چک لیست پیشنهادی برای مدیران حوزه امنیت اطلاعات و امنیت شبکه
- ارزیابی داراییهای کلیدی و حساس به همراه مالکان دارایی و تحلیل ریسک آنها با استفاده از مثلث CIA (محرمانگی، یکپارچگی و دسترسپذیری)
- ارائه گزارش ارزیابی ریسک و تهیه یک برنامه عمل برای حفظ امنیت داراییهای کلیدی و حساس
- تعیین گروههای مسئولیت امنیتی، تعریف مسئولیتهای آنها و بررسی رویههای امنیتی موجود در سازمان
- مشاهده، تجزیه و تحلیل واقعیتهای امنیتی، شناسایی تهدیدات و آسیبپذیریهای احتمالی و پیشگیری از وقوع حملات
- تعیین استانداردهای امنیتی و بررسی پیادهسازی آنها
- بررسی امنیت سیستمهای اطلاعاتی و شبکهها و مدیریت تهدیدات امنیتی، شناسایی نقاط ضعف و پیشگیری از حملات
- آموزش کارکنان سازمان در زمینه امنیت اطلاعات و شبکه و بررسی رویههای امنیتی در سازمان
- اجرای بازرسیهای داخلی و خارجی در زمینه امنیت اطلاعات و شبکه
- تعیین سیاستهای امنیتی و بررسی اجرای آنها در سازمان
- نظارت بر پیادهسازی پروتکلهای امنیتی و بررسی پیادهسازی آنها در سیستمهای اطلاعاتی و شبکهها
- پیشگیری از نفوذ داخلی و خارجی به سیستمهای اطلاعاتی و شبکهها
- تعیین مقررات امنیتی و بررسی پیادهسازی آنها در سازمان
- تهیه و بررسی برنامههای پشتیبانی و بازیابی اطلاعات در صورت وقوع حملات امنیتی و از دست رفتن اطلاعات
- اعتبارسنجی رویههای امنیتی و پیادهسازی استانداردهای امنیتی در سازمان
- تعیین و بررسی نقاط ضعف فنی و امنیتی در سیستمهای اطلاعاتی و شبکهها
- بررسی و اعتبارسنجی رویههای امنیتی و اطمینان از پیادهسازی استانداردهای امنیتی در شرکتهای پیمانکار
- ارزیابی امنیت شبکه و سیستمهای اطلاعاتی در دسترس داشتن و به کارگیری بهترین روشهای امنیتی
- پیشگیری از حملات به شبکهها و سیستمهای اطلاعاتی و اعتبارسنجی از پیادهسازی رویههای امنیتی
- آمادگی در برابر حملات و پیادهسازی رویههایی برای پیشگیری از حملات و بازیابی اطلاعات
- تهیه و بررسی پلانهای پیشگیری و بازیابی در مواقع بحرانی
- استفاده از فایروالهای قوی و پیادهسازی رویههای پیشگیری از حملات دیده بر روی شبکهها
- استفاده از روشهای تشخیص نفوذ و نظارت بر فعالیتهای غیرمجاز در شبکهها
- مدیریت دسترسی و اطلاعات کاربران و اجرای پروتکلهای امنیتی در زمینه دسترسی کاربران
- پشتیبانی و تهیه برنامههای بازیابی در صورت وقوع حملات و از دست رفتن اطلاعات در شبکهها
- بررسی و اعتبارسنجی رویههای امنیتی شرکتهای پیمانکار و تضمین اجرای آنها
- آموزش کاربران در زمینه امنیت شبکهها و آگاهی آنها از روشهای پیشگیری از حملات امنیتی
- تست امنیتی بر روی شبکهها و سیستمهای اطلاعاتی بهمنظور تشخیص نقاط ضعف و ارائه پیشنهادات به منظور پیشگیری از حملات
- استفاده از سیستمهای رمزنگاری برای محافظت از اطلاعات حساس
- مدیریت کلیدهای رمزنگاری و ایجاد سیاستهای قوی برای محافظت از آنها
- تهیه نسخههای پشتیبان از اطلاعات مهم و قابلیت بازگردانی آنها در صورت نیاز
- استفاده از نرمافزارهای ضدویروس و آپدیت منظم آنها
- محدود کردن دسترسی کاربران به بخشهای حساس و اجرای سیاستهای مشخص برای مدیریت دسترسیها
- استفاده از رمزنگاری SSL/TLS در ارتباطات وب
- استفاده از روشهای بکآپ گیری منظم و ذخیره آنها در محیطی مجزا
- بررسی و تحلیل لاگهای سیستم و شبکه بهمنظور شناسایی فعالیتهای غیرمجاز
- مدیریت موارد امنیتی مرتبط با سیستمهای موبایل و دستگاههای پرتابل
- استفاده از روشهای رمزنگاری برای اطلاعات مربوط به کارتهای اعتباری و موارد پرداخت الکترونیکی
- ارزیابی داراییها و اعلام مالکیت و ریسک آنها
- پیادهسازی سیستمهای رمزنگاری و مدیریت کلیدهای رمزنگاری
- تهیه نسخههای پشتیبان و بازگردانی اطلاعات
- نصب و آپدیت نرمافزارهای ضدویروس
- مدیریت دسترسیها و اجرای سیاستهای مربوط به دسترسیها
- استفاده از رمزنگاری SSL/TLS در ارتباطات وب
- بکآپ گیری و ذخیره نسخههای پشتیبان در محیطی مجزا
- بررسی و تحلیل لاگهای سیستم و شبکه
- مدیریت امنیت دستگاههای موبایل و پرتابل
- رمزنگاری اطلاعات پرداختی
- RAID 0: این سیستم RAID به منظور افزایش سرعت کارایی استفاده میشود، با این حال این سیستم RAID برای حفظ اطلاعات مناسب نیست و احتمال از دست دادن اطلاعات بسیار بیشتر است.
- RAID 1: این سیستم RAID به منظور تضمین ایمنی اطلاعات استفاده میشود. با این سیستم RAID، دو دیسک همیشه به صورت کامل یکسان در حالت کپی دارایی هستند. در صورت خراب شدن هر کدام از دو دیسک، دیسک دیگر میتواند از روی دادههای خراب شده، دادههای قبلی را بازسازی کند.
- RAID 5: در این سیستم RAID، اطلاعات بین چندین دیسک توزیع میشود و با یک دیسک پاریت، خطا در دادهها تشخیص داده میشود. در صورتی که یکی از دیسکها خراب شود، با استفاده از دادههای موجود در دیسکهای دیگر، دادههای از دست رفته را بازسازی میکند.
- RAID 6: این سیستم RAID مانند RAID 5 عمل میکند با این تفاوت که دو دیسک پاریت در آن وجود دارد و به همین دلیل در صورت خراب شدن حداقل دو دیسک، با استفاده از دادههای موجود در سایر دیسکها، امکان بازسازی دادهها وجود دارد.
- RAID 10: این سیستم RAID، یک ترکیب از RAID 1 و RAID 0 است و از دو دسته دیسکهای RAID 1 تشکیل شده است. این سیستم RAID بسیار امن و با سرعت بالا است، با این حال برای استفاده از آن، حداقل چهار دیسک لازم است.
- RAID 0 (Stripe Set):پاریتی ندارد.
- RAID 1 (Mirror Set):در حالت RAID 1، پاریتی نیز ندارد.
- RAID 2:در حالت RAID 2، بیت پاریتی برای هر گروه بایتهای داده وجود دارد.
- RAID 3:در حالت RAID 3، یک درایو پاریتی وجود دارد که برای همه درایوهای دادهای استفاده میشود.
- RAID 4:در حالت RAID 4، یک درایو پاریتی وجود دارد که برای همه درایوهای دادهای استفاده میشود.
- RAID 5:در حالت RAID 5، پاریتی برای هر بلوک داده وجود دارد.
- RAID 6:در حالت RAID 6، دو درایو پاریتی وجود دارند که برای همه درایوهای دادهای استفاده میشوند.
- تعیین و ارزیابی داراییهای شرکت بر اساس مثلث CIA
- ارزیابی و تعیین مالکان هر یک از داراییها
- تعیین ریسک پذیری هر دارایی بر اساس likelihood و impact آن
- ارزیابی ریسک بهوسیله ماتریس ریسک برای هر دارایی
- ارزیابی ریسک بهوسیله ماتریس ریسک برای تمامی داراییها
- تعیین سطح دسترسی و کنترل داراییها
- تعیین و توسعه نقشه شبکه
- بررسی و تعیین نیازمندیهای شبکه از جمله پهنای باند و سرعت انتقال داده
- تعیین و بررسی تنظیمات امنیتی شبکه، از جمله فایروالها و سیستمهای حفاظت از نفوذ
- آموزش کارکنان و پرسنل شرکت در زمینه امنیت اطلاعات
- تعیین و تمرین برنامه بحران در صورت وقوع حملات و تهدیدات امنیتی
- ارزیابی و بررسی رویههای حفاظتی شرکت برای جلوگیری از از دست دادن دادهها
- بررسی و ارزیابی تحلیلگران و متخصصان امنیتی شرکت
- ارزیابی داراییها
- لیست کردن مالکان داراییها
- تعیین ریسک پذیری likelihood, impact داراییها
- بررسی توافق نامه های امنیتی با شرکای تجاری
- بررسی وضعیت امنیتی فیزیکی و دسترسی به داراییها
- ارتقاء آگاهی پرسنل در خصوص امنیت اطلاعات
- بازنگری سیاستها و رویههای امنیتی
- بررسی تهدیدات داخلی و خارجی
- ارزیابی آسیبپذیریهای شبکه و سیستمهای اطلاعاتی
- تعیین میزان اهمیت و اولویت برای پیاده سازی اقدامات امنیتی
- اجرای تمرینات بحران و آمادگی برای مواجهه با تهدیدات امنیتی
- ارزیابی و بهبود فرآیندهای امنیتی
- مانیتورینگ و گزارش دهی در مورد رفتار کاربران در سیستمهای اطلاعاتی
- ارتقاء رویه ها و روش های رمزنگاری اطلاعاتی
- ارزیابی داراییها و لیست کردن آنها به همراه مالکان دارایی و ریسک پذیری likelihood, impact آنها بوسیله مثلث CIA
- بررسی مداوم تهدیدات امنیتی جدید و آسیب پذیریهای محتمل
- پیکربندی و مدیریت رمزنگاری اطلاعات حساس
- بررسی و اجرای محدودیتهای دسترسی به سیستمهای حساس و دادههای مهم
- پیشگیری از حملات نفوذ و نظارت بر تهدیدات احتمالی
- آموزش کارکنان در خصوص امنیت اطلاعات و رفتارهای امنیتی
- اجرای سیاستها و رویههای امنیتی
- ارتقای نرمافزارها و سیستمهای امنیتی و مانیتورینگ و بروزرسانی آنها
- اطمینان حاصل شود که سیاستهای امنیتی مناسب برای سازمان تعریف شده و پیاده سازی شده باشند.
- اطمینان حاصل شود که تمامی داراییهای مالی و اطلاعاتی سازمان شناسایی شدهاند و بهروزرسانی های لازم برای آنها انجام شده است.
- ارزیابی دورهای از سیستمهای امنیتی سازمان انجام شود و نتایج به مدیریت سطح بالای سازمان گزارش شود.
- اطمینان حاصل شود که کلیه کارکنان سازمان در مورد سیاستها و رویههای امنیتی آموزش دیدهاند و آگاهی کافی در این زمینه دارند.
- تضمین اینکه دسترسی کاربران و کارکنان سازمان به داراییها و اطلاعات سازمانی فقط در حداقل سطح ممکن برای انجام کارهایشان اعطا شده باشد.
- اطمینان حاصل شود که تمامی سیستمها و شبکههای سازمان دارای روشهای امنیتی موثر برای حفاظت از اطلاعات سازمانی هستند.
- اطمینان حاصل شود که سیستمهای کنترل دسترسی برای کاربران و کارکنان سازمان کافی و مناسب هستند.
