بخشی از پاورپوینت

اسلاید 1 :

همراستاسازی امنیت اطلاعات با کسب و کار: مدل، برنامه، نقش ها و سنجهها

بخش اول: همراستاسازی امنیت اطلاعات با کسب و کار
بخش دوم: برنامه امنیت اطلاعات
بخش سوم: مدیر ارشد امنیت اطلاعات

اسلاید 2 :

مدلی برای همراستاسازی امنیت اطلاعات با کسب و کار

اسلاید 3 :

مقدمه ای بر همراستایی امنیت اطلاعات با کسب و کار
 امروزه يكي از بزرگترين چالش هاي پيش روي سازمان ها، همانا همراستايي امنیت اطلاعات با كسب و كار است.
از طریق حصول اطمینان از همراستایی برنامه
با نیازهای واقعی کسب و کار
همراستاسازی
بهینه سازی تلاش ها و بودجه امنیت
بهینه سازی برنامه امنیت
چگونه؟

اسلاید 4 :

علائم ناهمراستایی برنامۀ امنیت اطلاعات با کسب و کار
فعالیت مدیریت امنیت در خلاء
کنترل های امنیتی بدون استثنا یا بسیار سختگیرانه هستند یا بیش از حد ضعیف

مدیران مخالف خوان (شاکیان همیشگی.)
چرا؟
مدیران امنیت اغلب به طور خودکار با نوآوری ها و ابتکارات جدید کسب و کار و IT مخالفت می کنند
منجر به
مدیران حاشیه نشین
چرا؟
عدم درک مدیران امنیت از اینکه ریسک جزء ذاتی و طبیعی هر کسب و کاری است
مدیران خرج تراش: تلاش ها و هزینه های بیش از حد و غیر ضروری
نا آشنایی مدیران امنیت با نیازهای واقعی
چرا؟

اسلاید 5 :

علائم ناهمراستایی برنامۀ امنیت اطلاعات با کسب و کار
 عدم وجود هیچگونه روشی برای ارزیابی میزان تطابق عملیات سازمان با خط مشی ها
منجر به
عدم انعکاس اهداف و سطح مخاطره پذیری سازمان در سیاست های امنیتی
نادیده گرفته شدن آن ها توسط بخش عمده ای از کارکنان
 مدیران ارشد امنیت بر خود فرض می دانند تا عدم درک واحدهای کسب و کار از امنیت را خویشتن جبران کنند
موردی بودن پروژه ها و اقدامات امنیتی
منجر به
دوباره کاری، تناقض در خط مشی ها و سردرگمی

اسلاید 6 :

علائم ناهمراستایی برنامۀ امنیت اطلاعات با کسب و کار

کاربران آگاهی اندکی از امنیت و مخاطره (های) اطلاعات دارند.
مدیریت ارشد نسبت به امنیت اطلاعات بی تفاوت به نظر می رسد.
امنیت در چرخه حیات توسعه نرم افزارها وجود ندارد

اسلاید 7 :

مدل همراستاسازی راهبرد های امنیت اطلاعات با کسب و کار

راهبردها و تاکتیک های متفاوتی برای همراستاسازی وجود دارد
 عمدتا این راهبردها و تاکتیک ها با یکدیگر مرتبط اند.
 توصیه می شود متناسب با محیط کسب و کار و فرهنگ سازمان در طول زمان مجموعه متنوعی از اقدامات به هم مرتبط را برای همراستاسازی به کار برده شود.
 مدیران امنیت باید همراستاسازی امنیت با کسب و کار را رهبری نمایند.
 مدیران ارشد امنیت می بایست به ایجاد اعتبار نزد اهالی کسب و کار بپردازند و اعتماد ایشان را به دست آورند.

اسلاید 8 :

مدل همراستاسازی راهبرد های امنیت اطلاعات با کسب و کار

 چارچوبی است متشکل از روش های متداول برای همراستاسازی امنیت با کسب و کار
 ارائه دهنده رویکردی چندوجهی برای توسعه استراتژی های همراستاسازی

اسلاید 9 :

1- فرهنگ

هدف: دستیابی به فرهنگ آگاهی از مخاطره
ویژگی: تغییر در فرهنگ، نگرش و رفتار کارکنان و مدیران زمان بر است.

 امنیت قبل از آنکه یک فناوری باشد، یک فرهنگ است.

