واحد حاکمیت امنیت

واحد حاکمیت امنیت اطلاعات (Information Security Governance) در سازمان‌ها به مسئولیت اجرای سیاست‌ها و استانداردهای امنیتی اطلاعات می‌پردازد. این واحد مسئول خدمات ممیزی، ارزیابی، مشاوره، استقرار، پیاده‌سازی، آموزش و آگاهی‌رسانی کارکنان در زمینه امنیت اطلاعات است. در سازمان‌های اطلاعات یا سازمان‌های دولتی، امنیت اطلاعات از اهمیت بسیار بالایی برخوردار است. به همین دلیل، واحد حاکمیت امنیت اطلاعات نقش کلیدی در حفظ امنیت سازمان و جلوگیری از هرگونه نقض اطلاعات حساس ایفا می‌کند.

 

واحد حاکمیت امنیت اطلاعات (Information Security Governance) در حوزه مدیریت و کنترل استراتژیک و مؤثر امنیت اطلاعات در سازمان‌ها فعالیت می‌کند. این واحد مسئولیت تعریف پروژه‌های مختلف در زمینه تدوین سیاست‌ها، استانداردها و رویه‌های مربوط به امنیت اطلاعات در سازمان‌ها را بر عهده دارد. هدف اصلی حاکمیت امنیت اطلاعات، اطمینان حاصل کردن از حفظ حریم خصوصی، محرمانگی و دسترس­پذیری اطلاعات حساس در سازمان و جلوگیری از نقض امنیتی است.

 

به‌عنوان یکی از بخش‌های کلان مدیریت امنیت اطلاعات، واحد حاکمیت امنیت اطلاعات مسئولیت‌های مهمی دارد که عبارت‌اند از:

 

  1. تدوین و اجرای سیاست‌ها و استانداردهای امنیتی: این واحد باید سیاست‌ها و استانداردهای امنیتی مختلف را تدوین کند و از اجرای آن‌ها در سازمان‌ها اطمینان حاصل نماید.
  • تدوین طرح مدیریت امنیت اطلاعات ISO/IEC 27001
  • تدوین و استقرار امنیت فضای مجازی مبتنی بر ISO/IEC 27032
  • تدوین و استقرار طرح‌های مبتنی بر COBIT ، NIST، CIS و …
  • تدوین و استقرار طرح‌های مبتنی بر استاندارد ISO/IEC 38500
  1. شناسایی و مدیریت ریسک‌های امنیتی: این واحد مسئول شناسایی و ارزیابی ریسک‌های امنیتی موجود در سازمان‌ها می‌باشد و اقدامات لازم برای کاهش و مدیریت این ریسک‌ها را به عمل می‌آورد.
  • ارزیابی و استقرار پروژه‌های GRC
  • استقرار و پیاده‌سازی طرح‌های تداوم کسب‌وکار مبتنی بر
    • ISO/IEC 27031 تداوم کسب‌وکار امنیت اطلاعات
    • ISO 22301 تداوم کسب‌وکار سازمانی
  • استقرار و پیاده‌سازی نظام مدیریت حوادث امنیت اطلاعات مبتنی بر ISO/IEC 27035
  1. تدوین برنامه‌ها و آموزش‌های آگاهی امنیتی: این واحد برنامه‌های آموزشی مناسب را برای افزایش آگاهی کارکنان سازمان‌ها در زمینه امنیت اطلاعات تدوین و اجرا می‌کند.
  • تدوین محتوا، برگزاری دوره‌های آموزشی امنیت مطابق با پروژه‌های سازمان
  • استقرار و پیاده‌سازی طرح‌های بهبود و ارتقا فرهنگ‌سازمانی امنیت
  • استقرار و پیاده‌سازی طرح‌های آگاهی‌رسانی امنیت
  • برگزاری دوره‌های آموزشی پدافند سایبری
  1. ممیزی و ارزیابی: واحد حاکمیت امنیت اطلاعات مسئول نظارت و انجام ممیزی بر اجرای سیاست‌ها و استانداردهای امنیتی در سازمان‌ها می‌باشد و از رعایت اصول امنیتی توسط کارکنان و سایر اعضای سازمان اطمینان حاصل می‌کند.
  • ممیزی سوم‌شخص سیستم مدیریت امنیت اطلاعات منطبق با افتا
  • ممیزی داخلی سیستم مدیریت امنیت اطلاعات
  • ممیزی استاندارد مدیریت سرویس خدمات فناوری اطلاعات منطبق بر ISO/IEC 20000-1
  • ارزیابی بلوغ سازمان منطبق بر چارچوب‌های:
  • COBIT
  • C2M2
  • سیستم مدیریت امنیت اطلاعات ISO/IEC 27001
  • سیستم مدیریت خدمات فناوری اطلاعات ISO/IEC 20000-1
  • ارزیابی سطح بلوغ طرح افتا
  • چارچوب‌های بلوغ خدمات فناوری اطلاعات
  • چارچوب‌های بلوغ امنیت اطلاعات مانند NIST، CIS و غیره
  1. پدافند غیرعامل: واحد حاکمیت امنیت اطلاعات مسئول تدوین و پیاده‌سازی طرح‌های مبتنی بر پدافند سایبری برای حفاظت از سازمان‌ها یا سیستم‌ها در مقابل حملات سایبری و تهدیدات امنیتی است.
  • مشاوره، تدوین، استقرار، پیاده‌سازی طرح‌های مبتنی بر پدافند سایبری
  • ممیزی و ارزیابی الزامات و ملاحظات پدافند غیرعامل در مرکز داده مبتنی برسند 1201

به‌طورکلی، واحد حاکمیت امنیت اطلاعات مسئولیت‌های مهمی در حوزه کلان امنیت اطلاعات دارد و باید تعامل مؤثری با دیگر بخش‌ها و واحدهای سازمان داشته باشد تا امنیت اطلاعات به بهترین شکل ممکن تضمین شود