ISF چگونه برای سازمان‌ها ارزش‌آفرینی می‌کند؟

ISF چگونه برای سازمان‌ها ارزش‌آفرینی می‌کند؟

ISF یک مرجع پیشرو در حوزه‌های سایبری، امنیت اطلاعات و مدیریت ریسک است. ISF یک سازمان کاملاً مستقل و غیرانتفاعی است و با تحقیق و همکاری، طراحی ابزارهای کاربردی و ارائه راهنمایی‌های مفید به مشکلات مهم در حوزه مدیریت ریسک‌های اطلاعاتی رسیدگی می‌کند.

ابزارها و مطالعات ISF به صورت رایگان در اختیار همه اعضا قرار می‌گیرند و بر اساس تخصص، اطلاعات و دانش جمعی اعضای آن طراحی و گردآوری می‌شوند. این محصولات که برای رسیدگی به طیف گسترده‌ای از چالش‌های مختلف طراحی شده‌اند به شما کمک می‌کنند تا یک طرح مدیریت ریسک قوی و متناسب با نیازهای سازمان خودتان را طراحی و پیاده‌سازی کنید.

 

چالش‌های مدیریت ریسک امنیت اطلاعات

  • الزامات: طراحی روش‌ها و سیاست‌های امنیتی در پاسخ به تغییرات قانونی، اقتصادی و مقرراتی، ارزیابی تهدیدات جاری و نوظهور مثل ایمن‌سازی سرویس‌های ابر، راه‌اندازی یک مرکز عملیات امنیتی، حفاظت از دستگاه‌های همراه، طرح‌های تضمین امنیت و ایمن‌سازی زنجیره تأمین.

چگونه می‌توانیم از ابزارها و مطالعات ISF برای رفع نیازهای امنیتی استفاده کنیم؟

استاندارد روش‌های توصیه شده برای امنیت اطلاعات (SOGP[1]): ISF مرجع پیشرو در زمینه امنیت اطلاعات است و توسط چندین ابزار مختلف پشتیبانی می‌شود که عملکرد فعلی را نسبت به SOGP ارزیابی می‌کنند. طراحی این استاندارد به‌گونه‌ای است که به سازمان‌ها کمک می‌کند روش‌ها و استانداردهای خودشان را به سرعت طراحی کنند.

استاندارد SOGP همه جنبه‌های امنیت اطلاعات را در برمی‌گیرد و روش‌های توصیه شده را در قالب 135 موضوع مشخص می‌کند که هر کدام شامل یک مجموعه از کنترل‌های امنیت اطلاعات هستند.

مدیران امنیت و تیم‌های‌شان از SOGP برای انجام کارهای زیر استفاده می‌کنند:

  1. طراحی یک فریم‌ورک کارآمد برای سیاست‌ها، استانداردها و روش‌های امنیت اطلاعات؛
  2. ارزیابی صلاحیت برای گواهینامه‌های ISO/ IEC 27001 و ارائه پشتیبانی برای برآورده کردن سایر الزامات و استانداردهای شناخته شده در حوزه امنیت اطلاعات مثل فریم‌ورک امنیت سایبری NIS، CIS Top 20، PCI DSS و COBIT 5 برای امنیت اطلاعات؛
  3. ایمن‌سازی سازمان‌های عضو زنجیره تأمین شما با کسب اطمینان از رعایت خط مشی‌های شما توسط آنها.
  • الزامات: مقایسه سازمان خودتان با سایر سازمان‌های مشابه و استانداردهای صنعتی، برآورده ساختن الزامات قانونی و نگه داشتن ریسک‌ها در سطح قابل قبول.

**بنچمارک ISF: یک ابزار ارزیابی آنلاین است که به سازمان‌ها امکان می‌دهد کارایی و ارزش سرمایه‌گذاری‌های امنیتی‌شان را ارزیابی کنند. این بنچمارک شامل مجموعه پرسشنامه‌هایی است که نتایج آنها به صورت بلادرنگ مشخص می‌شود و به ارزیابی نقطه ضعف‌های کنترلی در فرایندها و فعالیت‌های امنیتی که نیاز به رسیدگی دارند، کمک می‌کند.

