برنامۀ امنیت اطلاعات 1395/8/19 چهارشنبه
 
برنامۀ امنیت اطلاعات

چکیده  
برنامۀ امنیت اطلاعات یکی از ارکان مهم امنیت اطلاعات است که تمامی تلاش ها و فعالیتهای مرتبط با امنیت اطلاعات را در برگرفته، موجب می­شود سازمان در مسیری همراستا با اهداف کسب و کار قرار گیرد و اهداف امنیتی مورد نیاز خود را - با وجود محدودیت منابعی که برایش متصور است - برآورده سازد. ضرورت وجودی، تعریف، ساختار، دامنه و نحوۀ شروع اجرای برنامۀ امنیت اطلاعات مباحث مطرح شده در این مقاله هستند و برای چالش­های پیش روی آن ها، راه حل­هایی ارایه شده­ است. برنامۀ امنیت اطلاعات نیز - مانند تمامی هستارها - اجزایی دارد که مهمترین جزء آن فرایندهای امنیت اطلاعات هستند که به طور مختصر معرفی شده­اند. ایجاد و اجرای برنامۀ امنیت اطلاعات مسیری طولانی در پیش دارد تا در نهایت به سطحی از بلوغ مورد نیاز سازمان برسد و بدیهی است قسمت اعظمی از بلوغ امنیت سازمان، وابسته به بلوغ فرآیندهای امنیت اطلاعات است. در پایان نیز راهکارهای سنجش بلوغ فرآیندهای مذکور بر اساس مدل بلوغ CMMI  تبیین گردیده­اند.

واژگان کلیدی:

 برنامۀ امنیت اطلاعات،فرآیندهای امنیت اطلاعات، شروع برنامۀ امنیت اطلاعات، بلوغ فرآیندهای امنیت اطلاعات

1.       مقدمه

چنانچه امنیت اطلاعات را به شکل موردی، بدون یکپارچگی و اینجا و آنجا به کار بگیریم، حتما تأثیری اندک در سازمان خواهد داشت و چه بسا مخاطرات مربوط به امنیت اطلاعات را نیز افزایش بدهد.  به همین دلیل راهبران[1] اطلاعات باید امنیت را با تمامی ابعاد کسب و کار، شامل: فناوری، فرآیندها و رفتار سازمانی ادغام کنند تا ضمن همراستایی با اهداف کسب و کار، نیازمندی­های امنیتی سازمان را برآورده سازند. اولین گام برای تحقق این اهداف، استقرار برنامه­ای رسمی است که مشخص کننده اصول، منابع و فعالیت های مهم امنیت اطلاعات سازمان باشد. این برنامه، «برنامۀ امنیت اطلاعات[2]» نام دارد.

«برنامه مدیریت امنیت اطلاعات» برنامه­ای است مستمر برای یافتن عدم تعادل میان امنیت و عملیات روزمره سازمان و متعاقباً بهبود مستمر اثربخشی و بهره­وری امنیت اطلاعات و منابع سازمان. مهمترین ابزار مدیریت امنیت اطلاعات برای رسیدن به این هدف،  برنامۀ امنیت اطلاعات است که نیازمند تایید مدیریت ارشد -در بالاترین سطح- و سرمایه گذاری سازمان است. به همین دلیل، تدوین­گران و مجریان این برنامه باید در تمامی مسیر ایجاد و استقرار برنامه، شواهد لازم را برای اثربخشی و ارزش آفرینی این برنامه در اختیار مدیران ارشد قرار دهند.

در ادامۀ این مقاله و در بخش دوم آن به رویکرد برنامۀ امنیت اطلاعات، دامنه و ساختار آن پرداخته، اجزای برنامۀ امنیت اطلاعات را مشخص نموده، تعریفی مختصر از این اجزا ارائه داده ایم. در بخش سوم مهمترین جزء برنامه را که فرایندهای امنیت اطلاعات هستند معرفی نموده، در چهار دستۀ حاکمیتی، طرح ریزی، ساخت و اجرا دسته­بندی کرده ایم. در بخش چهارم، چالش های پیش روی شروع برنامۀ امنیت اطلاعات تبیین می­شوند و برای عبور از این مرحله، راه حل­هایی ارائه نموده­ایم. در بخش پنجم نیز نشان داده­ایم که ایجاد و استقرار برنامۀ امنیت - جدا از ساختار و معرفی اجزاء - نیاز به نقشۀ راهی برای اجرا دارد که در قالب بلوغ برنامۀ امنیت متبلور می شود. در پایان نیز، نتیجه گیری و توصیه های لازم ارایه شده­اند.

