در ادامه قصد داریم به معرفی دوره های ISC2 که در بالا آورده شده است به اختصار بپردازیم:
در واقع The International Information System Security Certification Consortium که به اختصار ISC2 خوانده می شود یک سازمان غیر انتفاعی می باشد که در سال ۱۹۸۹ تاسیس شده و به صورت کاملا تخصصی و صرفا در زمینه امنیت (مثل امنیت اطلاعات، امنیت سیستم، امنیت Cloud و ... ) اقدام به آموزش ها و اعطای مدارک بین المللی در زمینه امنیت می پردازد, بر خلاف CompTİA که علاوه بر فیلد امنیت در فیلد های دیگر İT مثل سخت افزار و cloud و متن باز (Linux) و... اقدام به آموزش دوره های مربوطه می کند.
تا سال ۲۰۱۷, سازمان ISC2 بالغ بر ۱۲۴۱۷۰عضو فعال از 180کشور در سرتاسر دنیا دارد, آن هم صرفا در زمینه امنیت (این عدد تعداد اعضا نشان می دهد که مدرکشان را اخذ کردند و تاریخ اعتبار مدرکشان معتبر می باشد وگرنه تعدادشان خیلی بیشتر از این عدد می باشد چرا که خیلی از اعضا، تاریخ اعتبار مدرکشان منقضی شده که اقدام به تمدید گواهی نامه خود نکردند) که این اعضا در 8 رشته امنیتی (که اسامی آنها را در زیر ملاحظه می فرمایید) موفق به اخذ مدارک بین المللی از سازمان مذکور شده اند.
مدارک SSCP و CISSP دو تا از دوره ها و مدارک معروف و محبوب در دنیای امنیت محسوب می شوند که متعلق به سازمان ISC2 می باشند و البته سایر دوره های آموزشی که توسط این سازمان ارائه می شود بدین شرح می باشد:
CCSP:
Certified cloud security professional
CAP:
Certified Authorization
CSSLP:
Certified secure software lifecycle professional
CCFP:
Certified cyber forensics professional
HCISPP:
Healthcare information security and privacy practitioner
CISSP consentration:
issap, issep, issmp
SSCP:
Systems Security Certified Practitioner
CISSP:
Certified Information Systems Security Professional
ISC2
خبر خوبی که در مورد سازمان غیرانتفاعی ISC2 هست این است که همه هموطنان ایرانی می توانند با پاسپورت ایرانی در همه ۸ جلسه امتحانی شرکت کنند (البته با یه سری شرط و شروط ها و داشتن پیش نیازهای آن دوره) و اقدام به اخذ مدرک بین المللی و معتبر این سازمان کنند و حتی تحریم ها نیز اثری بر ممانعت این سازمان به روی ایرانیان نداشته است.
همه دارندگان مدارک ISC2 ملزم به حمایت از منشور اخلاقی می باشند، تخلف و یا پیمان شکنی از این منشور اخلاقی در پنل بازرسی ثبت خواهد شد که نهایتا می تواند منجر به لغو مدرک اخذ شده اعضا توسط سازمان گردد.
حالا داستان این منشور اخلاقی چیه؟
سازمان ISC2 به منظور حفاظت حرفه ای گری و به منظور تمامیت و درستی (Integrity) از صنعت امنیت اطلاعات و همچنین به دلیل بالا بردن اعتبارش یک سری policyهایی را وضع کرده که در قالب منشور اخلاقی (Code of Ethics) به تصویب رسانده که همه اعضا و کاندیدهای اخذ مدارک بین المللی از این سازمان، بایستی مقید به آن اصول و Policyها باشند. مثلا شما وقتی قرار است به عنوان محرم یک سازمان معرفی شوید و در نتیجه وارد حیطه امنیتی آن سازمان شوید و بنا به آن اعتماد سازی که از جانب مدیران سازمان برای شما اتفاق افتاده، لازم است تا همه تلاش خود را نسبت به امانت داری دیتا و اطلاعات حیاتی آن سازمان انجام دهید و نسبت به درز اطلاعات محرمانه و حتی غیرمحرمانه به بیرون از سازمان بسیار محتاط باشید.
همه کسانی که مدارک مربوط به سازمان ISC2 را اخذ می کنند بایستی اعتبار CPE که مخفف عبارت Continuing Professional Education هست را بدست بیارند، آموزش حرفه ای مداوم (CPE) بدین معنی می باشد که دارندگان مدارک ISC2 بایستی دانش خود را به روز نگه دارند تا منجر به نگهداری و ابقا مدارکشون شود و این کار با شرکت در بنیاد سالیانه سازمان و با حضور یافتن در رخدادها و یا کنفرانس های صنعت IT مخصوصا فیلد امنیت اطلاعات و یا حتی با نوشتن مقاله و کتاب میسر می شود.
