دانلود کتاب آموزشی اجرایی ISO/IEC 27001 (ISO 27001 Implementation) جلد دوم

بخش ۶: پشتیبانی و الزامات مرتبط با منابع

فصل ۶.۱: شناسایی نیازهای منابع در سیستم

• تحلیل منابع مورد نیاز برای اجرای سرویس‌ها

• تعیین سطح مصرف CPU، حافظه، ذخیره‌سازی و شبکه

• بررسی نیازهای ظرفیت‌سازی در محیط‌های مختلف (کوچک، متوسط، بزرگ)

• تعریف شاخص‌های سطح عملکرد (Performance Indicators)

فصل ۶.۲: مدیریت ظرفیت (Capacity Management)

• تعیین ظرفیت فعلی و ظرفیت مورد نیاز آینده

• تحلیل روند مصرف منابع با استفاده از داده‌های تاریخی

• شناسایی نقاط گلوگاه (Bottlenecks)

• برنامه‌ریزی برای افزایش مقیاس (Scaling Up و Scaling Out)

فصل ۶.۳: الزامات سخت‌افزاری و زیرساخت

• تعیین حداقل و پیشنهادهای سخت‌افزاری

• انتخاب پردازنده و حافظه مناسب برای سیستم

• نیازمندی‌های ذخیره‌سازی و طراحی دیسک

• الزامات شبکه، پهنای باند و Latency

• بررسی وابستگی‌ها به سخت‌افزار خارجی و Peripheralها

فصل ۶.۴: الزامات نرم‌افزاری و سرویس‌های وابسته

• نسخه‌های مورد نیاز سیستم‌عامل

• وابستگی به کتابخانه‌ها، ماژول‌ها، و سرویس‌های پایه

• نیازمندی‌های پایگاه‌داده (Database Requirements)

• نیاز به Agentها یا ابزارهای جانبی

• سازگاری نسخه‌ها و مشکلات احتمالی Upgrade

فصل ۶.۵: پشتیبانی عملیاتی و نگهداری منابع

• مانیتورینگ مستمر ظرفیت و مصرف

• ایجاد Threshold و Alert برای مصرف غیرعادی

• شناسایی رفتار غیرطبیعی منابع و اقدام اصلاحی

• نگهداری دوره‌ای و پیشگیرانه برای کاهش خرابی‌ها

• مدیریت Lifecycle منابع (راه‌اندازی، استفاده، بازنشستگی)

فصل ۶.۶: Best Practices در مدیریت منابع

• بهینه‌سازی مصرف CPU و RAM

• مدیریت ذخیره‌سازی برای کاهش هزینه

• رعایت استانداردهای امنیتی برای منابع

• استفاده از ابزارهای خودکارسازی برای مدیریت بهینه منابع

• تنظیم سیاست‌های Resource Quota در محیط‌های بزرگ

فصل ۶.۷: پشتیبانی فنی و سطح سرویس (Support & SLA)

• تعریف سطح پشتیبانی مورد انتظار

• تعیین SLA برای عملکرد منابع

• فرایند پاسخ‌گویی به مشکلات مرتبط با مصرف منابع

• مدیریت تیکت‌ها و گزارش مشکلات

• نقش تیم‌های پشتیبانی در حفظ پایداری منابع

فصل ۶.۸: مدیریت منابع در محیط‌های ابری (Cloud Resource Management)

• مدل پرداخت Pay-as-You-Go و کنترل هزینه

• مدیریت منابع در Cloud Providers

• Auto-Scaling و Load Balancing

• تحلیل Performance در Cloud با ابزارهای اختصاصی

• جلوگیری از مصرف بیش‌ازحد و هزینه‌های غیرمنتظره

فصل ۶.۹: مستندسازی و گزارش‌گیری مربوط به منابع

• تهیه گزارش‌های دوره‌ای برای مصرف منابع

• گزارش‌دهی به مدیریت و تیم‌های فنی

• مستندسازی پیکربندی منابع و ظرفیت‌ها

• استفاده از داشبوردهای مانیتورینگ برای Insight بهتر

بخش ۷: عملیات (Operation) و اجرای ISMS

فصل ۷.۱: برنامه‌ریزی عملیاتی ISMS

• مفهوم عملیات در چرخه مدیریت امنیت

• ارتباط عملیات با سیاست‌ها و اهداف امنیتی

• تعیین الزامات عملیاتی برای امنیت اطلاعات

• تبدیل ریسک‌ها و کنترل‌ها به فعالیت‌های عملیاتی

• ارتباط عملیات با فرآیندهای دیگر سازمان

فصل ۷.۲: اجرای فرآیندهای عملیاتی ISMS

• ساختاردهی وظایف عملیاتی در امنیت اطلاعات

• اجرای کنترل‌های امنیتی در سطح عملیاتی

• مدیریت مسئولیت‌ها و نقش‌ها

• مستندسازی فعالیت‌ها و جریان عملیات

• هماهنگی تیم‌های داخلی برای اجرای کنترل‌ها

فصل ۷.۳: مدیریت تغییرات (Change Management)