- اطمینان حاصل شود که برنامههای پشتیبانی و بازیابی اطلاعات سازمان به درستی تعریف شدهاند و در صورت لزوم قابل اجرا هستند.
- تعیین اهداف امنیتی سازمان و تشکیل تیم امنیتی
- ارزیابی ریسکهای امنیتی و تدوین استراتژیهای پیشگیری
- تعیین داراییهای اطلاعاتی سازمان
- ارزیابی تهدیدات امنیتی و آسیبپذیریهای سیستمها
- تعیین محدوده کنترلهای امنیتی
- اعتبارسنجی تاثیرات ریسکهای امنیتی
- طراحی کنترلهای امنیتی برای کاهش ریسکهای امنیتی
- اجرای کنترلهای امنیتی و مانیتورینگ به منظور اطمینان از کارایی آنها
- بازبینی و ارزیابی کنترلهای امنیتی به منظور اطمینان از کارایی آنها
- تهیه و اجرای برنامه آموزشی و آگاهی سازی در زمینه امنیت اطلاعات
- مدیریت امنیتی در مواجهه با وقایع اضطراری و بحرانی
- بازبینی و بروزرسانی سیاستها، فرآیندها و کنترلهای امنیتی
- تهیه و تنظیم گزارشهای امنیتی به منظور اطلاعرسانی به مدیران سازمان
- تهیه و تنظیم برنامه برای مدیریت خطرات امنیتی
- ارتباط با نهادها و سازمانهایی که به ارائه خدمات امنیتی میپردازند
- تهیه و اجرای تستهای نفوذ به منظور ارزیابی کنترلهای امنیتی
- تعیین سطح دسترسی کاربران و نظارت بر آن
- تعیین سیاستهای پشتیبانی امنیتی، نظیر پشتیبانی فیزیکی و تعمیر و نگهداری تجهیزات
- تهیه و تنظیم فرآیندهای برنامهریزی برای حفاظت از داراییهای اطلاعاتی
- برنامهریزی و اجرای تمرینات مختلف برای آمادگی در مواجهه با حوادث امنیتی و بحرانی
- ارزیابی و پیشگیری در مواجهه با حملات سایبری نظیر دزدیدن اطلاعات، نفوذ به سیستمها و ...
- تنظیم دستورالعملهای امنیتی در زمینه ارتباطات، بکاپگیری، تستهای امنیتی و ...
- تعیین وضعیت امنیتی نرمافزارها و سیستمهای مختلف در سازمان
- بررسی و ارزیابی کنترلهای امنیتی ارتباطی و شبکه در سازمان
- بررسی و ارزیابی کنترلهای امنیتی فیزیکی در سازمان
- تهیه و تنظیم گزارشات امنیتی در سازمان و ارائه آن به مدیران و مسئولان مربوطه
- تعیین نقاط ضعف سیستمهای امنیتی و تلاش برای بهبود آنها
- تعیین فرایندهای امنیتی برای مدیریت هویت و دسترسی کاربران در سازمان
- تعیین و اجرای سیاستهای مربوط به حریم شخصی کاربران در سازمان
- آموزش و آگاهیبخشی کارکنان در زمینه امنیت اطلاعات و شبکه
- تهیه و تنظیم دستورالعملهای مربوط به نگهداری و مدیریت اطلاعات و داراییهای اطلاعاتی
- ارائه خدمات امنیتی برای کاربران سازمان، نظیر فیلترینگ ترافیک و دسترسی به منابع اینترنتی
- بررسی و ارزیابی مشکلات امنیتی در محیطهای مجازی سازمان، نظیر سرورهای مجازی، محیطهای مجازیسازی و ...
