شهره بهنام ارزنده - دانشجوی کارشناسی ارشد مدیریت فناوری اطلاعا ت
علی عبدالهی - پژوهشگر امنیت فناوری اطلاعا ت
ناصر مدیری - هئیت علمی دانشگاه آزاد اسلامی واحد زنجان، دانشکده برق و کامپیوت ر

ممیزی امنیت اطلاعات یکی از روشهای بررسی امنیت یک سازمان بدون تحمیل هزینه و سایر خسارات مربوط به یک رخداد امنیتی است. ممیزی امنیتی برای ارزیابی اثربخشی توانایی یک سازمان در محافظت از دارایی های با ارزش یا مهم خود انجام می شود. بنابراین، اطمینان از رعایت اصول سه گانه امنیت اطلاعات را می توان از طریق یک فرایند ممیزی امنیتی جامع تأیید کرد. حسابرسی برای مد یریت امنیت فرآ یند ارزیابی و بررسی سیاستهای اصلی امنیتی سازمان، کنترلهای فنی، فرا یندها، رویه ها، روشها و عملیات است تا اطمینان حاصل شود که محافظت امنیتی ارائه شده جهت حفظ دارایی های ارزشمند آن سازمان مناسب، قابل اجرا و عملیاتی است. از آنجا یی که مشاغل مدرن به دنبال ایجاد راه های جدیدی برای پیشبرد اهداف تجاری خود به ویژه در بحران اقتصادی فعلی هستند، تقاضاهای فزاینده ای در خصوص پیاده سازی روش های بهینه به منظور جلوگیری از خسارات پیش بینی نشده در دنیای دیجیتال راه یافته است. در این مقاله یک چارچوب ممیزی امنیت پیشنهاد و بصورت مفهومی مورد بحث قرار گرفته است. چارچوب پیشنهادی به سازمان ها کمک م ی کند تا برای شبکه های پیچیده امروزی که در چندین حوزه کاری گسترش می یابد، حسابرسی امنیتی بهینه انجام داده و الزامات اساسی، مانند مواردی که باید قبل از انجام ممیزی امنیتی در نظر گرفته شود را بررسی نمایند. همچنین در ادامه دستورالعمل های کلی در انجام ممیزی های امنیتی و تجزیه و تحل یل ردیابی حسابرسی ارائه و مورد بحث قرار گرفته است. با درنظر گرفتن اینکه داده ها در حین اجرای تست نفوذ ریسک های بسیاری را متحمل میشوند همواره موجب نگرانی های امنیتی برای فرد ممیز و صاحبان آن اطلاعات شده اند و این موضوع سبب شده است که به دنبال راهی برای بهبود امنیت به شیوه طراحی یک چارچوب پایدار در این راستا باشیم .

ممیزی و آزمون نفوذ امنیتی، ریسک های عملیاتی ، ممیزی امنیت اطلاعات، انطباق نظارتی