امنیت دشوار است، امنیت گران قیمت است . این دو عبارت بازگو کننده نظرات افرادی است که برای ارتباطات الکترونیکی خود نیاز مبرم به امنیت را دریافته اندو به دنبال آن هستند. کلمه “امنیت شبکه های تجاری” یا “Enterprice network security” با افزایش درک شرکتها از ریسکهای موجود و همچنین توسعه نرم افزارهای کاربردی در محاورات متداول تر شده است.گرچه جمله ذیل در ابتدا ممکن است نگران کننده باشد، اما حقیقتی است انکار ناپذیر اینکه “امنیت مطلق وجود ندارد” زیرا: تنظیمات تجهیزات ناکافی است، حملات جدیدی طراحی می شوند و نرم افزارها باگهای امنیتی دارند که لازم است به آنها پرداخته و رفع گردد. بهترین کارهایی که هر شرکت می تواند انجام دهد عبارتند از تشخیص ریسکها و تهدیدات امنیتی و نقاط ضعف ها، تصمیم گیری بر این موضوع که چه موارد بحرانی وجود دارد، سپس پیاده سازی سیاستهای امنیتی است با کارآیی بالا و مطلوب. همچنین این مسئله مهم است که تحقیق و بررسی شود که آیا سیاستهای امنیتی بدرستی اجرا میشوند که این امر متضمن مونیتورینگ و نظارت فعال ترافیک روی شبکه و انجام بررسی دوره ای مجوزهای امنیتی است. امنیت شبکه موضوعی است پیچیده. این مساله تا حدودی ناشی از وفور تکنولوژیهای امنیتی قابل دسترس میباشد. در اینجاست که برای شروع پیاده سازی استراتژیهای امنیتی، با توجه به امکانات قابل دسترس و تشخیص تهدیدات بالقوه و بالفعل باید با تکیه بر مشاورین متخصص سریعاً اقدام نمود.
حفاظت از زیرساختهای حیاتی ملی برای ایجاد جامعهای امن، ایمن و مقاوم در قبال حملات سایبری و سایر مخاطرات طبیعی و انسانی امری ضروری است. در این راستا زیرساختهای حیاتی نیازمند سازوکارهایی برای حفظ محرمانگی، یکپارچگی و دسترسپذیری داراییهای خود میباشند. با توجه به نوپایی مفهوم امنیت فضای تولید و تبادل اطلاعات و با عنایت به میزان تأثیر آن بر امنیت ملی کشور، پرداختن به این موضوع و نهادینهسازی آن بهعنوان یک ضرورت و اولویت تلقی میشود.
مرکز مدیریت راهبردی افتای ریاست جمهوری در اسفندماه سال ۹۷ نسخه جدید طرح امن سازی زیرساختهای حیاتی در قبال حملات سایبری را به تمامی دستگاههای اجرایی دارای زیرساخت حیاتی کشور ابلاغ نمود. در این مطلب تلاش شده است، خلاصهای از الزامات در نظر گرفته شده در مستند مذکور ارائه گردد. در بخش اول این مقاله مرکز مدیریت راهبردی افتا و اهداف آن معرفی شده و در ادامه به الزامات و مخاطبین طرح که پیاده سازی موارد برای آنها الزامی است اشاره شده است.
معرفی مرکز مدیریت راهبردی افتا ریاست جمهوری
پیشینه تشکیل مرکز مدیریت راهبردی افتا به تدوین سند راهبردی افتا باز میگردد. در سال ۱۳۸۲ شورای عالی افتا بر اساس ضرورتها، توسط دولت وقت ایجاد و ملزم به تدوین این سند برای کشور شد. سند تدوینشده توسط شورای مذکور، در سال ۱۳۸۴ توسط هیئت دولت به تصویب رسید و به دستگاهها ابلاغ شد.