2.      ساختار و دامنه برنامۀ امنیت اطلاعات

نقطۀ شروع تدوین برنامۀ امنیت اطلاعات، تعیین نوع نگرش سازمان به امنیت اطلاعات و به تبع آن برنامۀ امنیت اطلاعات است. با توجه به این امر که چارچوب­های مدیریتی کسب و کار، رویکردی فرآیند محور[3] و مبتنی بر مخاطره  را دنبال می­کنند، لازمۀ همراستایی با کسب وکار، اتخاذ رویکردی مشابه است، به این ترتیب مناسب­ترین رویکرد برای امنیت اطلاعات نیز رویکرد فرآیند محور است. پس از مشخص شدن رویکرد امنیت اطلاعات، برنامۀ امنیت اطلاعات تدوین می گردد و با استقرار چارچوبی از منابع و مجموعه ای از اصول شروع می شود. همان­طور که در شکل 1 می بینید، این برنامه از اجزای گوناگونی  تشکیل شده است تا به برپایی نظامی  مستمر و تکرار شونده، شامل: طرح ریزی، ساخت و اجرای راه حل های امنیتی موردنیاز کسب و کار منجر شود[1].


شکل
1 اجزای برنامۀ امنیت اطلاعات

 

به طور معمول برنامۀ امنیت اطلاعات دارای اجزای ذیل است: 

-         مؤلفه های رهبری و تاییدات مدیریتی؛ پیاده سازی موفق یک برنامه منوط به اجماع در سطح حاکمیت سازمان است تا تمامی مدیران تعهد خود را نسبت به اجرای آن برنامه اعلام نمایند؛

-         منشور امنیت اطلاعات[4] شامل: اصول امنیت اطلاعات سازمان و پاسخگو نمودن مدیران ارشد سازمان در قبال امنیت اطلاعات است[5]؛

-         طرح راهبردی امنیت شامل: چشم انداز، وضعیت جاری، فهرست پروژه های طرح ریزی شده و اهداف سالانه و کوتاه مدت است؛

-         ساختار سازمانی و فرآیندهای مرتبط با امنیت اطلاعات، عناصر اصلی سازندۀ امنیت و برنامۀ  امنیت را تشکیل می دهند. در بخش بعدی مقاله، فرآیندها به طور مفصل بیان شده اند؛

-         راهکارهایی برای دنبال کردن[5] و اشاعۀ کارآمدی و پیشرفت برنامۀ امنیت اطلاعات در سازمان و میزان همراستایی آن با کسب وکار؛

-         راهبرد مدیریت مخاطرات،  شامل: فرآیندهای ارزیابی و مدیریت مخاطرات امنیت اطلاعات[6] سازمان؛

-         مجموعه ای از اصول مشترک امنیت اطلاعات در سازمان که در معماری امنیت اطلاعات جای می­گیرند؛

-         چارچوب خط مشی ها و کنترل ها، شامل: منشور امنیت اطلاعات و مجموعه ای جامع و کامل از خط مشی های مورد نیاز سازمان؛

-         ارتباطات داخلی موثر بر مبنای جستجو برای یافتن نیازهای امنیتی و معرفی راه حل های امنیتی. این امر موجب ایجاد و حفظ آگاهی کارکنان می شود و از سوی دیگر ارتباط امنیت با کسب و کار را پشتیبانی می کند؛

-         مدیریت فرآیندها، شامل: شناسایی و اختصاص منابع برای تعریف، تصحیح، بهبود و بهینه سازی فرآیندهای امنیت اطلاعات؛

-         ایجاد، تکمیل، نگهداری و بهره­برداری از زیرساخت امنیت اطلاعات بر اساس معماری امنیتی؛

-         کنترل های امنیت اطلاعات[7]، شامل: تعیین کنترل ها، طراحی و پیاده سازی آن ها می شود؛

-         عملیات مرتبط با فرآیندهای حفاظتی روزانه، مانند: مدیریت آسیب پذیری، مدیریت کنترل دسترسی، پایش و مدیریت رخدادهای امنیتی و ....

به طور معمول استقرار برنامۀ امنیت اطلاعاتی با کیفیت مطلوب و استاندارد، 3 تا 5 سال طول می کشد. علاوه بر این، انتخاب آگاهانۀ ترکیبی از پروژه­های کوتاه مدت که بر خلق ارزش تاکید دارند به همراه پروژه های میان مدتِ زیرساختی که فرهنگ سازمانی را تغییر می دهند موجب افزایش کیفیت برنامۀ امنیت اطلاعات می شود.