• اهمیت مدیریت تغییر در امنیت اطلاعات

• تحلیل تأثیر تغییرات بر امنیت

• فرآیندهای درخواست، ارزیابی و تایید تغییرات

• مدیریت تغییرات در زیرساخت، شبکه و سرویس‌ها

• ثبت، گزارش و ممیزی تغییرات انجام‌شده

فصل ۷.۴: مدیریت ظرفیت و کارایی در عملیات ISMS

• تحلیل ظرفیت سیستم‌ها از دید امنیت

• پایش سطح کارایی کنترل‌ها

• شناسایی ضعف‌ها و گلوگاه‌های امنیتی

• طرح‌ریزی ظرفیت آتی برای حفظ امنیت

• ارزیابی اثر رشد کسب‌وکار بر عملیات امنیتی

فصل ۷.۵: مدیریت ریسک عملیاتی

• پایش مستمر ریسک‌ها در مرحله عملیات

• نحوه برخورد با ریسک‌های جدید یا تغییر یافته

• اجرای کنترل‌های اصلاحی و پیشگیرانه

• ارتباط عملیات با چرخه ارزیابی ریسک

• گزارش‌دهی درباره ریسک‌های عملیاتی

فصل ۷.۶: برنامه‌ریزی و کنترل فعالیت‌ها

• تعیین و کنترل فعالیت‌های روزانه امنیت اطلاعات

• زمان‌بندی اجرای کنترل‌ها

• نظارت بر وظایف و مسئولیت‌های عملیات

• تحلیل مغایرت‌ها (Deviation Analysis)

• مستندسازی فعالیت‌های روزانه ISMS

فصل ۷.۷: مدیریت منابع برای عملیات ISMS

• تامین منابع انسانی، فنی و نرم‌افزاری

• آموزش و توانمندسازی تیم عملیات

• مدیریت ابزارهای امنیتی (مثل SIEM، IDS، DLP)

• تحلیل نیازهای جدید و تخصیص منابع

فصل ۷.۸: فرآیندهای مانیتورینگ و پایش امنیتی

• پایش سیستم‌ها، شبکه و سرویس‌ها

• پایش لاگ‌ها و تحلیل رخدادهای امنیتی

• پایش SLAها و KPIهای امنیتی

• گزارش‌گیری از داشبوردهای امنیتی

• تشخیص انحراف از خط‌مشی‌ها

فصل ۷.۹: مدیریت رخدادهای امنیتی (Incident Management)

• شناسایی و طبقه‌بندی رخدادهای امنیتی

• فرآیند واکنش (Response)

• هماهنگی تیم‌های پاسخ‌گویی به رخداد

• ثبت رخدادها و مستندسازی

• تحلیل ریشه‌ای رخدادها و اقدامات اصلاحی

فصل ۷.۱۰: اجرای اقدامات تصحیحی و پیشگیرانه

• تعریف عدم انطباق (Non-conformity)

