ISF یک مرجع پیشرو در حوزههای سایبری، امنیت اطلاعات و مدیریت ریسک است. ISF یک سازمان کاملاً مستقل و غیرانتفاعی است و با تحقیق و همکاری، طراحی ابزارهای کاربردی و ارائه راهنماییهای مفید به مشکلات مهم در حوزه مدیریت ریسکهای اطلاعاتی رسیدگی میکند.
ابزارها و مطالعات ISF به صورت رایگان در اختیار همه اعضا قرار میگیرند و بر اساس تخصص، اطلاعات و دانش جمعی اعضای آن طراحی و گردآوری میشوند. این محصولات که برای رسیدگی به طیف گستردهای از چالشهای مختلف طراحی شدهاند به شما کمک میکنند تا یک طرح مدیریت ریسک قوی و متناسب با نیازهای سازمان خودتان را طراحی و پیادهسازی کنید.
چالشهای مدیریت ریسک امنیت اطلاعات
- الزامات: طراحی روشها و سیاستهای امنیتی در پاسخ به تغییرات قانونی، اقتصادی و مقرراتی، ارزیابی تهدیدات جاری و نوظهور مثل ایمنسازی سرویسهای ابر، راهاندازی یک مرکز عملیات امنیتی، حفاظت از دستگاههای همراه، طرحهای تضمین امنیت و ایمنسازی زنجیره تأمین.
چگونه میتوانیم از ابزارها و مطالعات ISF برای رفع نیازهای امنیتی استفاده کنیم؟
استاندارد روشهای توصیه شده برای امنیت اطلاعات (SOGP[1]): ISF مرجع پیشرو در زمینه امنیت اطلاعات است و توسط چندین ابزار مختلف پشتیبانی میشود که عملکرد فعلی را نسبت به SOGP ارزیابی میکنند. طراحی این استاندارد بهگونهای است که به سازمانها کمک میکند روشها و استانداردهای خودشان را به سرعت طراحی کنند.
استاندارد SOGP همه جنبههای امنیت اطلاعات را در برمیگیرد و روشهای توصیه شده را در قالب 135 موضوع مشخص میکند که هر کدام شامل یک مجموعه از کنترلهای امنیت اطلاعات هستند.
مدیران امنیت و تیمهایشان از SOGP برای انجام کارهای زیر استفاده میکنند:
- طراحی یک فریمورک کارآمد برای سیاستها، استانداردها و روشهای امنیت اطلاعات؛
- ارزیابی صلاحیت برای گواهینامههای ISO/ IEC 27001 و ارائه پشتیبانی برای برآورده کردن سایر الزامات و استانداردهای شناخته شده در حوزه امنیت اطلاعات مثل فریمورک امنیت سایبری NIS، CIS Top 20، PCI DSS و COBIT 5 برای امنیت اطلاعات؛
- ایمنسازی سازمانهای عضو زنجیره تأمین شما با کسب اطمینان از رعایت خط مشیهای شما توسط آنها.
- الزامات: مقایسه سازمان خودتان با سایر سازمانهای مشابه و استانداردهای صنعتی، برآورده ساختن الزامات قانونی و نگه داشتن ریسکها در سطح قابل قبول.
**بنچمارک ISF: یک ابزار ارزیابی آنلاین است که به سازمانها امکان میدهد کارایی و ارزش سرمایهگذاریهای امنیتیشان را ارزیابی کنند. این بنچمارک شامل مجموعه پرسشنامههایی است که نتایج آنها به صورت بلادرنگ مشخص میشود و به ارزیابی نقطه ضعفهای کنترلی در فرایندها و فعالیتهای امنیتی که نیاز به رسیدگی دارند، کمک میکند.
سازمانها میتوانند هر زمان در طی سال در این طرح شرکت کرده و عملکرد خودشان را با جدیدترین گرایشات این حوزه مقایسه و ارزیابی کنند.
با استفاده از بنچمارک ISF میتوانید موارد زیر را انجام دهید:
- ارزیابی وضعیت امنیتی خود برای محیطها و فعالیتهای مختلف؛
- مقایسه عملکرد شما نسبت به استاندارد SOGP، SO/IEC 27002:2013، فریمورک امنیت سایبری NIST، CIS Top 20، PCI DSS و COBIT 5.
- تهیه گزارش مقایسه وضعیت امنیتی سازمانتان با سازمانهای همتا و پیشگام بر اساس موقعیتهای جغرافیایی و حوزههای صنعتی مختلف.
پس از ارزیابی بنچمارک، ISF میتواند خدماتی مستقر ارائه دهد که به پشتیبانی از طرح انگیزه تجاری برای بهبود امنیت سایبری در سطح سازمان کمک میکند.
- الزامات: ارتقای تدارکات امنیتی و قابلیت واکنش به فناوریها، تهدیدات و روشهای جدید کسبوکار.
ISF که با هدف براورده کردن نیاز روزافزون به یک راهنمای عملی در زمینه امنیت و ریسکهای اطلاعاتی طراحی شده، سالانه یک طرح مطالعه وسیع را اجرا میکند. هر پروژه، گزارشات باکیفیتی را تولید میکند که شامل توصیههای کاربردی و اطلاعات مهمی هستند و به اعضا امکان میدهند که گرایشات نوظهور را شناسایی کرده و به صورت فعالانه به تغییرات ایجاد شده در فعالیتهای کاری و حوزه تهدیدات سایبری واکنش نشان دهند.
- الزامات: ارزیابی ریسک امنیت اطلاعات و اعمال کنترلهای متناسب با سطح ریسکپذیری سازمان.