- مراقبت از دادههای حساس و محرمانه، نظیر اطلاعات مالی، پرسنلی و مشتریان
- تهیه و تنظیم فرایندهای پشتیبانی از دادهها و بازیابی آنها در صورت نیاز
- بررسی و ارزیابی امنیت شبکههای بیسیم در سازمان
- تهیه و تنظیم فرآیندهای مربوط به مدیریت ریسکهای امنیتی و پیشگیری از حوادث امنیتی
- بررسی و ارزیابی نیازمندیهای امنیتی در پروژههای جدید سازمان
- تهیه و تنظیم فرآیندهای مربوط به مدیریت تأییدیههای امنیتی برای سیستمها و نرمافزارهای جدید
- تعیین نیازمندیهای امنیتی مربوط به قراردادها و توافقنامههای با شرکای تجاری و قراردادهای استخدامی
- تنظیم و اجرای فرآیندهای مربوط به تعقیب و ردیابی تهدیدات امنیتی در سازمان
- تهیه و تنظیم دستورالعملهای مربوط به حفاظت از فعالیتهای امنیتی سازمان در صورت حملات احتمالی
- تنظیم فرآیندهای مربوط به نگهداری و مدیریت دستگاههای امنیتی، نظیر دوربینهای مداربسته، سامانههای دسترسی کنترل و ...
- بررسی و ارزیابی مشکلات امنیتی مرتبط با پروتکلهای شبکهای، نظیر پروتکلهای TCP/IP، HTTP و FTP
- تهیه و تنظیم دستورالعملهای مربوط به مدیریت رمزنگاری دادهها و سیستمهای امنیتی
- تهیه و تنظیم فرآیندهای مربوط به امنیت فیزیکی ساختمانهای سازمان، نظیر دسترسی کنترل به ورودیها و حفاظت از اطلاعات در برابر دزدی و تخریب
- ارزیابی و تحلیل تهدیدات امنیتی و ایجاد پلانهای مربوط به مدیریت ریسکها در سطح سازمان
- تعیین و تنظیم سیاستها و فرایندهای مربوط به مدیریت دسترسی کاربران به منابع و اطلاعات در سازمان
- تهیه و تنظیم فرآیندهای مربوط به مدیریت شناسایی و تأییدیه کاربران، نظیر سیستمهای دسترسی کنترل و تأییدیه دو مرحلهای
- مانیتورینگ و نظارت بر اطلاعات و سیستمهای سازمان جهت تشخیص و پیشگیری از حملات و تهدیدات امنیتی
- تعریف کردن اهداف و محدوده ریسک مدیریتی
- تعیین فرضیات و ریسکهای مربوط به هر کدام از اهداف
- تحلیل ریسکها و تعیین اولویتبندی آنها
- تهیه و تنظیم پلانهای مربوط به مدیریت ریسکها
- تعیین و تهیه ابزارهای موردنیاز جهت انجام فرآیندهای مربوط به مدیریت ریسکها
- ارزیابی و نظارت بر اثربخشی فرآیندهای مدیریت ریسکها و اعمال بهروزرسانیهای لازم
- آموزش و اطلاعرسانی کارکنان در خصوص مفاهیم مدیریت ریسک
- اطمینان از اینکه تمامی افراد مربوط به سازمان با فرآیندهای مدیریت ریسک آشنا هستند و آنها را رعایت میکنند
- بررسی و تجزیه و تحلیل ریسکهای مربوط به خدمات و محصولات جدید
- ارزیابی اثربخشی تدابیر امنیتی و پیشگیری از ریسکهای امنیتی
- ارزیابی ریسکهای مربوط به تغییرات و بهروزرسانیهای سیستمها
- تهیه گزارشهای روزانه، هفتگی و ماهانه در مورد وضعیت ریسکهای مختلف در سازمان
- اعمال پیشنهادات و توصیههای مربوط به مدیریت ریسکها
- ارزیابی و تجزیه و تحلیل ریسکهای مربوط به شرکای تجاری و تامینکنندگان خارجی
- اعمال سیاستها و رویههای مناسب در خصوص مدیریت ریسکهای سازمان
- ارزیابی و نظارت بر تحقق اهداف مربوط به مدیریت ریسکها