اسلاید 10 :

1- فرهنگ
حاکمیت امنیت اطلاعات
Key Building Block فرهنگ آگاهی از مخاطره است
استفاده از ساختارهای حاکمیتی برای پاسخگو نمودن مالکان اطلاعات و فرآیندها نسبت به امنیت اطلاعات
ایجاد کمیته راهبری امنیت به عنوان یکی از اجزای ساختارهای حاکمیتی

اسلاید 11 :

برنامه آگاهی رسانی و آموزش مستمر
تغییر رفتار کارکنان مستلزم تغییر نگرش آن هاست
آگاهی رسانی، انگیزه لازم را برای تغییر رفتار در افراد ایجاد می کند
برنامه مستمر آگاهی رسانی و آموزش امنیتی ابزاری است برای تحت تاثیر قرار دادن نگرش افراد

اصول:

1- دسته بندی مخاطبان: کاربران، کارکنان IT، مدیران (برای هر دسته اهداف آموزشی، پیام ها و سازوکارهای انتقال متفاوتی نیاز هست)

2-تکرار مفاهیم کلیدی (رسانه و فرمت پیام می بایست تغییر کند) حفظ حساسیت مخاطبان نسبت به موضوعات مهم

3- ارزیابی مستمر برنامه های آموزشی و آگاهی رسانی

اسلاید 12 :

2- فرایند

 برگزیدن و به کار گرفتن یک رویکرد راهبردی فرایند-محور.
 فرایندهای رسمی، امکان سنجش پیوسته اثربخشی و کارآیی فعالیت های امنیتی را فراهم می کنند.
 راهبرد فرآیند محور می بایست، جایگزین «شیوۀ کنترلی همه منظوره» شود.

اسلاید 13 :

2- فرایند

اسلاید 14 :

3- شایستگی ها

 شناخت واژگان کاربردی پایه در عرصۀ کسب و کار
کسب مهارت از طریق: تحصیلات رسمی، دوره­های آموزشی یا از راه تعامل کارکنان با واحدهای کسب و کار
مهارت ها و شایستگی های مورد نیاز برای همراستاسازی در میان متخصصان امنیت اطلاعات معمول نیستند.
آگاهی نسبت به معماری سازمان، بهره­بری از ارتباطات فردی، مهارت های اثرگذار، دانش کسب­و­کار و مهارت های بازاریابی

اسلاید 15 :

4- فناوری

یکپارچگی محصولات امنیتی و کارکردهای مدیریت خدمات IT
کارکنان امنیتی نباید در باتلاق سرپرستی و کارهای تکراری فرو روند.

اسلاید 16 :

5- طرح ریزی

معماری سازمانی:

تعریف

استفاده از تکنیک های معماری سازمانی

گنجاندن امنیت در معماری سازمانی

تعریف نیازمندی های امنیتی در تناسب با اولویت های کسب و کار
اخذ توافق تصمیم گیران کسب و کار درباره نیازمندی های امنیتی
پشتیبانی مالی و معنوی مدیران ارشد از پیاده سازی نیازمندی های امنیتی

اسلاید 17 :

5- طرح ریزی

 استفاده از مفاهیم سرویس گرایی:

هدف: یکپارچه کردن فرآیندهای امنیت با فرآیندهای مدیریت خدمات IT
سازوکار: تعریف کارکردهای امنیتی در قالب خدمات امنیتی

نتیجه: حذف اقدامات امنیتی موردی و نهادینه شدن امنیت در چرخه ارائه خدمات IT

جایگاه امنیت در مدیریت خدمات IT:
service platform warranty (Spw)

اسلاید 18 :

مدیریت ریسک سازمانی
ERM: نمایی جامع از تمامی ریسک های سازمان

هدف: یکپارچه سازی گزارشات ارزیابی ریسک

چگونگی: درک جایگاه ریسک های امنیتی در مدیریت ریسک های سازمانی

نتیجه: ایجاد قابلیت شناسایی ریسک های امنیتی واقعی و ترجمه آن ها به کنترل های امنیتی اثربخش

اسلاید 19 :

6- ترویج ارزش

 سنجه های امنیت می بایست در پیوند با راهبردهای کسب و کار باشند.
بهترین واژگان برای بیان ارزش امنیت در کسب و کار همانا واژگان اقتصاد است.
 بیان منافع سرمایه گذاری در حوزه امنیت اطلاعات به زبان کسب و کار
 کسب و حفظ پشتیبانی فعالان کسب و کار،کاریست سخت و دشوار، اما ضروریست.
منافع مزبور به محرّک هایی همچون: فرهنگ، راهبرد و محیط هر سازمان وابسته اند.

اسلاید 20 :

برنامه امنیت اطلاعات « ساختار، فرآیندها، اجرا و بلوغ»

در متن اصلی پاورپوینت به هم ریختگی وجود ندارد. برای مطالعه بیشتر پاورپوینت آن را خریداری کنید