3.     فرآیندهای امنیت اطلاعات

تعریف و اجرای درست فرآیندها موجب ارتقای مهارت­ها، پاسخگویی شفاف، سازگاری همه جانبه، مشارکت در اجرا، ایجاد قابلیت سنجش عملکرد و نتایج و مبنایی برای بهبود مستمر می شود. مهم ترین دلیل ایجاد و تدوین « سبد فرآیندها» رسمی سازی[8] فرآیندهای امنیتی است. در گذشته، مدلی چهاروجهی برای توصیف فرآیندهای امنیتی به کار می رفت که شامل ابعاد ذیل بود:

 1- دسترسی به شبکه؛

 2- نفوذ؛

 3- مدیریت هویت و

 4- مدیریت آسیب پذیری.

اما این مدل توان مقیاس پذیری و ظرفیت های سنجش بلوغ اندکی داشت و  به همین دلیل مدیران امنیت به سمت مدلی گسترده تر و رسمی تر گرایش پیدا کردند. مدل « سبد فرآیند امنیت اطلاعات گارتنر »[2] مجموعه­ای از فرآیندهاست که مفصل­تر از فرآیند­های کلی مدیریت امنیت مانند  ISMS- است. این مدل برای سازمان­ های بزرگ با برنامه­های امنیت نسبتا بالغ­تر مناسب است و تمرکز آن بر بهبود مستمر، حاکمیت موثر، مدیریت خدمات و همراستایی مدیریت مخاطرات و شیوه­های اجرایی امنیت اطلاعات با نیازهای کسب و کار است.  این مدل شامل چهار گروه فرآیندی است که در ادامه به توضیح آن ها می­پردازیم:

فرآیندهای حاکمیتی: این فرآیندها تضمین کننده اتخاذ اقدامات منطقی و مناسب برای حفاظت از منابع اطلاعاتی سازمان -  به موثرترین و مناسب ترین شکل - در راستای اهداف کسب و کار هستند. فرآیندهای اصلی این گروه شامل:

 1- نظارت بر برنامه امنیت اطلاعات و انعکاس دستور هیئت مدیره درخصوص برنامه؛

 2- تنظیم و مدیریت اختیارات تصمیم گیری  و پاسخگویی در قبال آن­ها؛

 3- تخصیص منابع؛

 4- قضاوت میان الزامات و مخاطرات امنیتی متناقض

 5- فراهم سازی تضمین درخصوص مدیریت مناسب مخاطرات امنیت اطلاعات برای هیئت مدیره و ذی نفعان،

است.

فرآیندهای طرح ریزی: این فرآیندها شامل: فعالیت­های راهبردی مرتبط با مدیریت برنامه امنیت سازمان هستند و اغلب متناوب هستند تا مداوم. زیرفرآیندهای آن ها متشکل از:

 1- راهبردی سازی[9] (طرح ریزی متناوب با هدف ایجاد راهبرد بلندمدت)؛

 2- طرح ریزی[10] سالانه؛

 3- سازماندهی[11]، و

 4- معماری امنیتی (فعالیت های مرتبط با توسعه، نگهداری و پیاده سازی دستاوردهای معماری امنیت اطلاعات سازمانی) هستند.

فرآیندهای ساخت: این فرآیندها، با ایجاد زیست بوم[12] امنیت اطلاعات در ارتباط هستند. یکی از زیرفرآیندهای آن مدیریت خط مشی ها و کنترل هاست که متشکل از:

 1- مدیریت چارچوب خط مشی؛

 2- تعریف، تایید، ترویج و نگهداری خط مشی­ها و کنترل ها؛

 3- دسته بندی داده/ منبع و

 4- مدیریت سطح خدمات امنیت

 است.

دیگر زیرفرآیندهای آن، شامل: مدیریت فرآیند (فعالیت­هایی که  روی تعریف، سنجش، یکپارچه سازی و بلوغ تمام فرآیندهای امنیتی متمرکز هستند) و یکپارچگی سامانه (فعالیت­های مربوط به پیاده­سازی راهکارهای امنیتی) هستند.

فرآیندهای اجرا: این فرآیندها، ارتباطی میان تیم امنیت و سایر بخش­های  سازمان  پی ریزی می کنند و  مدیریت روزانه امنیت را برعهده دارند. این فرآیندها، خود به دو دسته تقسیم می­شوند: فرآیندهای تعاملی و فرآیندهای حفاظتی.