• مراحل اجرای اقدامات اصلاحی

• کنترل و پایش اقدامات پیشگیرانه

• جلوگیری از تکرار رخدادها

• ثبت و نگهداری شواهد اصلاحی

فصل ۷.۱۱: پایش عملکرد عملیاتی ISMS

• ارزیابی کیفیت اجرای عملیات

• تحلیل شاخص‌های عملیاتی امنیت

• بررسی اثربخشی کنترل‌ها

• گزارش‌دهی دوره‌ای وضعیت عملیات

فصل ۷.۱۲: هماهنگی عملیات با طرف‌های ثالث

• مدیریت عملیات امنیتی در تعامل با پیمانکاران

• کنترل‌های امنیتی در ارتباط با Outsourcing

• الزامات امنیتی برای سرویس‌دهنده‌های خارجی

• پایش عملکرد طرف‌های ثالث در عملیات

فصل ۷.۱۳: یکپارچگی عملیات ISMS با اهداف سازمان

• هم‌راستایی عملیات امنیت با اهداف کلان

• نقش عملیات ISMS در بهبود سازمان

• مشارکت واحدهای IT، حقوقی، منابع انسانی و مدیریت

• ایجاد فرهنگ امنیت در عملیات روزمره

بخش ۸: پایش، اندازه‌گیری و ارزیابی عملکرد

فصل ۸.۱: مبانی پایش و ارزیابی عملکرد

• تعریف پایش و سنجش عملکرد

• اهمیت داده‌محور بودن در سازمان‌ها

• نقش پایش در تصمیم‌گیری، بهبود مستمر و مدیریت منابع

• تفاوت پایش، ارزیابی، ممیزی و کنترل

فصل ۸.۲: چارچوب‌های استاندارد اندازه‌گیری عملکرد

• مدل‌های شناخته‌شده ارزیابی عملکرد

• چارچوب Balanced Scorecard (BSC)

• مدل EFQM

• KPI vs OKR: شباهت‌ها و تفاوت‌ها

• نحوه انتخاب مدل سنجش مناسب برای سازمان

فصل ۸.۳: تعریف شاخص‌های کلیدی عملکرد (KPI)

• اصول تعریف KPI استاندارد

• ویژگی‌های یک شاخص مؤثر

• دسته‌بندی شاخص‌ها:

  • مالی

  • عملیاتی

  • منابع انسانی

  • فرآیندی

  • فناورانه

• اشتباهات رایج در تعریف KPI

فصل ۸.۴: نحوه طراحی سیستم‌های اندازه‌گیری

• تعیین اهداف و خروجی‌های قابل سنجش

• تعیین سطح پایه (Baseline)

• تعیین معیارهای هدف‌گذاری (Targets)

• طراحی داشبوردها و گزارش‌ها

• تعیین تناوب پایش

فصل ۸.۵: ابزارها و فناوری‌های پایش عملکرد

• ابزارهای گزارش‌گیری مدیریتی

• پلتفرم‌های تحلیل داده و BI

• سیستم‌های اتوماسیون سازمانی

• ابزارهای Real-time Monitoring

• استفاده از هوش مصنوعی در تحلیل عملکرد

فصل ۸.۶: جمع‌آوری داده‌ها و کیفیت اطلاعات

• نحوه جمع‌آوری داده‌های کمی و کیفی

• مدیریت خطا و Missing Data

• اصول Data Validation و Data Cleaning

• ایجاد استاندارد برای ثبت داده‌ها

• اهمیت شفافیت و دقت در داده‌های عملکردی

فصل ۸.۷: تحلیل عملکرد و تفسیر نتایج

• روش‌های تحلیل داده‌های عملکردی

• تحلیل روندها (Trend Analysis)

• تحلیل شکاف (Gap Analysis)

• تحلیل علل ریشه‌ای (Root Cause Analysis)

• شناسایی نقاط قوت، ضعف، فرصت و تهدید

فصل ۸.۸: پایش عملکرد فردی و تیمی

• شاخص‌های عملکرد فردی (Performance Indicators)

• ارزیابی عملکرد تیم‌ها و واحدها

• سنجش بهره‌وری نیروی انسانی

• ارزیابی رفتار، مهارت و خروجی‌های قابل اندازه‌گیری

• نقش بازخورد در بهبود عملکرد

فصل ۸.۹: پایش عملکرد فرآیندی و عملیاتی

• شاخص‌های فرآیندی (Cycle Time، Throughput، Yield…)

• تحلیل Bottleneck‌ها

• ارتقای کیفیت و کارایی عملیات

• استفاده از مدل‌های Lean و Six Sigma در ارزیابی عملکرد

فصل ۸.۱۰: ارتباط سنجش عملکرد با برنامه‌ریزی استراتژیک

• اتصال KPI‌ ها به اهداف کلان سازمان

• نقش ارزیابی در فرایند تصمیم‌گیری

• بازنگری سالانه استراتژی بر اساس عملکرد

• تعیین اقدامات اصلاحی و توسعه‌ای

فصل ۸.۱۱: گزارش‌دهی و ارائه نتایج

• اصول طراحی گزارش‌های مدیریتی

• انواع گزارش‌ها: دوره‌ای، تحلیلی، مقایسه‌ای

• طراحی داشبوردهای مؤثر و قابل‌فهم

• تحلیل مخاطب گزارش و انتخاب سبک مناسب

فصل ۸.۱۲: بهبود مستمر و اقدامات اصلاحی

• اصول بهبود مستمر (Continuous Improvement)

• تعریف اقدام اصلاحی (Corrective Action)

• تعریف اقدام پیشگیرانه (Preventive Action)