- اطمینان از اینکه فرآیندهای مربوط به مدیریت ریسکها همواره در حال بهروزرسانی و بهبود هستند
- ارزیابی و نظارت بر پیادهسازی فرآیندهای مدیریت ریسکها
- تشخیص داراییهای مهم سازمان و تعیین حساسیت اطلاعاتی آنها
- ارزیابی و تجزیه و تحلیل ریسکهای مربوط به داراییها و اطلاعات آنها
- ارزیابی و تحلیل مهاجمان پتانسیل و ریسکهای مربوط به آنها
- تعیین رویههای مناسب جهت کنترل ریسکهای مختلف امنیتی
- پیادهسازی و اعمال رویههای کنترلی مورد نیاز جهت مدیریت ریسکهای مربوط به داراییها و اطلاعات
- نظارت بر کارکرد رویههای کنترلی و اعمال بهبودهای لازم
- ارزیابی و نظارت بر امنیت فیزیکی داراییها و اطلاعات مربوط به آنها
- ارزیابی و نظارت بر امنیت شبکههای سازمان
- اعمال سیاستها و رویههای مناسب در خصوص مدیریت امنیت اطلاعات
- آموزش کارکنان در خصوص مفاهیم مدیریت امنیت اطلاعات و رعایت آنها
- بررسی و نظارت بر عملکرد تیم امنیتی سازمان
- ارزیابی و تجزیه و تحلیل ریسکهای مربوط به شرکای تجاری و تامینکنندگان خارجی
- ارزیابی و تجزیه و تحلیل ریسکهای مربوط به خدمات و محصولات جدید
- ارزیابی و تجزیه و تحلیل ریسکهای مربوط به تغییرات و بهروزرسانیهای سیستمها
- پشتیبانی از رویههای کنترلی در خصوص امنیت اطلاعات برای رفع تهدیدات و ریسکهای امنیتی
- بررسی و نظارت بر وقوع حوادث امنیتی و پیادهسازی رویههای مناسب برای پیشگیری از آنها
- ارزیابی و تجزیه و تحلیل ریسکهای مربوط به حملات داخلی و اقدامات ناشایست کارکنان
- ارزیابی و تجزیه و تحلیل ریسکهای مربوط به محرمانگی، صحت و قابلیت اطمینان اطلاعات
- ارزیابی و تجزیه و تحلیل ریسکهای مربوط به دسترسی غیرمجاز به داراییها و اطلاعات سازمان
- اعمال تدابیر امنیتی مناسب در خصوص رسیدگی به رخدادهای امنیتی و حوادث احتمالی
- آمادگی سازی برای رفع اثرات جانبی رخدادهای امنیتی
- ارزیابی و تجزیه و تحلیل ریسکهای مربوط به پشتیبانی و بازیابی دادهها و سیستمها در صورت بروز خرابی و یا حادثه
- آموزش کارکنان در خصوص رفتار در برابر رخدادهای امنیتی و استفاده صحیح از رویههای کنترلی
- ارزیابی و نظارت بر تطبیق رویههای کنترلی با استانداردهای امنیتی مربوطه
- توسعه و پیادهسازی رویههای مناسب در خصوص مدیریت خدمات امنیتی توسط شرکتهای خارجی
- ارزیابی و نظارت بر عملیات مربوط به پشتیبانی و اجرای فرآیندهای امنیتی توسط شرکتهای خارجی
- پیشگیری از وقوع تهدیدات امنیتی در ارتباط با اطلاعات حساس و محرمانه
- بررسی و نظارت بر وضعیت امنیتی شبکه و سیستمهای سازمان
- ارزیابی و تجزیه و تحلیل ریسکهای مربوط به حملات خارجی به سیستمهای سازمان
- اعمال تدابیر امنیتی مناسب در خصوص محافظت از دادههای محرمانه و حفظ حریم شخصی کاربران
- آموزش کارکنان در خصوص تشخیص و جلوگیری از تهدیدات امنیتی
- ارزیابی و تجزیه و تحلیل ریسکهای مربوط به دسترسی غیرمجاز به سیستمها و دادههای سازمان
- بررسی و نظارت بر انجام تست نفوذ و پنهان نگاری در سیستمها
- بررسی و نظارت بر ارتباطات سازمان با شرکتهای خارجی در خصوص امنیت اطلاعات