فرآیندهای تعاملی از دو دسته ارزیابی مخاطره و کنترلِ فعالیت­هایی که به تعیین پذیرش/ تحمل مخاطره کسب و کار - در سطحی مناسب از ریزدانگی - کمک می­کنند و مدیریت ارتباطات و وابستگی­ها تشکیل می شود. فرآیندهای مدیریت ارتباطات و وابستگی ها تضمین می کنند که هر کسی می­داند چه چیزی؟ و چرا؟ تحت خط مشی­های امنیتی فعلی، مجاز و ممنوع است.

فرآیندهای حفاظتی نیز شامل:

 1- مدیریت هویت و دسترسی­؛

 2- مدیریت تهدید و آسیب پذیری؛

 3- مدیریت تداوم کسب و کار و بازیابی از فاجعه؛

 4- مدیریت اطلاعات و رویداد و

 5- مهندسی و سرپرستی امنیت هستند.

4.     شروع  اجرای برنامۀ امنیت اطلاعات

 اولین چالش پیش روی مدیران - بعد از تدوین برنامۀ امنیت اطلاعات -  نحوۀ پیاده سازی آن است. در این مرحله، متولیان امنیت اطلاعات سعی دارند که فعالیت های موردی و مبتنی بر کنترل­های امنیتی را به سمت برنامه­های کنشگرای[13] توام با بهبود مستمر سوق دهند[3]. نرخ سریع تغییرات در کسب وکار، فناوری­ها و تهدیدات، باعث میشود، سازمان­ها در برابر تهدیدات و مخاطرات امنیتی حالتی واکنشی داشته باشند و شروع  اجرای برنامۀ امنیت اطلاعات را با مشکل روبرو کنند. برای غلبه بر این مشکلات، ابتدا باید وضعیت موجود طرح های امنیتی ارزیابی شود، سپس پروژه­ای برای شروع برنامه انتخاب و در ادامه پیاده سازی گردد. لازم به ذکر است برنامۀ امنیت اطلاعات جدید تا حد امکان نباید موجب نفی تلاش های قبلی شود و پروژه های جاری را متوقف کند یا سرمایه گذاری های فعلی را نادیده بگیرد.

 وضعیت فعلی امنیت را می توان با فهرست نمودن کنترل های امنیتی فعال، خط مشی ها، نقش ها، منابع، رویه­های اجرایی و پروژه های امنیتی، بررسی و ارزیابی کرد؛  برای این کار، بهتر است از یک مدل ارزیابی استاندارد استفاده شود  تا بتوان در گام­های بعدی پشتیبانی مناسبی از طرف مدیریت اجرایی به دست آورد.

پس از انتخاب پروژه مناسب برای اجرا، در اولین گام باید دستورات اجرایی لازم از بالاترین مقام­ها را به دست آورد و سپس فردی مناسب برای مدیریت پروژه انتخاب کرد و پروژه را به سرانجام رساند.

مناسب­ترین پروژه ها برای شروع معمولاً روی همراستایی امنیت با کسب و کار و حاکمیت تاکید دارند، پروژه هایی مانند: همراستا سازی امنیت با کسب و کار، صلاحیت­ها و شایستگی­های مورد نیاز برای بهبود اقدامات مرتبط با امنیت، رسمی سازی فرآیندها، بلوغ فرآیندها و ترویج آگاهی.

5.     بلوغ برنامۀ امنیت اطلاعات

بلوغ برنامۀ امنیت اطلاعات در ابعاد مختلفی تحقق می یابد و پرداختن به همه ابعاد مزبور در نوشتار حاضر نمی­گنجد. با این حال، پس از معرفی ابعاد مذکور در فهرست ذیل، مهمترین آن­ها یعنی بلوغ « فرآیند و عملیات»" را شرح داده­ایم زیرا بلوغ فرآیندها عنصری مهم و موثر در بلوغ دیگر ابعاد است[4]:

1-     حاکمیت امنیت؛

 2- طرح ریزی و بودجه بندی؛

 3- سازماندهی؛

 4- چارچوب کنترل ها؛

 5- مهندسی و معماری؛

 6- فرآیند و عملیات؛

 7- ترویج و آگاهی رسانی؛

 8- تشخیص و پاسخ دهی به رخدادها؛

 9- مدیریت تهدیدات و آسیب پذیری؛ و

 10- ارزیابی مخاطرات و کنترل ها.

ارزیابی بلوغ فرآیندها، پیش نیازهایی دارد از جمله: شناسایی فرآیندهایی که باید ارزیابی گردند و مجموعه­ای از معیارها برای سنجش بلوغ فرآیندها. این معیارها و شاخص ها باید سازگار باشند و قابلیت قرار گرفتن تحت یک مدل را داشته باشند. در حال حاضر یکی از مدل هایی که به طور وسیع برای ارزیابی بلوغ فرآیندها به کار می رود، مدل [14]CMMI است.

این مدل شش سطح بلوغ به شرح دارد:

-         سطح صفر، نبود : بلوغ فرآیندی وجود ندارد یا بسیار اندک است. وظایف به صورت غیررسمی و ناهماهنگ انجام می شوند، فرآیندها تعریف نشده­اند و تغییر کارکنان موجب اختلال در فرآیندها می شود.  

-         سطح یکم- شروع: فرآیندها موردی­اند، سازمان یافته و به هم پیوسته  نیستند، مدافعان و پایبندان اندکی دارند با این حال برنامۀ رسمی در جریان نیست و آگاهی یا پذیرش محدودی در سازمان نسبت به آن­ها وجود دارد.

-         سطح دوم- در حال توسعه: چشم انداز مشخص شده است، مدیریت خود را در امنیت درگیر کرده است، نیازمندی­ها و الزامات ارزیابی شده­اند، مسئولیت­ها اختصاص یافته­اند، یک طرح پیاده­سازی در دست است، شکاف ها و فاصله­ها شناسایی شده­اند و برنامه­های ترویجی و آموزشی در سازمان جاری هستند.

-         سطح سوم- تعریف شده: اهداف و روش­های اجرایی و سنجه­های عملکردی به طور کامل تعریف شده­اند، فرآیندها استاندارد، یکپارچه و پیاده سازی شده­اند و مدلی رسمی از حاکمیت و انطباق وجود دارد.

-         سطح چهارم-مدیریت شده: فرآیند قسمتی از فرهنگ سازمان شده است، جزیی جدایی ناپذیر از عملیات و تصمیم گیری مستمر محسوب می­شود و عملکرد به میزان زیادی قابل پیش بینی است.

-         سطح پنجم-بهینه شده: فرآیندها کاملاً به بلوغ رسیده­ اند، تمامی تصمیمات و سرمایه­گذاری ها به هم پیوند خورده اند و بازخوردهای ذی نفعان برای تنظیم و بهبود مستمر فرآیندها بکار گرفته می شوند.

 

 

در ادامه همان­طور که در جدول 1 می بینید ، معیارهای بلوغ  «فرآیند و عملیات» در سطوح مختلف مدل CMMI مشخص شده اند.

 

جدول 1 معیارهای مد نظر برای سطوح مختلف بلوغ فرآیند

نام معیار 

سطوح بلوغ

سطح یکم

شروع

سطح دوم

در حال توسعه

سطح سوم

تعریف شده

سطح چهارم مدیریت شده

سطح پنجم

بهینه شده

رسمی سازی

تعریف نشده است.

برخی مستندات وجود دارند.

تعاریف رسمی وجود دارند.

تعریف فرآیندها بهبود یافته است.

تعریف فرآیندها بهینه شده است.

یکپارچه سازی

بدون یکپارچگی یا به صورت موردی انجام می گیرد.

یکپارچگی محدودی وجود دارد.

یکپارچگی بین فرآیندهای امنیت و عملیات وجود دارد.

یکپارچگی بین فرآیندهای عملیاتی وجود دارد.

یکپارچگی کامل حاصل شده است و بهینه سازی های دوره ای انجام می گیرد.

همراستاسازی با سازمان

همراستا نیست.

فرآیندها سازمان را دنبال می کنند.

سازمان فرآیندها را دنبال می کند.

همراستا شده و بهبودی مستمر در جریان است.

بهینه سازی های دوره ای انجام می گیرد.

خودکارسازی

به صورت دستی انجام می گیرد.

گزینه های خودکارسازی مورد بررسی قرار گرفته اند.

خودکارسازی های پایه انجام شده اند.

یکپارچگی محدودی میان ابزارها ایجاد شده است.

یکپارچگی کاملی بین ابزارها وجود دارد.

پایدارسازی

موردی و بدون ردگیری تغییرات انجام می گیرد.

تغییرات شناسایی شده و ثبت می­شوند.

کنترل تغییرات رسمی شده است.

بهبودهایی صورت گرفته و تغییرات به حداقل می رسند.

تنها، تغییرات بهینه سازی انجام می شوند.

