- عنوان کتاب: The Security Risk Assessment Handbook
- نویسنده/انتشارات: Douglas J. Landoll
- حوزه: مدیریت مخاطرات
- سال انتشار: 2022
- تعداد صفحه: 515
- زبان اصلی: انگلیسی
- نوع فایل: pdf
- حجم فایل: 29.3 مگابایت
اکثر سازمان ها نیاز به یک موقعیت ارشد در سازمان را برای پاسخگویی در مورد امنیت اطلاعات درک کرده اند. در حالی که شرح شغل و حتی محل کار در سازمان در هر صنعت و هر سازمان متفاوت است، مجموعه ای آشنا از مسئولیت ها معمولاً با این نقش مرتبط است. این مسئولیت ها عبارتند از: • ایجاد استراتژی برنامه امنیت اطلاعات: CISO تهدیدات سایبری کسب و کار، صنعت و نیازهای مشتری، محرک های کسب و کار، الزامات امنیت اطلاعات، چارچوبی که بر اساس آن برنامه امنیت اطلاعات ایجاد می شود، و افراد، فرآیندها و افراد را شناسایی می کند. فناوری که در آن برنامه مونتاژ می شود. فعالیتهای مرتبط با این مسئولیت عبارتند از: • همکاری با مدیریت اجرایی برای درک و مستندسازی ریسکپذیری امنیت اطلاعات سازمان. • به روز نگه داشتن امنیت اطلاعات و مقررات حفظ حریم خصوصی. • در جریان تغییرات در تهدیدات موثر بر سازمان. • ایجاد و مدیریت سیاست های امنیتی. • اجرای آگاهی و آموزش امنیتی مؤثر. و • برنامه ريزي مؤثر در برابر حوادث امنيتي اطلاعات و پاسخ به سوانح. • ارزیابی برنامه فعلی امنیت اطلاعات. CISO ابزارهایی را برای اندازه گیری اثربخشی کنترل های فعلی در اجرای برنامه امنیت اطلاعات ایجاد می کند. فعالیت های مرتبط با این مسئولیت عبارتند از: • اطمینان از راهبردهای مدیریت دسترسی فعلی و پیاده سازی ها به طور مناسب دسترسی به افراد مجاز را محدود می کند. • ایجاد معیارهای امنیت اطلاعات، فرآیندهای جمع آوری و برنامه نظارت. و • مدیریت یک برنامه ارزیابی امنیتی که شامل ارزیابی های آسیب پذیری، تست نفوذ و ارزیابی خطرات امنیتی باشد. • از حاکمیت مناسب کنترل های امنیتی اطمینان حاصل کنید. CISO فعالیت ها و فرآیندهای نظارتی را برای بررسی انطباق در داخل (و خارج از سازمان) ایجاد می کند تا مطمئن شود که کنترل های مناسب اجرا شده است. • ایجاد کنترل های نظارتی مناسب از قبیل تفکیک وظایف، چرخش شغلی، بررسی همتایان و تحریم ها برای عدم رعایت خط مشی سازمانی. و • واکنش به حوادث امنیتی و یافته های ارزیابی امنیتی از طریق حصول اطمینان از اصلاح مناسب و اولویت بندی ابتکارات امنیتی.
Most organizations have realized the need for a senior position within the organization to be accountable for information security. While the job description and even the placement within the organization will differ in each industry and each organization, a familiar set of responsibilities are typically associated with this role. These responsibilities include: • Establishing information security program strategy: The CISO identifies the business cyber threats, industry and customer requirements, business drivers, information security requirements, framework upon which to build the information security program, and the peo-ple, process, and technology in which to assemble the program. Activities associated with this responsibility include: • Working with executive management to understand and document the organization’s information security risk appetite.1 • Designing information security architecture and selecting appropriate controls to meet the established information security risk appetite. • Keeping current on information security and privacy regulations. • Keeping current on changes to the threats impacting the organization. • Establishing and managing security policies. • Implementing effective security awareness and education; and • Planning effective information security incident and disaster response. • Assessment of the current information security program. The CISO establishes means to measure the effectiveness of the current controls in implementing the information security program. Activities associated with this responsibility include: • Ensuring current access management strategies and implementations appropriately restrict access to authorized individuals. • Establishing information security metrics, collection processes, and monitoring program; and • Managing a security assessment program to include vulnerability assessments, penetration testing, and security risk assessments. • Ensure appropriate governance of the security controls. The CISO creates oversight activ-ities and processes to check on the compliance within (and external to) the organization to be sure that appropriate controls are implemented. • Establishing appropriate oversight controls such as separation of duty, job rotation, peer review, and sanctions for non-compliance with organizational policy; and • Reacting to security incidents and security assessment findings by ensuring appropriate remediation and prioritization of security initiatives.
این کتاب را میتوانید از لینک زیر بصورت رایگان دانلود کنید:
Download: The Security Risk Assessment Handbook
نظرات کاربران