مدیريت و حاکمیت امنیت اطلاعات (GRC) ناویار امین

جهت ارتقای امنیت سایبری یک سازمان، مدیران و کارشناسان مربوطه، راهکارهای مختلفی را در قالب خرید محصول یا خرید خدمت اتخاذ می کنند، اما غالبا چالش مدیران ارشد سازمان ها عدم وجود ابزاری جهت آگاهی از وضعیت کلان امنیت اطلاعات و دریافت گزارش های مدیریتی و فنی مورد نیاز، فهم میزان اثربخشی راهکارهای مستقر شده، مدیریت تسک ها و وظایف نقش های مختلف در سازمان، مدیریت ممیزی‌های انجام شده و بسیاری از این طیف خواسته‌ها است.

محصول GRC (Compliance ,Risk ,Governance) به عنوان ابزاری جامع، به سازمان‌ها کمک می‌کند تا با یکپارچه‌سازی و بهبود فرایندهای حاکمیتی، مدیریت ریسک و بررسی مستمر انطباق امنیت اطلاعات، ارتقاء امنیت سایبری را با رویکردی یکپارچه راهبری، مدیریت و اجرا نمایند.

در همین راستا، سامانه GRC ناویار امین، طراحی و توسعه یافته در شرکت امین رای، این نیازمندی‌ها را به خوبی درک کرده و اهدافی به شرح ذیل را سرلوحه طراحی و ایجاد این سامانه قرار داده است.

• یکپارچه‌سازی فرآیندهای مدیریت امنیت اطلاعات و مدیریت ریسک و مدیریت انطباق با الزامات و قوانین بالادستی
• افزایش اثربخشی فرآیندهای مذکور از طریق ارائه الگوهای استاندارد بهینه برای هریک
• کاهش خطای انسانی از طریق هوشمندسازی مدیریت Task ها و وظایف امنیت سایبری
• افزایش شفافیت از طریق ارائه گزارشات به روز از وضعیت امنیت سایبری به مدیران مربوطه
• شفاف نمودن شرح وظایف و مسئولیت‌های افراد از طریق ایجاد ساختار منابع انسانی و تخصیص وظایف
• فراهم کردن بستری منعطف، جهت پیاده‌سازی سریع فرایندهای امنیتی جدید به ازای درخواست مشتریان

• امکان مدل‌سازی سازمان براساس واحدهای زیرمجموعه، سمت‌ها، نقش‌ها و یا شرکت‌های زیرمجموعه
• امکان استقرار سامانه به صورت چند شرکتی و یا سلسله مراتبی
• امکان ایجاد پروژه‌های متعدد امنیت اطلاعات در سازمان با دامنه‌ها و تعاریف متفاوت
• انجام تحلیل SWOT از طریق لیست‌های پیشنهادی پیشفرض و یا شخصی‌سازی شده
• انجام Analysis Gap براساس استانداردها و الزامات مرجع حوزه OT/IT پیشفرض مانند 27001ISO ،CSF/NIST 62443IEC/ISA 800-82، NIST ، الزامات مرکز افتا و سازمان پدافند غیرعامل و یا ایجاد لیست الزامات دلخواه
• استفاده از متدولوژی ارزیابی ریسک پیشفرض که به صورت اختصاصی توسط امین رای توسعه یافته است و ایرادات مرسوم در سایر متدولوژی های موجود را مرتفع نموده است
• استفاده از الگوهای مختلف ارزیابی ریسک از طریق ایجاد فرمول ارزیابی
• مدیریت دارایی‌های سایبری
• وجود مخزن‌های پیشفرض آسیب‌پذیری، تهدید و راهکارهای مربوطه و همچنین امکان شخصی‌سازی هریک
• ایجاد سناریوهای ریسک به محض تعریف دارایی، از طریق ارتباطات هوشمند بین آسیب پذیری، تهدیدات و دارایی‌ها
• ارزیابی ریسک ریزدانه به ازای هر دارایی یا ارزیابی ریسک فرایند محور و کلان
• ایجاد گزارش RTP و SOA به صورت اتوماتیک
• تخصیص تسک‌ها به هریک از اعضا و نقش‌های مشخص شده در سازمان و دریافت گزارشات مرتبط با آن
• وجود ساختار مدیریت مستندات و دانش
• مدیریت واحدها و شرکت‌های زیرمجموعه سازمان، به صورت سلسله مراتبی، از اعلان هشدار تا دریافت گزارش‌های حادثه
• تعریف ممیزی‌های مختلف و انجام کلیه اقدامات ممیزی در سامانه