لحظه قطع همکاری
        • بازپس‌گیری تمام دارایی‌های سازمانی
        • انطباق: ISO 27002 A.6.5