پس از تصویب و ابلاغ سند راهبردی افتا توسط هیئتوزیران، مرکز مدیریت راهبردی افتا، بهمنظور برنامهریزی، سیاستگذاری و نظارت بر حسن اجرای دستورالعملهای ابلاغی در دستگاههای اجرایی و نیز بهعنوان دبیرخانه سند در سال ۱۳۸۶ تشکیل شد. سند راهبردی افتا که مأموریت اجرای آن توسط دولتهای نهم، دهم و یازدهم به این مرکز محول شده است، در سال ۱۳۸۷ موردبازنگری قرار گرفت. موضوع مسئولیت مرکز در اجرای سند نیز توسط معاون اول رؤسای محترم جمهور در هر دوره، بهمنظور همکاری دستگاههای اجرایی به آنها ابلاغ شد. در ذیل، عناوین مستندات سیر تشکیل مرکز و مأموریتهای محوله آن ارائه شده است:
- تأسیس شورای عالی افتا – سیزدهم اسفند سال ۱۳۸۲
- تدوین سند راهبردی افتا توسط شورای عالی افتا و تصویب در هیئت محترم وزیران – سال ۱۳۸۴
- تأسیس مرکز مدیریت راهبردی افتا – سال ۱۳۸۶
- بازنگری سند راهبردی افتا و ابلاغ آن – اسفندماه ۱۳۸۷
- بخشنامه دبیر محترم شورای عالی و رئیس مرکز ملی فضای مجازی در بهمنماه سال ۹۴
سیاستهای کلان مرکز مدیریت راهبردی افتا
سیاستهای کلی این مرکز را میتوان در محورهای ذیل دستهبندی نمود:
- اشراف بر فناوریهای نوین و بهرهگیری از آنها
- انجام امور رگولاتوری (تنظیم مقررات)، ساماندهی، نظارت و هماهنگی حوزه افتا در سطح کشور
- بهرهگیری از تدابیر صحیح و فنی، جهت پیشگیری از مخاطرات امنیتی، تشخیص بهموقع، مقابله صحیح و هوشمندانه با مخاطرات
- توجه اکید به رویکردهای ایجابی در انجام مأموریتها و در حد امکان دوری از رویکردهای سلبی
- امنسازی مدبرانه فضای تولید و تبادل اطلاعات بهمنظور عدم توقف استمرار ارائه خدمات
- انجام اقدامات حمایتی از صنعت افتای بومی کشور
- تأسیس مراکز افتا در استانها با رویکرد نظارتی و کنترلی
مخاطبین طرح
مخاطب اصلی این طرح کلیه زیرساختها و دستگاههای دارای طبقهبندی کشور بوده و سایر دستگاهها نیز میتوانند به فراخور نیاز خود از آن استفاده نمایند. آنچه در این بخش ضروری است، این موضوع است که دستگاه ما بهعنوان یک زیرساخت حیاتی به شمار میرود یا خیر. زیرساختهای حیاتی (Critical Infrastructure) بهصورت کلی به آن دسته از سامانهها، خدمات یا حتی عملیاتی اطلاق میشود که اختلال یا تخریب آنها موجب تضعیف یا ناتوانی در خدمات بهداشت عمومی، تجارت و اقتصاد، امنیت ملی یا هر ترکیب دیگری از این قبیل موارد شود. این موارد شامل سازمانهای فعال در حوزه ارتباطات، انرژی، سامانههای بانکی، خطوط حملونقل، بهداشت عمومی و خدمات ضروری دولتی میشود.
در حال حاضر لیست مشخصی از سازمانها و دستگاههای حیاتی در کشور وجود ندارد (و یا توسط نگارنده این مقاله یافت نشده است) و تصمیمگیری در این خصوص معمولا بر مبنای استعلام از مرکز مدیریت راهبردی افتا صورت می گیرد. همچنین تطابق با الزامات آورده شده در این طرح، برای مخاطبین آن، به عنوان یک الزام مطرح می باشد و در صورت اقدام این مخاطبین برای ممیزی و دریافت گواهینامه ملی سیستم مدیریت امنیت اطلاعات -ISMS، علاوه بر الزامات استاندارد مرجع -ISO 27001 اجرای الزامات این طرح نیز باید مورد تایید قرار بگیرد.
