راهنمای مدیران امنیت سازمانهای بزرگ
استاندارد CIS شامل ۱۸ کنترل اولویتبندیشده است که هدف آن کاهش ریسکهای سایبری و ایجاد یک چارچوب عملیاتی قابل اجرا در سازمانهاست. در ادامه، هر کنترل همراه با هدف، نمونه اقدامات کلیدی و خروجی مورد انتظار آورده شده است.
1. Inventory and Control of Enterprise Assets – مدیریت داراییهای سختافزاری
هدف: شناسایی کامل داراییها
اقدامات:
تشکیل فهرست دقیق سرورها، کلاینتها، تجهیزات شبکه، دستگاههای IoT
مسدودسازی داراییهای ناشناس
خروجی: کنترل کامل روی محیط عملیاتی
2. Inventory and Control of Software Assets – مدیریت داراییهای نرمافزاری
هدف: جلوگیری از اجرای نرمافزارهای غیرمجاز
اقدامات:
ایجاد لیست سفید نرمافزارها
پایش نصب نرمافزارها
خروجی: کاهش بدافزار و نرمافزارهای مخرب
3. Data Protection – حفاظت از دادهها
هدف: حفاظت از دادههای حساس
اقدامات:
رمزگذاری
DLP
طبقهبندی اطلاعات
خروجی: کاهش ریسک افشای اطلاعات
4. Secure Configuration of Assets and Software – پیکربندی امن
هدف: کاهش سطح حمله
اقدامات:
اعمال Benchmarks رسمی CIS
حذف سرویسهای غیرضروری
خروجی: امنیت تقلیدی یکپارچه
5. Account Management – مدیریت حسابهای کاربری
هدف: جلوگیری از سوءاستفاده از حسابها
اقدامات:
حذف حسابهای بلااستفاده
کنترل دسترسی مبتنی بر نقش
خروجی: کاهش نفوذ مبتنی بر حساب
6. Access Control Management – مدیریت کنترل دسترسی
هدف: تعیین دسترسی بر اساس کمترین سطح لازم
اقدامات:
MFA
کنترل سختگیرانه دسترسیهای ادمین
خروجی: جلوگیری از دسترسیهای ناخواسته
7. Continuous Vulnerability Management – مدیریت آسیبپذیریها
هدف: کاهش نقصهای امنیتی
اقدامات:
اسکن منظم
Patch Management
خروجی: کاهش تهدیدات exploit
8. Audit Log Management – مدیریت لاگها
هدف: شناسایی رفتارهای مشکوک
اقدامات:
تجمیع لاگها
تحلیل SIEM
خروجی: آمادگی برای پاسخگویی سریع
9. Email and Web Browser Protections – امنیت ایمیل و مرورگر
هدف: جلوگیری از حملات فیشینگ و بدافزار
اقدامات:
فیلتر URL
امنیت ایمیل، SPF/DKIM/DMARC
خروجی: امنیت کانالهای ارتباطی
10. Malware Defenses – دفاع در برابر بدافزار
هدف: شناسایی و حذف بدافزار
اقدامات:
آنتیویروس پیشرفته
EDR
خروجی: جلوگیری از آلودگی سیستمها
11. Data Recovery – بازیابی اطلاعات
هدف: تضمین تداوم کسبوکار
اقدامات:
نسخهبرداری منظم
تست بازیابی
خروجی: ریکاوری سریع در حادثه
12. Network Infrastructure Management – مدیریت زیرساخت شبکه
هدف: جلوگیری از نفوذ
اقدامات:
پیکربندی امن روتر، سوییچ، فایروال
Segment و VLAN
خروجی: کاهش نقاط نفوذ
13. Network Monitoring and Defense – دفاع و پایش شبکه
هدف: شناسایی تهدیدات شبکهای
اقدامات:
IDS/IPS
پایش ترافیک مشکوک
خروجی: جلوگیری از حملات فعال
14. Security Awareness and Skills Training – آموزش امنیتی کارکنان
هدف: کاهش خطای انسانی
اقدامات:
دورههای ضد فیشینگ
تستهای دورهای
خروجی: افزایش بلوغ امنیتی
15. Service Provider Management – مدیریت تأمینکنندگان
هدف: کنترل ریسک طرف سوم
اقدامات:
بررسی امنیت پیمانکاران
قراردادهای SLA امنیتی
خروجی: کاهش ریسک زنجیره تأمین
16. Application Software Security – امنیت نرمافزارهای سازمانی
هدف: جلوگیری از آسیبپذیریهای نرمافزار
اقدامات:
تست نفوذ اپلیکیشن
Secure Coding
خروجی: کاهش حملات نرمافزاری
17. Incident Response Management – مدیریت رخداد امنیتی
هدف: پاسخگویی مؤثر به حملات
اقدامات:
تدوین IR Plan
تمرینهای Tabletop
خروجی: کاهش خسارت و زمان Downtime
18. Penetration Testing – تست نفوذ
هدف: سنجش واقعی امنیت سازمان
اقدامات:
انجام تست نفوذ داخلی و خارجی
ارزیابی اثرگذاری کنترلها
خروجی: کشف ضعفهایی که ابزارها نمیبینند
