در زیر چک لیست کنترل امنیت سایبری برای شما فراهم شده است، که برای شناسایی وضعیت یک مجموعه اصلی توصیه شده از کنترل های سایبری امنیتی ( شامل سیاست ها، استانداردها و رویه ها) برای یک سازمان طراحی شده است. کنترل های امنیتی به منظور کاهش و (یا) از بین بردن تهدید(آسیب پذیری) مشخص شده که یک سازمان را در معرض خطر قرار می دهد طراحی شده است.

 

امنیت پرسنل

  • آیا کارمندان شما دارای کارت های شناسایی هستند؟

  • آیا تصویر فعلی در بخشی از کارت شناسایی است؟

  • آیا سطوح و نوع دسترسی مجاز (کارمند ، پیمانکار ، بازدید کننده) در کارت شناسایی درج شده است؟

  • آیا اعتبارات پیمانکاران خارجی را بررسی می کنید؟

  • آیا سیاستی برای رسیدگی به سابقه پیشینه کارمندان و پیمانکاران دارید؟

  • آیا وقتی کارمند / پیمانکار از شغل فعلی خود برکنار می شود، روشی برای قطع دسترسی به امکانات و سیستم های اطلاعاتی دارید؟

امنیت فیزیکی

  • آیا سیاست ها و رویه هایی دارید که اجازه دسترسی غیر مجاز فیزیکی را به سیستم‎های اطلاعات الکترونیکی و امکاناتی را که در آن‎ها قرار دارند مجاز و محدود کنید؟

  • آیا خط مشی ها و رویه های شما راهکارهایی برای کنترل دسترسی فیزیکی به مناطق امن شما ، مانند قفل درب ، سیستم های کنترل دسترسی ، افسران امنیتی یا نظارت تصویری را مشخص می کند؟

  • آیا دسترسی در سیستم شما کنترل شده است (مثال: تک نقطه، میز پذیرش یا میز امنیتی، لاگ ورود به سیستم و خروج از سیستم ، نشان‎های موقتی برای بازدید کننده)؟

  • آیا بازدید کنندگان به مناطق کنترل شده جهت ورود و خروج همراه دارند؟

  • آیا رایانه های شخصی شما در دسترس کاربران غیرمجاز (مثلاً در مکانهای عمومی قرار ندارد) غیرقابل دسترسی هستند؟

  • آیا موقعیت تجهیزات و تجهیزات الکترونیکی شما از نظر فیزیکی ایمن هستند؟

  • آیا روش هایی برای جلوگیری از باقی ماندن رایانه ها در حالت ورود به سیستم ، (هر چند مختصر) وجود دارد؟

  • آیا صفحه رایانه ها بعد از 10 دقیقه استفاده نشدن قفل می شوند؟

  • آیا مودم‎ها روی پاسخ خودکار خاموش (عدم پذیرش تماس های دریافتی) تنظیم شده اند؟

  • آیا در هنگام تعمیر تجهیزات روش هایی برای محافظت از داده ها دارید؟

  • آیا سیاست هایی در رابطه با امنیت لپ تاپ (مانند قفل کابل یا ذخیره ایمن) دارید؟

  • آیا شما برنامه تخلیه اضطراری دارید و در حال حاظر آماده است؟

  • آیا برنامه شما مناطق و امکاناتی را که باید در مواقع اضطراری فوراً پلمپ شوند، شناسایی می کند؟

  • آیا پرسنل اصلی از اینکه کدام مناطق و کدام امکانات لازم برای پلمپ شدن موجود هستند آگاه هستند و اینکه چگونه؟

مدیریت حساب های کاربری و رمز عبور ها

  • آیا سیاست ها و استانداردهای لازم جهت تأیید اعتبار الکترونیکی ، مجوز و کنترل دسترسی پرسنل و منابع به سیستم ها، برنامه ها و داده های اطلاعاتی خود را دارید؟

  • آیا اطمینان دارید که فقط پرسنل مجاز به کامپیوترهای شما دسترسی دارند؟

  • آیا سیاست اجرایی و اجباری مناسب برای رمز عبور مناسب درنظر گرفته اید؟

  • آیا رمزهای عبور شما ایمن هستند(به راحتی حدس زده نمی شوند ، بطور منظم تغییر داده می شوند؟ ، از گذرواژه های موقتی یا پیش فرض استفاده نکنید)؟

  • آیا شما رایانه (سیستم عامل) هایی تنظیم کرده اید که دیگران نتوانند گذرواژه کارمندان را هنگام ورود به سیستم مشاهده کنند؟

محرمانه بودن اطلاعات حساس

  • آیا داده های خود را طبقه بندی می کنید، داده های حساس را از غیر حساس تفکیک کرده اید؟