سازمان‌ها می‌توانند هر زمان در طی سال در این طرح شرکت کرده و عملکرد خودشان را با جدیدترین گرایشات این حوزه مقایسه و ارزیابی کنند.

با استفاده از بنچمارک ISF می‌توانید موارد زیر را انجام دهید:

  1. ارزیابی وضعیت امنیتی خود برای محیط‌ها و فعالیت‌های مختلف؛
  2. مقایسه عملکرد شما نسبت به استاندارد SOGP، SO/IEC 27002:2013، فریم‌ورک امنیت سایبری NIST، CIS Top 20، PCI DSS و COBIT 5.
  3. تهیه گزارش مقایسه وضعیت امنیتی سازمان‌تان با سازمان‌های همتا و پیشگام بر اساس موقعیت‌های جغرافیایی و حوزه‌های صنعتی مختلف.

پس از ارزیابی بنچمارک، ISF می‌تواند خدماتی مستقر ارائه دهد که به پشتیبانی از طرح انگیزه تجاری برای بهبود امنیت سایبری در سطح سازمان کمک می‌کند.

  • الزامات: ارتقای تدارکات امنیتی و قابلیت واکنش به فناوری‌ها، تهدیدات و روش‌های جدید کسب‌وکار.

ISF که با هدف براورده کردن نیاز روزافزون به یک راهنمای عملی در زمینه امنیت و ریسک‌های اطلاعاتی طراحی شده، سالانه یک طرح مطالعه وسیع را اجرا می‌کند. هر پروژه، گزارشات باکیفیتی را تولید می‌کند که شامل توصیه‌های کاربردی و اطلاعات مهمی هستند و به اعضا امکان می‌دهند که گرایشات نوظهور را شناسایی کرده و به صورت فعالانه به تغییرات ایجاد شده در فعالیت‌های کاری و حوزه تهدیدات سایبری واکنش نشان دهند.

  • الزامات: ارزیابی ریسک امنیت اطلاعات و اعمال کنترل‌های متناسب با سطح ریسک‌پذیری سازمان.

چگونه می‌توانید از ابزارها و مطالعات ISF برای برآورده کردن این نیازها استفاده کنید؟

راهنمای روش ارزیابی ریسک اطلاعاتی ISF 2 یا IRAM2[2]: این مرجع شامل یک رویکرد سرتاسری برای تشخیص، تحلیل و رفع ریسک‌های اطلاعاتی است. پس از ارزیابی ریسک و شناسایی الزامات امنیتی، می‌توانید از SOGP برای انتخاب کنترل‌های مناسب استفاده کنید.

IRAM2 شامل شش مرحله منطقی برای ارزیابی ریسک است:

  1. تعیین محدوده: آشنایی با محیطی که قرار است ارزیابی شود و مشخص کردن تمرکز اصلی ارزیابی؛
  2. ارزیابی تأثیر بر کسب‌وکار: ارزیابی تأثیرات بالقوه ناشی از به خطر افتادن دارایی‌های اطلاعاتی سازمان بر کسب‌وکار سازمان؛
  3. مشخص کردن تهدیدات: شناسایی و الویت‌بندی تهدیداتی که با تمرکز ارزیابی‌های شما ارتباط دارند؛
  4. ارزیابی آسیب‌پذیری: تعیین قدرت کنترل‌های موجود برای حفاظت از دارایی‌های اطلاعاتی سازمان در برابر تهدیدات شناخته شده؛
  5. ارزیابی ریسک: ارزیابی فاکتورهای ریسک اطلاعات برای تعیین رتبه هر ریسک؛
  6. رفع ریسک: تعیین روش مناسب برای مقابله با هر ریسک شناسایی شده.

IRAM2 به مسئولان ارزیابی ریسک اطلاعات و مدیران مشاغل در موارد زیر کمک می‌کند:

  1. برای کل فرایند ارزیابی از یک روش ساده و عملی استفاده کنند؛
  2. یک پروفایل ریسک ایجاد کنند که ریسک‌های اطلاعاتی را از دیدگاه کسب‌وکار مشخص می‌کند؛
  3. به پوشش ریسک کامل‌تری دست پیدا کنند؛
  4. ریسک‌ها را الویت‌بندی کرده و متمرکز بر جدی‌ترین ریسک‌ها برای کسب‌وکارشان شوند؛
  5. مشارکت افراد ذی‌نفع کلیدی در سازمان را جلب کنند.

IRAM2 توسط چهار دستیار برتر IRAM2 پشتیبانی می‌شود که به اجرای مراحل بالا کمک می‌کنند.

  • الزامات: تشکیل انجمنی برای مدیران و شاغلان حوزه امنیت اطلاعات جهت برقراری ارتباط با همتایان، قرار گرفتن در جریان روش‌های توصیه شده کنونی در صنعت خودشان و پیشرفت حرفه‌ای مستمر.

ISF فرصت‌های مکرری از جمله جلسات فصلی، ورکشاپ‌ها، جلسات آموزشی، کنگره جهانی سالیانه ISF و جامعه آنلاین مخصوص اعضای ISF – ISF Live که در آن همه اعضا به کلیه مطالب ISF دسترسی خواهند داشت و با یکدیگر به صورت خصوصی بحث و گفتگو خواهند کرد، جهت برقراری ارتباط با سایر سازمان‌های پیشرو در سطح مدیریتی و کارشناسان امنیت برای اعضای خودش فراهم می‌کند. افراد با شرکت در رویدادهای ISF امتیاز آموزش حرفه‌ای مستمر دریافت می‌کنند.

  • الزامات: چابک بودن در پیاده‌سازی ابزارها و مطالعات ISF برای به حداکثر رساندن مزایای آن در سطح سازمان.

سرویس‌های مشاوره ISF همه افراد، فرایندها و فناوری‌ها را پوشش می‌دهند. آنها با استفاده از انبوه تخصص امنیت اطلاعات به مدیران سازمان‌ها و تیم‌های امنیت سایبری کمک می‌کنند که دارایی‌های اطلاعاتی مهم خودشان را با استفاده از ابزارها و تحقیقات ISF ایمن‌سازی کنند.

پشتیبانی از مدیران ارشد امنیت اطلاعات، مانورهای امنیت سایبری، ارزیابی زنجیره تأمین، چشم‌انداز تهدیدات، تعیین بنچمارک، مدیریت و سیاست‌های امنیتی و سازگاری با استانداردها و قوانین بخشی از خدمات ISF هستند.

به صورت کلی، مزایای عضویت ISF عبارتند از:

  • بازگشت سرمایه قابل توجه، حذف هزینه‌های طراحی راهکارهای درون سازمانی به صورت مستقل؛
  • ابزارها و مطالعات آموزنده و کارآمد برای کمک به جهت‌دهی و انتقال پیام ریسک اطلاعات به کسب‌وکارها؛
  • سرویسی که فیدهای اطلاعاتی منسجمی در سطح واحدهای بیزنسی، کشورها و قاره‌ها ارائه می‌دهد؛
  • امکان برقراری ارتباط منظم با مدیران سازمان‌های پیشگام از جمله جلسات منطقه‌ای و جهانی مثل کنگره جهانی سالیانه ISF؛
  • دسترسی نامحدود به همه ابزارها، سرویس‌ها و رویدادها برای سازمان‌های عضو در سطح جهان تنها با یک بار پرداخت هزینه در سال؛
  • راهکارهای بیزنس محور برای رسیدگی به انواع مشکلات امنیتی که امروزه بر اطلاعات کسب‌وکارها تأثیرگذار هستند.

 

[1] Standard of Good Practice for Information Security

[2] Information Risk Assessment Methodology 2

 

برای مطالعه مطالب تکمیلی درباره ISF و راهکارهای پیشنهادی‌اش روی لینک‌های زیر کلیک کنید:

نوشته های مرتبط
یک پاسخ بنویسید

نشانی ایمیل شما منتشر نخواهد شد.فیلد های مورد نیاز علامت گذاری شده اند *

20 + 14 =