خلاصه مدیریتی طرح
هدف از این طرح، تأمین امنیت فضای تولید و تبادل اطلاعات سازمان و جلوگیری از بروز اختلال در ارائه سرویسهای حیاتی آن است. در این طرح الزاماتی برای ایجاد، پیادهسازی، نگهداری و بهبود مستمر امنیت اطلاعات در حوزههای زیرساختی ارائهشده است. همچنین سازمان نیازمند ساختاری برای تأمین منابع انسانی و مالی بهمنظور اجرای طرح است. این ساختار متناسب با شرایط و اهداف سازمان میتواند در قالب کمیته اجرای طرح یا ایجاد واحدی سازمانی باشد. تشکیل این ساختار بهعنوان پیشنیازی برای اجرای سایر الزامات طرح بوده و پس از انجام اقدامات فوق در سازمان، لازم است طرح امنسازی متناسب با نقشه راه اجرایی گردد. (برای کسب اطلاعات بیشتر به مقاله سازماندهی امنیت و ضرورت وجود واحد و مدیر امنیت اطلاعات – CISO رجوع شود)
نقشه راه اجرای طرح امنسازی
زیرساختهای حیاتی لازم است بر اساس گامهای نقشه راه، نسبت به اجرای طرح امن سازی اقدام نمایند. گامهای نقشه در شکل زیر مشخصشده است.
الزامات طرح امنسازی
این الزامات، کنترلهای حداقلی بهمنظور کاهش مخاطرات دارای اولویت در زیرساختها است و هدف از این بخش جهتدهی راهبردی به فعالیتهای ملی در حوزه امنیت سایبری زیرساختها و ارائه یک نقشه راه، برای توسعه همزمان امنیت سایبری در بخشهای مختلف کشور در سالهای پیش رو است. سطح بلوغ امنیتی مطلوب سازمان در هر یک از الزامات این طرح، میتواند بر اساس سطح قابلپذیرش مخاطرات سازمان تعیین گردیده و این سطح در برنامه عملیاتی سازمان تصریح و به تأیید مرکز افتا خواهد رسید.
مدیریت مخاطرات
راهبرد اصلی طرح امنسازی زیرساختهای حیاتی در قبال حملات سایبری، مدیریت مخاطرات است. مدیریت مخاطرات فرآیندی مستمر است که در آن تهدیدات و آسیبپذیریهای موجود در یک سازمان شناسایی و ارزیابی میشوند و از طریق انجام اقدامات امنسازی که اولویت بیشتری دارند، مخاطرات مدیریت میشوند. لازمه این امر وجود یک رویکرد مدیریت مخاطرات سیستماتیک متناسب با بافتار، شرایط و مخاطرات خاص سازمان است که بدین منظور، امروزه استانداردها و روشهای متعددی نظیر ISO/IEC 27005 ،ISO 31000 ،ISA/IEC 62443 و … چارچوبهای مناسبی را برای مدیریت مخاطراتی که به امنیت اطلاعات لطمه میزند در اختیار سازمانها قرار میدهند. سازمان باید مدیریت مخاطرات امنیت را مطابق با الزامات شکل زیر تعیین نماید.
این فرایند شامل شناخت بافتار سازمان است که شامل ساختار سازمانی، نقشها و مسئولیتها، خطمشیها و … است. در این راستا باید محدوده و قلمرو فرایند مدیریت مخاطرات و معیارهای ارزیابی تعیین گردد و در گام بعد در مرحله ارزشیابی مخاطره، شناسایی مخاطره، تحلیل مخاطره و ارزیابی مخاطره صورت میپذیرد.
پایش و کنترل سایبری
با توسعه روزافزون فناوری اطلاعات و نیاز سازمانها به استفاده از بسترهای الکترونیکی و مجازی و پیچیدگی و تنوع حملات و تهدیدات سایبری، صرفاً بهکارگیری تجهیزات مرسوم امنیتی مانند فایروال کافی نیست، زیرا این تجهیزات هر یک بهطور منفرد بخشی از نیازهای امنیتی سازمان را مرتفع میسازد. لذا بهمنظور شناسایی حملات و تهدیدات سایبری پیشرفته، استفاده از راهکارهای پایش یکپارچه و هوشمند رویدادهای امنیتی ضروری است. مطابق با الزامات این بخش سازمان باید مرکز عملیات امنیت را با استفاده از ظرفیتهای داخل سازمان و یا با استفاده از ظرفیت سازمان بالادستی ایجاد کند.
اهداف فرآیندی در این بخش شامل موارد زیر است:
- پایش بر خط رویدادهای امنیتی که باهدف تشخیص ناهنجاریهای ترافیکی و ممیزی انطباق عملکردها با خطمشیهای امنیتی سازمان قابل انجام است.
- تحلیل عمیق رویدادهای امنیتی که پس از بررسی و صحت سنجی رویدادهای امنیتی گزارششده و در صورت تأیید وقوع حادثه، راهکار پیشگیری و مقابله، تدوین و به تیم سایبری ارسال میگردد.
- پایش و تحلیل آسیبپذیریها
- معماری مرکز عملیات امنیت که ضمن احصاء نیازمندیهای فنی بخشهای مختلف و نظارت بر طراحی، پیادهسازی و عملکرد مطلوب این سامانهها، راهبری، نگهداری و بهروزرسانی آنها را همگام با فناوریهای روز این حوزه بر عهده دارد.
مؤلفه فناوری در این بخش نیز شامل دو المان زیر است:
- سامانه مدیریت رویداد و اطلاعات امنیتی (SIEM)
- آزمایشگاههای امنیتی جهت بهبود وضعیت عملکرد مرکز عملیات امنیت
مدل عملیاتی مرکز عملیات امنیت
مدیریت حوادث سایبری (IT/OT)
آن دسته از رویدادهایی که موجب نقض اصول و سیاستهای فضای مجازی شود، حادثه سایبری نامیده میشود. هدف از مدیریت حوادث سایبری، کنترل و به حداقل رساندن خسارت، حفاظت از شواهد، بازیابی سریع و مؤثر سیستمها، جلوگیری از تکرار حوادث مشابه و به دست آوردن دید مناسب نسبت به تهدیدات علیه سازمان است.
مؤلفه فرآیند در مدیریت حوادث سایبری به دودسته اعلام هشدار حوادث و پاسخگویی به حوادث تقسیم میگردد؛ که هر دسته شامل فرایندهای داخلی و ارتباط با سایر واحدها مطابق شکل زیر است.
بخش پاسخگویی به حوادث خود نیز به سه دسته فعالیتهای قبل از حادثه، فعالیتهای حین حادثه و فعالیتهای بعد از حادثه تقسیم میشود.
مؤلفه فناوری شامل استفاده از تجهیزات و ابزارهای بروز و کارآمد، ابزارهای تهیه ایمیج، ابزارهای بازیابی اطلاعات، ابزارهای تست و عیبیابی شبکهها، ابزارهای مقابله با بدافزار قابل بوت و قابلنصب و … است.
مدیریت تهدیدات بدافزاری
امروزه بدافزارها بهعنوان یکی از جدیترین تهدیدات فضای مجازی هستند. انجام عملیات شنود و جاسوسی، سرقت، تخریب اطلاعات، تخریب سامانهها، کاهش اعتبار و به خطر افتادن کسبوکار سازمان، بخشی از خطرات بدافزارها است.
از مؤلفههای تشکیلدهنده واحد مقابله با بدافزار میتوان به سه مؤلفه نیروی انسانی، فرآیند و فناوری اشاره نمود.
مؤلفه نیروی انسانی شامل جذب نیروی انسانی متخصص و ماهر، تعیین نقشها و مسئولیتها، تدوین و اجرای برنامه آموزشی است.
مؤلفه فرآیند شامل شناسایی و جمعآوری شواهد، تحلیل بدافزار، مقابله با بدافزار است.
جهت تحلیل بدافزار، محیطی امن و ایزوله آزمایشگاهی نیاز است و این فرایند شامل مراحل زیر است.
- تحلیل ایستای اولیه: جهت کسب آگاهی از عملکرد و مشخصات فایل مشکوک بدون اجرای فایل برنامه در سیستم، از طریق ابزارهای مختلفی تحلیل میشود.
- تحلیل رفتاری: هدف از تحلیل رفتاری، تحلیل رفتار شبکهای شامل استخراج دامنهها و آدرس آیپیهای مورداستفاده توسط بدافزار
- تحلیل کد: با استفاده از ابزارهای دیباگر و Disassembler
- تحلیل حافظه: این نوع تحلیل به بررسی حافظه تصادفی سیستم آلوده میپردازد تا نشانههایی از برنامه مشکوک را بازیابی کند.
- مستندسازی نتایج: خروجی فرآیند تحلیل بدافزار
مقابله با بدافزار: هدف پیشگیری از نصب بدافزار، تشخیص و پاکسازی بدافزارهای شناساییشده از روی کلیه تجهیزات است. خروجی این فرایند شامل ابزار شناسایی، راهنما و دستورالعمل پاکسازی و راهکارهای امنیتی برای پیشگیری از آلودگی سایر سامانهها.
مدیریت تداوم کسبوکار
مدیریت تداوم کسبوکار، مدیریت بازیابی و تداوم فعالیت و سرویسهای حیاتی کسبوکار در هنگام وقوع حوادث و شرایط بحرانی است. پس باید با برنامهریزی منسجم از تداوم ارائه این خدمات حتی در زمان وقوع حوادث احتمالی اطمینان پیدا کرد که این امر در قالب مدیریت تداوم کسبوکار سازمان محقق میگردد.
از مؤلفههای تشکیلدهنده مدیریت تداوم کسبوکار میتوان به سه مؤلفه نیروی انسانی، فرآیند و فناوری اشاره نمود.
مؤلفه نیروی انسانی شامل جذب نیروی انسانی متخصص و ماهر، تعیین نقشها و مسئولیتها و تدوین و اجرای برنامه آموزشی است.
در مؤلفه فرآیند دستیابی به اهدافی چون پیشگیری از حادثه، شناسایی حادثه، پاسخ به حادثه، بازیابی و بهبود دنبال میگردد.
فرایند مدیریت تداوم کسبوکار از چهار گام به شرح زیر تشکیلشده است.
- شناخت سازمان
- تحلیل اثرات کسبوکار
- تدوین طرحهای مدیریت تداوم کسبوکار
- تمرین، نگهداری و بازنگری جهت اطمینان از اثربخشی طرحهای تداوم کسبوکار و بازیابی از فاجعه
در راستای فرایند مدیریت کسبوکار باید حداقل سالیانه یک مانور طرح تداوم کسبوکار جهت مشخص شدن نقاط ضعف طرحهای تدوینشده اجرا گردد.
زیرساخت محرمانگی و استناد پذیری
زیرساخت محرمانگی و استناد پذیری نیازمند تدوین سیاستها، ضوابط، رویهها در بعد مدیریتی و بهرهگیری از ابزارهای امنیت اطلاعات و ارتباطات در بعد فنی بوده که محرمانگی اطلاعات را برای سازمان تضمین مینماید. قلمرو این زیرساخت در بعد فنی شامل الگوریتمهای رمزنگاری، پروتکلهای امنیتی، زیرساخت کلید عمومی و… است. لزوم استقرار زیرساخت محرمانگی و استناد پذیری در سازمان، جلوگیری از افشاء دادهها و اطلاعاتی است که باید محافظت شوند و در اختیار افراد غیرمجاز قرار نگیرند.
تمامی کاربردهای زیرساخت محرمانگی و استناد پذیری در بستر زیرساخت کلید عمومی قابل تحقق است. هر نوع داده یا مبادله الکترونیکی مطرح در حوزه عملیات خصوصی و غیرخصوصی که تهدید امنیتی در مورد آن مطرح باشد، جزء مواردی است که میتوان از زیرساخت کلید عمومی برای امن سازی آن بهره گرفت.
از موارد پرکاربرد زیرساخت محرمانگی سازمانها میتوان به مدیریت کلیدهای رمزنگاری، امنسازی کاربردهای تحت وب، امنسازی برنامه اتوماسیون اداری، تصدیق هویت و … اشاره نمود.
مدیریت هویت و دسترسی
کاربران در سازمان بهعنوان مهمترین بازیگر در فرآیندهای سازمان، دارای دسترسی به منابع مختلف سازمان هستند. ایجاد، کنترل و مدیریت این دسترسیها از وظایف اصلی تعریفشده در مدیریت هویت و دسترسی است. مدیریت هویت و دسترسی، چهارچوبی است که در آن سازمان سیاستها و فرایندهای خود در چرخه حیات هویتهای دیجیتال را تبیین مینماید. این چرخه شامل: تعریف هویت دیجیتال، ایجاد و مجازشماری دسترسی به منابع و داراییهای دیجیتال و فیزیکی سازمان و حذف هویت و دسترسیها در مواقعی که کارمند مسئولیت خود را به هر دلیلی از دست میدهد.
لازم است سازمان خطمشی مدیریت هویت و دسترسی شامل مدیریت چرخه حیات هویتهای دیجیتال، کنترل دسترسی، تجهیزات قابلحمل شامل رسانههای قابل سازمانی و دستگاههای شخصی، مدیریت رسانههای دیجیتال و غیر دیجیتال، ارتباطات راه دور و همچنین حفاظت فیزیکی خود را تدوین و اجرایی نماید.
مدیریت زنجیری تأمین
مهمترین اقدام برای شناسایی بهموقع موارد نفوذ و اختلال در زیرساختهای حیاتی کشور، مدیریت همهجانبه فنی و حفاظتی زنجیره تأمین، در فرآیند طراحی، پیادهسازی، بهرهبرداری و نگهداری از زیرساختهای حیاتی کشور است. لازم است سازمان خطمشی مدیریت زنجیره تأمین خود را تدوین و اجرایی نماید و در آن مواردی همچون تعیین سطح کیفی ارائه خدمت (SLA)، اخذ تعهدنامه محرمانگی و عدم افشاء اطلاعات، استفاده از خدمات برونسپاری شده مطابق “آییننامه ساماندهی خدمات امنیت فضای تولید و تبادل اطلاعات”، نظارت بر فعالیتهای شرکت ارائهدهنده خدمت و … را لحاظ کند.
امن سازی زنجیره تأمین: در این راستا رعایت موارد زیر الزامی است.
- نیازسنجی و طراحی
- انتخاب تأمینکنندگان
- خرید/ تولید داخلی و خارجی: شامل مواردی چون استعلام از مرکز افتا پیش از خرید محصولات خارجی مورداستفاده در سامانههای ملی، استفاده از محصولات و سامانههای داخلی دارای گواهی ارزیابی امنیتی مورد تأیید مرکز افتا، انعقاد قرارداد رسمی برونسپاری و تدوین پیوست امنیتی برای آن و … اشاره نمود.
- انتقال موارد خریداریشده و انبارداری: شامل استفاده از فرآیند، عناصر و عوامل کنترلشده در توزیع، تحویل و انبارداری، اعتبارسنجی اصالت و اطمینان از عدم دستکاری محصولات از زمان خرید تا تحویل با استفاده از سازوکارهای امنیتی است.
- نصب، راهاندازی و اجرا: شامل تأمین و نگهداری امن مستندات محصولات و سامانهها، اعم از مستندات تحلیل و طراحی، معماری، پیادهسازی، تست و ارزیابی بهطوریکه در زمان موردنیاز در دسترس افراد مجاز باشد، پیکربندی امن و اعمال تنظیمات امنیتی در سامانه بهمنظور مقاومسازی و امن سازی، ممیزی بر روی خدمات دریافتی توسط کارفرما وفق مفاد قرارداد و … است.