• چرخه PDCA در ارزیابی عملکرد

• اجرای پروژه‌های بهبود مبتنی بر داده

فصل ۸.۱۳: چالش‌های پایش و ارزیابی عملکرد

• مقاومت کارکنان

• عدم هماهنگی شاخص‌ها با اهداف واقعی

• ضعف در جمع‌آوری داده

• عدم استفاده از نتایج در تصمیم‌گیری

• چالش‌های فرهنگی، مدیریتی و تکنولوژیکی

بخش ۹: مدیریت رویدادها و بهبود مستمر

فصل ۹.۱: مفاهیم پایه مدیریت رویدادها

• تعریف رویداد و تفاوت آن با هشدار

• چرخه کامل مدیریت رویداد

• انواع رویدادهای عملیاتی، سیستمی، امنیتی و عملکردی

• نقش مدیریت رویدادها در پایداری خدمات

فصل ۹.۲: شناسایی و دسته‌بندی رویدادها

• شیوه‌های جمع‌آوری رویدادها از سیستم‌های مختلف

• طبقه‌بندی رویدادها بر اساس شدت و اولویت

• تعیین معیارهای Critical، High، Medium و Low

• مدیریت رویدادهای کاذب و Noise Reduction

فصل ۹.۳: تحلیل ریشه‌ای (Root Cause Analysis)

• روش‌های RCA مانند 5-Why، Fishbone، Fault Tree Analysis

• تشخیص الگوهای تکرارشونده

• ابزارها و تکنیک‌های استاندارد تحلیل

• مستندسازی نتایج RCA برای جلوگیری از وقوع مجدد

فصل ۹.۴: مدیریت چرخه عمر رویداد (Event Lifecycle)

• ایجاد، ثبت و ارجاع رویداد

• بررسی و تحلیل اولیه

• تغییر وضعیت رویداد و پیگیری گردش کار

• تکمیل، نگهداری و آرشیو رویداد

فصل ۹.۵: هماهنگی و اطلاع‌رسانی در زمان بروز رویداد

• مدیریت ارتباط با تیم‌ها و واحدها

• اطلاع‌رسانی در زمان بحران

• نقش SLA و OLA در مدیریت پیام‌رسانی

• تهیه گزارش‌های عملیاتی برای مدیریت

فصل ۹.۶: ابزارهای مدیریت رویدادها

• سیستم‌های مانیتورینگ متمرکز

• ابزارهای AIOps و تحلیل خودکار رویداد

• داشبوردها و سیستم‌های Alerting

• استفاده از سیستم‌های Ticketing برای مدیریت رویدادها

فصل ۹.۷: مدیریت رویدادهای بحرانی و بحران‌های عملیاتی

• تعریف رویداد بحرانی

• معیارهای ورود به وضعیت بحران

• تیم پاسخ‌گویی به بحران (Incident Response Team)

• مهار اولیه، کاهش اثر و بازیابی

فصل ۹.۸: ارزیابی عملکرد مدیریت رویدادها

• شاخص‌های سنجش کیفیت مدیریت رویداد

• تحلیل زمان پاسخ‌گویی (MTTA، MTTD، MTTR)

• ارزیابی کیفیت گزارش‌های رویداد

• بررسی تأثیر رویدادها بر SLA کل سیستم

فصل ۹.۹: مدیریت دانش پس از رویداد

• ثبت و ضبط تجربه‌های عملیاتی

• انتقال تجربه به تیم‌های دیگر

• ایجاد بانک راه‌حل‌های استاندارد

• استفاده از Lessons Learned در توسعه فرایندها

فصل ۹.۱۰: طراحی فرایندهای جلوگیری از وقوع مجدد

• ایجاد تغییرات اصلاحی (Corrective Actions)

• ایجاد تغییرات پیشگیرانه (Preventive Actions)

• استانداردسازی روش‌های کاری

• توسعه دستورالعمل‌های عملیاتی جدید

فصل ۹.۱۱: بهبود مستمر در چرخه عملیات

• اصول بهبود مستمر (Continuous Improvement)

• روش‌های Lean IT و DevOps

• چرخه PDCA (برنامه‌ریزی، اجرا، بررسی، بهبود)

• ایجاد فرهنگ بهبود در تیم‌های فنی

فصل ۹.۱۲: استفاده از تحلیل داده‌ها برای بهبود مستمر

• تحلیل الگوهای رویداد

• پیش‌بینی و پیشگیری با داده‌کاوی

• نقش AIOps در کاهش رویدادهای آتی

• بهبود اتوماسیون بر اساس تحلیل داده

فصل ۹.۱۳: ارزیابی نهایی و تدوین گزارش‌های مدیریتی

• گزارش‌های ماهانه و سالانه رویداد

• تحلیل روندها و ارائه توصیه‌ها

• آماده‌سازی گزارش‌های قابل ارائه به مدیریت ارشد

• تعیین اولویت‌های جدید برای چرخه‌های بهبود آینده

بخش ۱۰: آشنایی با Annex A – کنترل‌های امنیتی ISO 27001

فصل ۱۰.۱: مقدّمه‌ای بر Annex A

• هدف‌های Annex A در چارچوب ISO 27001

• ساختار جدید کنترل‌ها در نسخه 2022

• ارتباط Annex A با Statement of Applicability (SoA)