چگونه میتوانید از ابزارها و مطالعات ISF برای برآورده کردن این نیازها استفاده کنید؟
راهنمای روش ارزیابی ریسک اطلاعاتی ISF 2 یا IRAM2[2]: این مرجع شامل یک رویکرد سرتاسری برای تشخیص، تحلیل و رفع ریسکهای اطلاعاتی است. پس از ارزیابی ریسک و شناسایی الزامات امنیتی، میتوانید از SOGP برای انتخاب کنترلهای مناسب استفاده کنید.
IRAM2 شامل شش مرحله منطقی برای ارزیابی ریسک است:
- تعیین محدوده: آشنایی با محیطی که قرار است ارزیابی شود و مشخص کردن تمرکز اصلی ارزیابی؛
- ارزیابی تأثیر بر کسبوکار: ارزیابی تأثیرات بالقوه ناشی از به خطر افتادن داراییهای اطلاعاتی سازمان بر کسبوکار سازمان؛
- مشخص کردن تهدیدات: شناسایی و الویتبندی تهدیداتی که با تمرکز ارزیابیهای شما ارتباط دارند؛
- ارزیابی آسیبپذیری: تعیین قدرت کنترلهای موجود برای حفاظت از داراییهای اطلاعاتی سازمان در برابر تهدیدات شناخته شده؛
- ارزیابی ریسک: ارزیابی فاکتورهای ریسک اطلاعات برای تعیین رتبه هر ریسک؛
- رفع ریسک: تعیین روش مناسب برای مقابله با هر ریسک شناسایی شده.
IRAM2 به مسئولان ارزیابی ریسک اطلاعات و مدیران مشاغل در موارد زیر کمک میکند:
- برای کل فرایند ارزیابی از یک روش ساده و عملی استفاده کنند؛
- یک پروفایل ریسک ایجاد کنند که ریسکهای اطلاعاتی را از دیدگاه کسبوکار مشخص میکند؛
- به پوشش ریسک کاملتری دست پیدا کنند؛
- ریسکها را الویتبندی کرده و متمرکز بر جدیترین ریسکها برای کسبوکارشان شوند؛
- مشارکت افراد ذینفع کلیدی در سازمان را جلب کنند.
IRAM2 توسط چهار دستیار برتر IRAM2 پشتیبانی میشود که به اجرای مراحل بالا کمک میکنند.
- الزامات: تشکیل انجمنی برای مدیران و شاغلان حوزه امنیت اطلاعات جهت برقراری ارتباط با همتایان، قرار گرفتن در جریان روشهای توصیه شده کنونی در صنعت خودشان و پیشرفت حرفهای مستمر.
ISF فرصتهای مکرری از جمله جلسات فصلی، ورکشاپها، جلسات آموزشی، کنگره جهانی سالیانه ISF و جامعه آنلاین مخصوص اعضای ISF – ISF Live که در آن همه اعضا به کلیه مطالب ISF دسترسی خواهند داشت و با یکدیگر به صورت خصوصی بحث و گفتگو خواهند کرد، جهت برقراری ارتباط با سایر سازمانهای پیشرو در سطح مدیریتی و کارشناسان امنیت برای اعضای خودش فراهم میکند. افراد با شرکت در رویدادهای ISF امتیاز آموزش حرفهای مستمر دریافت میکنند.
- الزامات: چابک بودن در پیادهسازی ابزارها و مطالعات ISF برای به حداکثر رساندن مزایای آن در سطح سازمان.
سرویسهای مشاوره ISF همه افراد، فرایندها و فناوریها را پوشش میدهند. آنها با استفاده از انبوه تخصص امنیت اطلاعات به مدیران سازمانها و تیمهای امنیت سایبری کمک میکنند که داراییهای اطلاعاتی مهم خودشان را با استفاده از ابزارها و تحقیقات ISF ایمنسازی کنند.
پشتیبانی از مدیران ارشد امنیت اطلاعات، مانورهای امنیت سایبری، ارزیابی زنجیره تأمین، چشمانداز تهدیدات، تعیین بنچمارک، مدیریت و سیاستهای امنیتی و سازگاری با استانداردها و قوانین بخشی از خدمات ISF هستند.
به صورت کلی، مزایای عضویت ISF عبارتند از:
- بازگشت سرمایه قابل توجه، حذف هزینههای طراحی راهکارهای درون سازمانی به صورت مستقل؛
- ابزارها و مطالعات آموزنده و کارآمد برای کمک به جهتدهی و انتقال پیام ریسک اطلاعات به کسبوکارها؛
- سرویسی که فیدهای اطلاعاتی منسجمی در سطح واحدهای بیزنسی، کشورها و قارهها ارائه میدهد؛
- امکان برقراری ارتباط منظم با مدیران سازمانهای پیشگام از جمله جلسات منطقهای و جهانی مثل کنگره جهانی سالیانه ISF؛
- دسترسی نامحدود به همه ابزارها، سرویسها و رویدادها برای سازمانهای عضو در سطح جهان تنها با یک بار پرداخت هزینه در سال؛
- راهکارهای بیزنس محور برای رسیدگی به انواع مشکلات امنیتی که امروزه بر اطلاعات کسبوکارها تأثیرگذار هستند.
[1] Standard of Good Practice for Information Security
[2] Information Risk Assessment Methodology 2
برای مطالعه مطالب تکمیلی درباره ISF و راهکارهای پیشنهادیاش روی لینکهای زیر کلیک کنید: