واحد حاکمیت امنیت
واحد حاکمیت امنیت اطلاعات (Information Security Governance) در سازمانها به مسئولیت اجرای سیاستها و استانداردهای امنیتی اطلاعات میپردازد. این واحد مسئول خدمات ممیزی، ارزیابی، مشاوره، استقرار، پیادهسازی، آموزش و آگاهیرسانی کارکنان در زمینه امنیت اطلاعات است. در سازمانهای اطلاعات یا سازمانهای دولتی، امنیت اطلاعات از اهمیت بسیار بالایی برخوردار است. به همین دلیل، واحد حاکمیت امنیت اطلاعات نقش کلیدی در حفظ امنیت سازمان و جلوگیری از هرگونه نقض اطلاعات حساس ایفا میکند.
واحد حاکمیت امنیت اطلاعات (Information Security Governance) در حوزه مدیریت و کنترل استراتژیک و مؤثر امنیت اطلاعات در سازمانها فعالیت میکند. این واحد مسئولیت تعریف پروژههای مختلف در زمینه تدوین سیاستها، استانداردها و رویههای مربوط به امنیت اطلاعات در سازمانها را بر عهده دارد. هدف اصلی حاکمیت امنیت اطلاعات، اطمینان حاصل کردن از حفظ حریم خصوصی، محرمانگی و دسترسپذیری اطلاعات حساس در سازمان و جلوگیری از نقض امنیتی است.
بهعنوان یکی از بخشهای کلان مدیریت امنیت اطلاعات، واحد حاکمیت امنیت اطلاعات مسئولیتهای مهمی دارد که عبارتاند از:
- تدوین و اجرای سیاستها و استانداردهای امنیتی: این واحد باید سیاستها و استانداردهای امنیتی مختلف را تدوین کند و از اجرای آنها در سازمانها اطمینان حاصل نماید.
- تدوین طرح مدیریت امنیت اطلاعات ISO/IEC 27001
- تدوین و استقرار امنیت فضای مجازی مبتنی بر ISO/IEC 27032
- تدوین و استقرار طرحهای مبتنی بر COBIT ، NIST، CIS و …
- تدوین و استقرار طرحهای مبتنی بر استاندارد ISO/IEC 38500
- شناسایی و مدیریت ریسکهای امنیتی: این واحد مسئول شناسایی و ارزیابی ریسکهای امنیتی موجود در سازمانها میباشد و اقدامات لازم برای کاهش و مدیریت این ریسکها را به عمل میآورد.
- ارزیابی و استقرار پروژههای GRC
- استقرار و پیادهسازی طرحهای تداوم کسبوکار مبتنی بر
- ISO/IEC 27031 تداوم کسبوکار امنیت اطلاعات
- ISO 22301 تداوم کسبوکار سازمانی
- استقرار و پیادهسازی نظام مدیریت حوادث امنیت اطلاعات مبتنی بر ISO/IEC 27035
- تدوین برنامهها و آموزشهای آگاهی امنیتی: این واحد برنامههای آموزشی مناسب را برای افزایش آگاهی کارکنان سازمانها در زمینه امنیت اطلاعات تدوین و اجرا میکند.
- تدوین محتوا، برگزاری دورههای آموزشی امنیت مطابق با پروژههای سازمان
- استقرار و پیادهسازی طرحهای بهبود و ارتقا فرهنگسازمانی امنیت
- استقرار و پیادهسازی طرحهای آگاهیرسانی امنیت
- برگزاری دورههای آموزشی پدافند سایبری
- ممیزی و ارزیابی: واحد حاکمیت امنیت اطلاعات مسئول نظارت و انجام ممیزی بر اجرای سیاستها و استانداردهای امنیتی در سازمانها میباشد و از رعایت اصول امنیتی توسط کارکنان و سایر اعضای سازمان اطمینان حاصل میکند.
- ممیزی سومشخص سیستم مدیریت امنیت اطلاعات منطبق با افتا
- ممیزی داخلی سیستم مدیریت امنیت اطلاعات
- ممیزی استاندارد مدیریت سرویس خدمات فناوری اطلاعات منطبق بر ISO/IEC 20000-1
- ارزیابی بلوغ سازمان منطبق بر چارچوبهای:
- COBIT
- C2M2
- سیستم مدیریت امنیت اطلاعات ISO/IEC 27001
- سیستم مدیریت خدمات فناوری اطلاعات ISO/IEC 20000-1
- ارزیابی سطح بلوغ طرح افتا
- چارچوبهای بلوغ خدمات فناوری اطلاعات
- چارچوبهای بلوغ امنیت اطلاعات مانند NIST، CIS و غیره
- پدافند غیرعامل: واحد حاکمیت امنیت اطلاعات مسئول تدوین و پیادهسازی طرحهای مبتنی بر پدافند سایبری برای حفاظت از سازمانها یا سیستمها در مقابل حملات سایبری و تهدیدات امنیتی است.
- مشاوره، تدوین، استقرار، پیادهسازی طرحهای مبتنی بر پدافند سایبری
- ممیزی و ارزیابی الزامات و ملاحظات پدافند غیرعامل در مرکز داده مبتنی برسند 1201
بهطورکلی، واحد حاکمیت امنیت اطلاعات مسئولیتهای مهمی در حوزه کلان امنیت اطلاعات دارد و باید تعامل مؤثری با دیگر بخشها و واحدهای سازمان داشته باشد تا امنیت اطلاعات به بهترین شکل ممکن تضمین شود