  • آیا شما مسئولیت های تعریف شده برای محافظت از داده های حساس تحت کنترل خود را تمرین می کنید؟

  • آیا با ارزش ترین یا حساس ترین داده های خود را رمزگذاری کرده اید؟

  • آیا سیاستی برای شناسایی اطلاعات (هر دو نسخه سخت و نرم) دارید؟

  • آیا مراحل مقابله با ذخیره اطلاعات کارت اعتباری را دستور کار خود دارید؟

  • آیا رویه هایی برای مدیریت اطلاعات شخصی و خصوصی دارید؟

  • آیا روشی برای ایجاد نسخه پشتیبان ، بازیابی پشتیبان و همچنین نسخه های بایگانی شده از اطلاعات مهم وجود دارد؟

  • آیا روشهایی مرتب کردن وسایل خود دارید؟

  • آیا کاغذهای زباله (که ممکن است اطلاعات حساس روی آن ها باشد) بایگانی یا خرد شده اند؟

  • آیا کمد بایگانی مورد استفاده توسط شما همیشه قفل است؟

  • آیا خط سیاست های شما برای استفاده از تجهیزات رایانه های قدیمی در برابر از بین رفتن داده ها محافظت می کند (به عنوان مثال با خواندن حافظه های قدیمی و هارد دیسک ها)؟

  • آیا روش های دفع زباله ی شما فن آوری ها و روش های مناسبی را برای غیرقابل استفاده و غیرقابل دسترس نمودن سخت افزار و رسانه های الکترونیکی (مانند خرد کردن CD و DVD ، درایوهای برقی الکترونیکی ، سوزاندن نوارها) و غیره در نظر گرفته است؟

بازیابی فاجعه

  • آیا برنامه تداوم برای تجارت فعلی خود دارید؟

  • آیا روشی برای تهیه نسخه پشتیبان، بازیابی نسخه پشتیبان و همچنین نسخه های بایگانی شده از اطلاعات مهم وجود دارد؟

  • آیا شما برنامه ارتباطات مدیریت اضطراری یا حادثه دارید؟

  • آیا در صورت بروز فاجعه یا حادثه امنیتی روشی برای اطلاع مقامات دارید؟

  • آیا در رویه شما اطلاعات تماس شخصی مشخص شده است تا در صورت رخداد حادثه ای با او تماس حاصل شود؟

  • آیا اطلاعات تماس شخص با توجه به نوع حادثه طبقه بندی و شناسایی شده اند؟

  • آیا رویه شما مشخص می کند چه کسی باید برقرار کننده ارتباط (در صورت وقوع حادثه) باشد؟

  • آیا مشخص کرده اید که در صورت رخداد موارد اضطراری یا حادثه چه کسی با مطبوعات یا مردم صحبت خواهد کرد؟

  • آیا برنامه ارتباطی شما شامل ارتباط خارج از وقت اداری کارمندان و در محیط خانواده های آنها نیز می شود؟

  • آیا می توان رویه های اضطراری را در صورت لزوم توسط افراد مسئول اجرا کرد؟

اطلاعیه های امنیتی و برگذاری آموزش

  • آیا اطلاعاتی در مورد امنیت رایانه به کارمندان خود ارائه می دهید؟

  • آیا به صورت مکرر دوره آموزشی برگذار می کنید؟

  • آیا به کارمندان آموزش داده می شود که نسبت به نقض امنیتی احتمالی هوشیار باشند؟

  • آیا به کارمندان شما در مورد ایمن نگه داشتن رمزهای عبور خود آموزش داده می شود؟

  • آیا کارمندان شما قادر به شناسایی و محافظت از داده های طبقه بندی شده از جمله اسناد کاغذی ، رسانه های قابل جابجایی و اسناد الکترونیکی هستند؟

  • آیا برنامه آگاهی و آموزش شما روشهای مناسبی برای مدیریت داده های کارت اعتباری (استانداردهای PCI) و اطلاعات شخصی و خصوصی(شماره های تأمین اجتماعی ، نام ، آدرس ، شماره تلفن و غیره) آموزش می دهد؟

موافقت و بازرسی

  • آیا اسناد امنیتی خود (مانند: خط سایست ها، استانداردها، رویه ها و دستورالعمل ها) را بطور منظم بررسی و ویرایش می کنید؟

  • آیا فرایندها و رویه های خود را برای رعایت سیاست ها و استانداردهای تعیین شده بررسی می کنید؟

  • آیا برنامه های روبرویی با شرایط اضطراری خود را بطور منظم تست می کنید؟

  • آیا مدیریت مرتباً لیست افرادی را که دسترسی فیزیکی به امکانات حساس یا دسترسی الکترونیکی به سیستم های اطلاعاتی دارند را بررسی می کند؟