در زیر چک لیست کنترل امنیت سایبری برای شما فراهم شده است، که برای شناسایی وضعیت یک مجموعه اصلی توصیه شده از کنترل های سایبری امنیتی ( شامل سیاست ها، استانداردها و رویه ها) برای یک سازمان طراحی شده است. کنترل های امنیتی به منظور کاهش و (یا) از بین بردن تهدید(آسیب پذیری) مشخص شده که یک سازمان را در معرض خطر قرار می دهد طراحی شده است.
امنیت پرسنل
آیا کارمندان شما دارای کارت های شناسایی هستند؟
آیا تصویر فعلی در بخشی از کارت شناسایی است؟
آیا سطوح و نوع دسترسی مجاز (کارمند ، پیمانکار ، بازدید کننده) در کارت شناسایی درج شده است؟
آیا اعتبارات پیمانکاران خارجی را بررسی می کنید؟
آیا سیاستی برای رسیدگی به سابقه پیشینه کارمندان و پیمانکاران دارید؟
آیا وقتی کارمند / پیمانکار از شغل فعلی خود برکنار می شود، روشی برای قطع دسترسی به امکانات و سیستم های اطلاعاتی دارید؟
امنیت فیزیکی
آیا سیاست ها و رویه هایی دارید که اجازه دسترسی غیر مجاز فیزیکی را به سیستمهای اطلاعات الکترونیکی و امکاناتی را که در آنها قرار دارند مجاز و محدود کنید؟
آیا خط مشی ها و رویه های شما راهکارهایی برای کنترل دسترسی فیزیکی به مناطق امن شما ، مانند قفل درب ، سیستم های کنترل دسترسی ، افسران امنیتی یا نظارت تصویری را مشخص می کند؟
آیا دسترسی در سیستم شما کنترل شده است (مثال: تک نقطه، میز پذیرش یا میز امنیتی، لاگ ورود به سیستم و خروج از سیستم ، نشانهای موقتی برای بازدید کننده)؟
آیا بازدید کنندگان به مناطق کنترل شده جهت ورود و خروج همراه دارند؟
آیا رایانه های شخصی شما در دسترس کاربران غیرمجاز (مثلاً در مکانهای عمومی قرار ندارد) غیرقابل دسترسی هستند؟
آیا موقعیت تجهیزات و تجهیزات الکترونیکی شما از نظر فیزیکی ایمن هستند؟
آیا روش هایی برای جلوگیری از باقی ماندن رایانه ها در حالت ورود به سیستم ، (هر چند مختصر) وجود دارد؟
آیا صفحه رایانه ها بعد از 10 دقیقه استفاده نشدن قفل می شوند؟
آیا مودمها روی پاسخ خودکار خاموش (عدم پذیرش تماس های دریافتی) تنظیم شده اند؟
آیا در هنگام تعمیر تجهیزات روش هایی برای محافظت از داده ها دارید؟
آیا سیاست هایی در رابطه با امنیت لپ تاپ (مانند قفل کابل یا ذخیره ایمن) دارید؟
آیا شما برنامه تخلیه اضطراری دارید و در حال حاظر آماده است؟
آیا برنامه شما مناطق و امکاناتی را که باید در مواقع اضطراری فوراً پلمپ شوند، شناسایی می کند؟
آیا پرسنل اصلی از اینکه کدام مناطق و کدام امکانات لازم برای پلمپ شدن موجود هستند آگاه هستند و اینکه چگونه؟
مدیریت حساب های کاربری و رمز عبور ها
آیا سیاست ها و استانداردهای لازم جهت تأیید اعتبار الکترونیکی ، مجوز و کنترل دسترسی پرسنل و منابع به سیستم ها، برنامه ها و داده های اطلاعاتی خود را دارید؟
آیا اطمینان دارید که فقط پرسنل مجاز به کامپیوترهای شما دسترسی دارند؟
آیا سیاست اجرایی و اجباری مناسب برای رمز عبور مناسب درنظر گرفته اید؟
آیا رمزهای عبور شما ایمن هستند(به راحتی حدس زده نمی شوند ، بطور منظم تغییر داده می شوند؟ ، از گذرواژه های موقتی یا پیش فرض استفاده نکنید)؟
آیا شما رایانه (سیستم عامل) هایی تنظیم کرده اید که دیگران نتوانند گذرواژه کارمندان را هنگام ورود به سیستم مشاهده کنند؟
محرمانه بودن اطلاعات حساس
آیا داده های خود را طبقه بندی می کنید، داده های حساس را از غیر حساس تفکیک کرده اید؟
آیا شما مسئولیت های تعریف شده برای محافظت از داده های حساس تحت کنترل خود را تمرین می کنید؟
آیا با ارزش ترین یا حساس ترین داده های خود را رمزگذاری کرده اید؟
آیا سیاستی برای شناسایی اطلاعات (هر دو نسخه سخت و نرم) دارید؟
آیا مراحل مقابله با ذخیره اطلاعات کارت اعتباری را دستور کار خود دارید؟
آیا رویه هایی برای مدیریت اطلاعات شخصی و خصوصی دارید؟
آیا روشی برای ایجاد نسخه پشتیبان ، بازیابی پشتیبان و همچنین نسخه های بایگانی شده از اطلاعات مهم وجود دارد؟
آیا روشهایی مرتب کردن وسایل خود دارید؟
آیا کاغذهای زباله (که ممکن است اطلاعات حساس روی آن ها باشد) بایگانی یا خرد شده اند؟
آیا کمد بایگانی مورد استفاده توسط شما همیشه قفل است؟
آیا خط سیاست های شما برای استفاده از تجهیزات رایانه های قدیمی در برابر از بین رفتن داده ها محافظت می کند (به عنوان مثال با خواندن حافظه های قدیمی و هارد دیسک ها)؟
آیا روش های دفع زباله ی شما فن آوری ها و روش های مناسبی را برای غیرقابل استفاده و غیرقابل دسترس نمودن سخت افزار و رسانه های الکترونیکی (مانند خرد کردن CD و DVD ، درایوهای برقی الکترونیکی ، سوزاندن نوارها) و غیره در نظر گرفته است؟
بازیابی فاجعه
آیا برنامه تداوم برای تجارت فعلی خود دارید؟
آیا روشی برای تهیه نسخه پشتیبان، بازیابی نسخه پشتیبان و همچنین نسخه های بایگانی شده از اطلاعات مهم وجود دارد؟
آیا شما برنامه ارتباطات مدیریت اضطراری یا حادثه دارید؟
آیا در صورت بروز فاجعه یا حادثه امنیتی روشی برای اطلاع مقامات دارید؟
آیا در رویه شما اطلاعات تماس شخصی مشخص شده است تا در صورت رخداد حادثه ای با او تماس حاصل شود؟
آیا اطلاعات تماس شخص با توجه به نوع حادثه طبقه بندی و شناسایی شده اند؟
آیا رویه شما مشخص می کند چه کسی باید برقرار کننده ارتباط (در صورت وقوع حادثه) باشد؟
آیا مشخص کرده اید که در صورت رخداد موارد اضطراری یا حادثه چه کسی با مطبوعات یا مردم صحبت خواهد کرد؟
آیا برنامه ارتباطی شما شامل ارتباط خارج از وقت اداری کارمندان و در محیط خانواده های آنها نیز می شود؟
آیا می توان رویه های اضطراری را در صورت لزوم توسط افراد مسئول اجرا کرد؟
اطلاعیه های امنیتی و برگذاری آموزش
آیا اطلاعاتی در مورد امنیت رایانه به کارمندان خود ارائه می دهید؟
آیا به صورت مکرر دوره آموزشی برگذار می کنید؟
آیا به کارمندان آموزش داده می شود که نسبت به نقض امنیتی احتمالی هوشیار باشند؟
آیا به کارمندان شما در مورد ایمن نگه داشتن رمزهای عبور خود آموزش داده می شود؟
آیا کارمندان شما قادر به شناسایی و محافظت از داده های طبقه بندی شده از جمله اسناد کاغذی ، رسانه های قابل جابجایی و اسناد الکترونیکی هستند؟
آیا برنامه آگاهی و آموزش شما روشهای مناسبی برای مدیریت داده های کارت اعتباری (استانداردهای PCI) و اطلاعات شخصی و خصوصی(شماره های تأمین اجتماعی ، نام ، آدرس ، شماره تلفن و غیره) آموزش می دهد؟
موافقت و بازرسی
آیا اسناد امنیتی خود (مانند: خط سایست ها، استانداردها، رویه ها و دستورالعمل ها) را بطور منظم بررسی و ویرایش می کنید؟
آیا فرایندها و رویه های خود را برای رعایت سیاست ها و استانداردهای تعیین شده بررسی می کنید؟
آیا برنامه های روبرویی با شرایط اضطراری خود را بطور منظم تست می کنید؟
آیا مدیریت مرتباً لیست افرادی را که دسترسی فیزیکی به امکانات حساس یا دسترسی الکترونیکی به سیستم های اطلاعاتی دارند را بررسی می کند؟
ثبت ديدگاه