• تفاوت کنترل‌های نسخه 2013 و 2022

فصل ۱۰.۲: ساختار ۴ بُعدی کنترل‌ها

• مقدمه‌ای بر تقسیم‌بندی کنترل‌ها

• بُعد People (کنترل‌های مرتبط با نیروی انسانی)

• بُعد Organizational (کنترل‌های مدیریتی و سازمانی)

• بُعد Technological (کنترل‌های فنی و فناوری)

• بُعد Physical (کنترل‌های فیزیکی و محیطی)

فصل ۱۰.۳: کنترل‌های بُعد People

• آموزش و آگاهی کارکنان

• غربالگری پیش از استخدام

• مسئولیت‌های امنیتی کارمندان

• مدیریت خاتمه همکاری کارکنان

• رفتارهای امنیتی در تعاملات انسانی

فصل ۱۰.۴: کنترل‌های بُعد Organizational

• تعیین نقش‌ها و مسئولیت‌های امنیتی

• تفکیک وظایف حساس

• سیاست‌گذاری امنیت اطلاعات

• مدیریت منابع و دارایی‌ها

• مدیریت ریسک امنیت اطلاعات

• مدیریت پشتیبان‌گیری و تداوم کسب‌وکار

• مدیریت تأمین‌کنندگان و کنترل‌های امنیتی آنان

• نظارت، گزارش‌دهی و ممیزی داخلی

• امنیت در پروژه‌ها، تغییرات و توسعه‌ی خدمات

فصل ۱۰.۵: کنترل‌های بُعد Physical

• امنیت محیط فیزیکی و دسترسی

• محافظت از تجهیزات و تأسیسات

• کنترل شرایط محیطی (دما، رطوبت، آتش)

• مدیریت تجهیزات قابل‌حمل

• حفاظت از کابل‌ها، اتاق سرور و زیرساخت

• کنترل ورود و خروج افراد به مناطق حساس

فصل ۱۰.۶: کنترل‌های بُعد Technological

• کنترل دسترسی کاربران

• مدیریت رمزهای عبور

• احراز هویت چندمرحله‌ای

• امنیت شبکه و ارتباطات

• امنیت نقاط پایانی (Endpoint Security)

• مدیریت رخدادهای امنیت سایبری

• رمزنگاری داده‌ها

• امنیت در داده‌های ابری

• امنیت در توسعه نرم‌افزار

• امنیت پایگاه‌های داده و سامانه‌های کاربردی

• ثبت وقایع و مانیتورینگ سیستم‌ها

• استفاده امن از منابع آنلاین و اینترنت

فصل ۱۰.۷: تحلیل ارتباط Annex A با مدیریت ریسک

• نحوه انتخاب کنترل‌ها براساس ریسک

• تحلیل پوشش کنترل‌ها در سناریوهای مختلف

• نحوه مستندسازی انتخاب یا عدم انتخاب کنترل

فصل ۱۰.۸: نحوه تکمیل Statement of Applicability (SoA)

• ساختار SoA

• رابطه مستقیم SoA با Annex A

• نحوه نوشتن توجیهات انتخاب/عدم انتخاب کنترل‌ها

• یکپارچگی SoA با مستندات ISMS

فصل ۱۰.۹: نمونه‌های کاربرد واقعی کنترل‌های Annex A

• مثال‌های سازمانی واقعی برای پیاده‌سازی کنترل‌ها

• سناریوهای امنیتی در بانک‌ها

• سناریوهای امنیتی در شرکت‌های فناوری

• سناریوهای امنیتی در سازمان‌های دولتی

• نمونه چالش‌ها و راهکارهای اجرای کنترل‌ها

فصل ۱۰.۱۰: اشتباهات رایج در فهم و اجرای Annex A

• انتخاب کنترل‌ها بدون ارزیابی ریسک

• اجراهای تکراری یا نادرست کنترل‌های امنیتی

• عدم مستندسازی کافی

• تفکیک نادرست کنترل‌های مدیریتی و فنی

• عدم تطابق با معماری امنیت سازمان