- راهبری، بهرهبرداری و خاتمه: شامل ایجاد سازوکار لازم جهت اطلاع بهموقع از نسخههای جدید، وصلهها و راهکارهای رفع آسیبپذیریهای منتشرشده برای سامانهها، پایش مداوم محصولات و سامانههای مورداستفاده، پیگیری تعهدات قراردادی و … توسط سازمان پس از خاتمه قرارداد برونسپاری است.
آموزش و فرهنگسازی
منشأ بسیاری از حملات سایبری عامل انسانی است که عموماً بهصورت ناخواسته و ناآگاهانه زمینه را جهت نفوذ و حمله فراهم میکند. خطمشی امنیت اطلاعات سازمان باید بهگونهای باشد که افراد قبل از دسترسی به سیستمهای حساس، درزمینهٔ امنیت سایبری، آموزش و آگاهی لازم را کسب کنند و با خطمشیها و رویههای امنیتی سازمان آشنا شوند.
در این زمینه لازم است سازمان خطمشی آموزش و فرهنگسازی خود را تدوین و اجرایی نماید. برنامه آموزش امنیت اطلاعات سازمان باید متناسب با نقشها و مسئولیتهای مبتنی با “سند معرفی دورههای آموزشی افتا” باشد، بهمنظور ارتقای فرهنگ امنیت سایبری، حداقل یک همایش عمومی برگزار کند، ارزیابی میزان آمادگی و آگاهی کارکنان در حوزه امنیت سایبری بهصورت دورهای انجام شود و … .
مدل بلوغ طرح امنسازی
سازمان نیازمند ساختاری برای تأمین منابع انسانی و مالی بهمنظور اجرای طرح است و تشکیل این ساختار پیشنیازی برای اجرای سایر الزامات طرح است. لذا بدین منظور در مدل بلوغ، دامنهای با عنوان “سازمان امنیت” در نظر گرفتهشده است.
باهدف ایجاد قابلیت سنجش پیشرفت، هر دامنه به سطوحی که به آن سطح شاخص بلوغ گفته میشود تقسیمشده است. این سطوح از یک تا ۴ شمارهگذاری شده و دارای اولویت میباشند. سازمان باید بر اساس اقدامات هر یک از سطوح در دامنههای مختلف، ارزیابی دقیقی از اقداماتی که انجام داده داشته باشد و درنهایت بلوغ سازمان خود را اندازهگیری نماید.
ممیزی اجرای برنامه عملیاتی امنسازی
پس از پیادهسازی و اجرای برنامههای عملیاتی تدوینشده، باید از اجرای اثربخش برنامه مذکور اطمینان حاصل گردد. در این راستا ضروری است ممیزیهای مستمر و ادواری در سازمان انجام شود. لذا مرکز افتا موظف است تا کلیه ممیزیها را بر اساس ابزار ارزیابی سطح بلوغ ارائهشده، مدیریت و سازمان را از نتیجه مطلع نماید.
ممیزی داخلی: سازمان باید روالهای مشخصی را برای برگزاری ممیزی داخلی تدوین کرده و بهطور منظم نسبت به برگزاری آنها اقدام کند. جهت اطمینان از اجرای الزامات، سازمان گزارشهای لازم را بر اساس فرمهای ممیزی مرکز افتا تهیه و جهت بررسی و اخذ تأییدیه به مرکز افتا ارسال مینماید.
ممیزی خارجی: جهت نظارت بر روند اجرای برنامههای عملیاتی و اثربخشی آنها ممیزی خارجی توسط مرکز افتا انجام خواهد شد. سازمان پس از اخذ گزارشهای ممیزی خارجی، نسبت به رفع انطباقها اقدام نموده و در صورت نیاز، درخواست ممیزی مجدد از مرکز افتا را خواهد نمود.