- آمادگی سازی برای رسیدگی به رخدادهای امنیتی و پیادهسازی رویههای مناسب برای پیشگیری از آنها
- ارزیابی و تجزیه و تحلیل ریسکهای مربوط به تغییرات سیستمی و نرمافزاری در سازمان
- پیادهسازی رویههای مناسب در خصوص تعامل با تأمینکنندگان و شرکتهای خارجی در خصوص امنیت اطلاعات
- تعیین و اعمال تدابیر امنیتی مناسب در خصوص محافظت از دادههای مهم و اطلاعات کاربران در برابر نفوذ و سرقت اطلاعات
- پیادهسازی مکانیزمهای مناسب برای تشخیص و جلوگیری از حملات DDoS و سایر حملات شبکهای
- آموزش کارکنان در خصوص استفاده از تکنولوژیهای امنیتی و تشخیص نفوذهای امنیتی
- بررسی و نظارت بر مسیرهای ارتباطی دادهها درون و بیرون سازمان
- تجهیز شبکهها و سیستمهای سازمان با تکنولوژیهای امنیتی مناسب
- بررسی و نظارت بر فرآیندهای تصدیق هویت و احراز هویت کاربران در سیستمهای سازمان
- ارزیابی و تجزیه و تحلیل ریسکهای مربوط به استفاده از ابزارهای مبتنی بر ابر (Cloud) در سازمان
- تعیین و اعمال سطوح دسترسی مناسب برای کاربران سیستمهای سازمان
- بررسی و نظارت بر اجرای فرآیندهای تهیه پشتیبان از دادههای سازمان و حفظ امنیت آنها
- تعیین و اعمال تدابیر امنیتی مناسب در خصوص محافظت از دسترسی کاربران غیرمجاز به دادههای سازمان
- ارزیابی و تجزیه و تحلیل ریسکهای مربوط به تأمینکنندگان و شرکتهای خارجی سازمان در خصوص امنیت اطلاعات
- بررسی و نظارت بر استفاده از پروتکلهای امنیتی در ارتباطات سازمان با شرکتهای خارجی
- آموزش کارکنان در خصوص استفاده از رویههای مناسب برای پیشگیری از تهدیدات امنیتی
- بررسی و نظارت بر استفاده از ابزارهای کنترل دسترسی و مدیریت هویت و دسترسی
- ارزیابی و تجزیه و تحلیل ریسکهای مربوط به انتقال دادهها درون و بیرون سازمان
- تعیین و اعمال سیاستهای امنیتی مناسب در خصوص انتشار اطلاعات حساس
- تجهیز سیستمهای سازمان با نرمافزارهای ضدویروس و آتشسوزی
- آموزش کارکنان در خصوص تشخیص و پیشگیری از حملات فیشینگ و سایر حملات مرتبط با امنیت اطلاعات
- بررسی و نظارت بر اجرای فرآیندهای بکاپگیری و بازیابی دادهها در صورت بروز خطاهای امنیتی
- تعیین و اعمال تدابیر امنیتی مناسب برای پیشگیری از حملات نفوذی و سایر تهدیدات امنیتی
- بررسی و نظارت بر روند اجرای فرآیندهای ارتقای امنیت سیستمهای سازمان
- ارزیابی و تجزیه و تحلیل ریسکهای مربوط به ارتباطات شبکهای با سایر شرکتها و سازمانها
- تعیین و اعمال سیاستهای مناسب در خصوص استفاده از ابزارهای امنیتی در شبکههای بیسیم و دستگاههای متصل به آنها
- تعیین و اعمال تدابیر امنیتی مناسب برای حفاظت از سیستمهای کنترل صنعتی (ICS) و سیستمهای SCADA در صنایع حیاتی
- بررسی و نظارت بر روند اجرای فرآیندهای مربوط به امنیت فیزیکی سازمان و محافظت از امنیت سختافزاری و دستگاههای مخابراتی
- تعیین و اعمال سیاستهای مناسب در خصوص استفاده از تجهیزات امنیتی مانند دوربینهای مداربسته و سیستمهای کنترل دسترسی در ساختمانها و فضاهای داخلی سازمان