تعریف سنجه ها و سنجش

سنجه ای تعریف نشده است.

سنجه های اولیۀ کارآمدی تعریف شده اند.

سنجه های سطح خدمات و کارایی تعریف شده اند.

سنجه ها برای بهبود مستمر به کار می روند.

سنجه ها برای پایش تغییرات تاثیرات به کار می روند.

عملکرد

تعریف نشده است.

عملکرد ضعیفی تعریف شده است.

اهداف عملکردی تعریف شده و به دست آمده اند.

عملکرد ردگیری شده، اهداف بهبود یافته اند.

عملکرد بهینه شده است.

پاسخگویی و مسئولیت پذیری

پاسخگویی و مسئولیت پذیری وجود ندارد یا غیر رسمی است.

پاسخگویی و مسئولیت پذیری ساختارهای حاکمیتی، توسعه یافته اند.

پاسخگویی و مسئولیت پذیری تعریف شده و پذیرفته شده اند.

پاسخگویی و مسئولیت پذیری تحقق و بهبود یافته اند.

پاسخگویی و مسئولیت پذیری بهینه شده اند.

 

6.      نتیجه گیری و پیشنهادات

مدیران امنیت اطلاعات برای جلوگیری از افزایش مخاطرات امنیت اطلاعات، باید امنیت را با اهداف کسب و کار همراستا و نیازمندی­های امنیتی سازمان را برآورده سازند. نقطه آغازین این امر، تدوین برنامۀ امنیت اطلاعات است. در این مقاله ابتدا رویکرد، دامنه، ساختار و اجزای  برنامۀ امنیت اطلاعات را مشخص کردیم که به منظور همراستایی با کسب وکار، رویکردی فرآیندمحور انتخاب شد، سپس به شرح فرآیندهای این برنامه پرداختیم. همچنین چالش­های مربوط به شروع اجرای این برنامه و راه حل­های هر یک را مشخص کردیم. در ادامه بهترین گزینه برای شروع برنامه را، فعالیت­های مرتبط با همراستاسازی کسب و کار و حاکمیت در نظر گرفتیم و برای نمونه یکی از پروژه­های مناسب برای این امر - پروژه بلوغ فرآیندهای امنیت اطلاعات – را شرح دادیم.

طبق گفته­های فوق، راهبران مدیریت امنیت و مخاطرات باید وضعیت فعلی امنیت را با شناسایی تمامی کارکردها، فعالیت ها و اقدامات امنیتی نوآورانه در سازمان ارزیابی کنند، فهرستی از فرآیندهای امنیتی که نشان­دهندۀ  محیط « حالت مطلوب » باشد را توسعه دهند. سپس آن ها را برای ارزیابی و رسمی سازی اولویت بندی کنند و از طریق تخصیص مالکیت، ارزیابی، تعریف ماتریس های نقش و مسئولیت، رویه ها و فعالیت­ها، تعریف رسمی و تخصیص منبع، رسمی سازی کنند. برای شروع اجرای  برنامۀ امنیت اطلاعات پروژۀ مناسبی انتخاب و اجرا کنند. همچنین میزان بلوغ فرآیندهای امنیت و مخاطره را با استفاده از مجموعه­ای از معیارهای با هم سازگار برای مثال سطوح بلوغ CMMI - بیان کنند.

منابع

 

[1] Scholtz, Tom, Define the Structure and Scope for an Effective Information Security Program, Gartner, 18 September 2012

[2] Scholtz, Tom, Creating a Security Process Catalog, Gartner, 23 January 2013

[3] Scholtz, Tom, Kick-Start the Information Security Program, Gartner, 16 January 2013

[4] Scholtz, Tom, Assess the Maturity of Security and Risk Management Processes for a More Effective Program, Gartner, 26 October 2012

[5] Scholtz, Tom, Best Practices for Creating an Enterprise Information Security Charter, Gartner, 17 September 2014



[1] Leaders

[2] Information Security Program

[3] Process Based

[4] Information security charter

[5] Tracking

[6] Information Security Risk Management

[7] Information Security Control

[8] Formalize

[9]  Strategizing

[10] Planning

[11] Organizing

[12] Ecosystem

[13] Proactive

[14] Capability Maturity Model Integration


دسترسی سریع
عضویت در خبرنامه

* برای عضویت در خبرنامه آدرس ایمیل خود را وارد نمایید
خبرخوان
تماس با ما
(021) 22266217
Info@kashef.ir دریافت کلید PGP   (راهنما)