- ارزیابی و تجزیه و تحلیل ریسکهای مربوط به استفاده از ابزارهای تحلیل و مانیتورینگ ترافیک شبکه
- تعیین و اعمال تدابیر امنیتی مناسب برای پیشگیری از حملات کسری و حملات دی داس (DDoS)
- بررسی و نظارت بر روند اجرای فرآیندهای مربوط به مدیریت رمزنگاری و امنیت اطلاعات حساس در سیستمهای سازمان
- ارزیابی و تجزیه و تحلیل ریسکهای مربوط به استفاده از پلتفرمهای ابری و خدمات مبتنی بر اینترنت اشیا (IoT)
- تعیین و اعمال تدابیر امنیتی مناسب برای محافظت از اطلاعات محرمانه و حساس در سیستمهای حسابداری و مالی سازمان
- بررسی و نظارت بر روند اجرای فرآیندهای مربوط به تست نفوذ و شناسایی ضعفهای امنیتی در سیستمهای سازمان
- ارزیابی و تجزیه و تحلیل ریسکهای مربوط به استفاده از سرویسهای پیامرسان و ارتباطی برای ارتباط داخلی و خارجی سازمان
- تعیین و اعمال تدابیر امنیتی مناسب برای محافظت از اطلاعات محرمانه و حساس در سیستمهای مدیریت منابع انسانی (HRM)
- دفاع در عمق (Defense in Depth)
- استفاده از فایروالهای شبکه و دستگاههای مانیتورینگ برای شناسایی و محدود کردن دسترسی نامناسب به منابع شبکه
- استفاده از سیستمهای مانیتورینگ و حفاظت از نرمافزارهای سمت کاربر برای کاهش خطر حملات نرمافزاری
- استفاده از مکانیزمهای شناسایی و جلوگیری از ارسال پستهای اسپم در شبکه
- تعیین سطوح دسترسی و کنترل دسترسی برای کاربران و دستگاهها در شبکه
- استفاده از شبکههای خصوصی مجازی (VPN) برای ارتباطات امن و ایمن در شبکه
- استفاده از فناوریهای رمزنگاری جهت افزایش امنیت ارتباطات شبکهای
- استفاده از سیستمهای تشخیص تهدیدات (IDS) و جلوگیری از حملات از راه دور
- تعیین و تعمیم سیاستهای امنیتی مناسب در سازمان
- Hardening
- بهروزرسانی و نگهداری سیستمعاملها و نرمافزارهای مورد استفاده
- بستهبندی و امنیتپایهگذاری محیطهای اجرایی (Runtime Environments)
- غیرفعالسازی پورتهای نامستقیم و غیرضروری در سیستمعامل
- تعیین و تعمیم سیاستهای امنیتی برای ارتباطات شبکهای
- استفاده از پیچیدگیهای مختلف برای رمزنگاری اطلاعات حساس
- Penetration Testing
- انجام ارزیابی امنیتی دورهای برای تشخیص ضعفهای احتمالی در سیستمها و شبکههای سازمان
- تستهای شناسایی نفوذ برای تشخیص ضعفها و نقاط ضعف در شبکهها و سیستمها
- تست سوءاستفاده از دسترسیهای نامناسب و تست سوءاستفاده از دسترسیهای مدیریتی
- تست توانمندی مقابله با حملات فیزیکی مانند حملات دسترسی فیزیکی به دستگاهها و تجهیزات سیستمی
- تستهای امنیتی در سطح برنامهنویسی برای تشخیص ضعفهای امنیتی در کدهای نرمافزاری
- تستهای امنیتی در سطح سیستم عامل برای تشخیص ضعفهای امنیتی در پیکربندی سیستم عامل
- تستهای امنیتی در سطح شبکهای برای تشخیص ضعفهای امنیتی در تنظیمات شبکه و پروتکلهای ارتباطی
- تستهای فرازمینی و بررسی امنیت در بستر ابری (Cloud) و محیطهای مجازی سازی (Virtualization)
- گزارشدهی به سازمان در مورد نقاط ضعف و معرفی راهکارهایی برای بهبود امنیت سیستمها و شبکهها
- ورود به صفحه انگلیسی