در واقع The International Information System Security Certification Consortium که به اختصار ISC2 خوانده می شود یک سازمان غیر انتفاعی می باشد که در سال ۱۹۸۹ تاسیس شده و به صورت کاملا تخصصی و صرفا در زمینه امنیت (مثل امنیت اطلاعات، امنیت سیستم، امنیت Cloud و ... ) اقدام به آموزش ها و اعطای مدارک بین المللی در زمینه امنیت می پردازد, بر خلاف CompTİA که علاوه بر فیلد امنیت در فیلد های دیگر İT مثل سخت افزار و cloud و متن باز (Linux) و... اقدام به آموزش دوره های مربوطه می کند.
تا سال ۲۰۱۷, سازمان ISC2 بالغ بر ۱۲۴۱۷۰عضو فعال از 180کشور در سرتاسر دنیا دارد, آن هم صرفا در زمینه امنیت (این عدد تعداد اعضا نشان می دهد که مدرکشان را اخذ کردند و تاریخ اعتبار مدرکشان معتبر می باشد وگرنه تعدادشان خیلی بیشتر از این عدد می باشد چرا که خیلی از اعضا، تاریخ اعتبار مدرکشان منقضی شده که اقدام به تمدید گواهی نامه خود نکردند) که این اعضا در 8 رشته امنیتی (که اسامی آنها را در زیر ملاحظه می فرمایید) موفق به اخذ مدارک بین المللی از سازمان مذکور شده اند.
مدارک SSCP و CISSP دو تا از دوره ها و مدارک معروف و محبوب در دنیای امنیت محسوب می شوند که متعلق به سازمان ISC2 می باشند و البته سایر دوره های آموزشی که توسط این سازمان ارائه می شود بدین شرح می باشد:
CCSP:
Certified cloud security professional
CAP:
Certified Authorization
CSSLP:
Certified secure software lifecycle professional
CCFP:
Certified cyber forensics professional
HCISPP:
Healthcare information security and privacy practitioner
CISSP consentration:
issap, issep, issmp
SSCP:
Systems Security Certified Practitioner
CISSP:
Certified Information Systems Security Professional
ISC2
خبر خوبی که در مورد سازمان غیرانتفاعی ISC2 هست این است که همه هموطنان ایرانی می توانند با پاسپورت ایرانی در همه ۸ جلسه امتحانی شرکت کنند (البته با یه سری شرط و شروط ها و داشتن پیش نیازهای آن دوره) و اقدام به اخذ مدرک بین المللی و معتبر این سازمان کنند و حتی تحریم ها نیز اثری بر ممانعت این سازمان به روی ایرانیان نداشته است.
همه دارندگان مدارک ISC2 ملزم به حمایت از منشور اخلاقی می باشند، تخلف و یا پیمان شکنی از این منشور اخلاقی در پنل بازرسی ثبت خواهد شد که نهایتا می تواند منجر به لغو مدرک اخذ شده اعضا توسط سازمان گردد.
حالا داستان این منشور اخلاقی چیه؟
سازمان ISC2 به منظور حفاظت حرفه ای گری و به منظور تمامیت و درستی (Integrity) از صنعت امنیت اطلاعات و همچنین به دلیل بالا بردن اعتبارش یک سری policyهایی را وضع کرده که در قالب منشور اخلاقی (Code of Ethics) به تصویب رسانده که همه اعضا و کاندیدهای اخذ مدارک بین المللی از این سازمان، بایستی مقید به آن اصول و Policyها باشند. مثلا شما وقتی قرار است به عنوان محرم یک سازمان معرفی شوید و در نتیجه وارد حیطه امنیتی آن سازمان شوید و بنا به آن اعتماد سازی که از جانب مدیران سازمان برای شما اتفاق افتاده، لازم است تا همه تلاش خود را نسبت به امانت داری دیتا و اطلاعات حیاتی آن سازمان انجام دهید و نسبت به درز اطلاعات محرمانه و حتی غیرمحرمانه به بیرون از سازمان بسیار محتاط باشید.
همه کسانی که مدارک مربوط به سازمان ISC2 را اخذ می کنند بایستی اعتبار CPE که مخفف عبارت Continuing Professional Education هست را بدست بیارند، آموزش حرفه ای مداوم (CPE) بدین معنی می باشد که دارندگان مدارک ISC2 بایستی دانش خود را به روز نگه دارند تا منجر به نگهداری و ابقا مدارکشون شود و این کار با شرکت در بنیاد سالیانه سازمان و با حضور یافتن در رخدادها و یا کنفرانس های صنعت IT مخصوصا فیلد امنیت اطلاعات و یا حتی با نوشتن مقاله و کتاب میسر می شود.
Associate ISC2:
داستان ازین قرار است که همه نامزدهای اخذ مدارک این سازمان بایستی یک سری پیش نیازهایی را علاوه داشتن دانش تئوری، بایستی دانش عملی برای اخذ آن مدرک داشته باشند مثلا برای مدرک SSCP دارا بودن حداقل یک سال سابقه کاری مرتبط الزامیست تا بتوانند در این آزمون شرکت کنند این سابقه کار عملی (به صورت تمام وقت) برای مدرک CISSP برابر 5 سال می باشد حال در این بین چنانچه کسی سابقه عملی ارائه ندهد ISC2 راه حل دوم که Associate ISC2 هست را جلو روی متقاضیان این مدارک قرار می دهد. در واقع دستیار ISC2 به کسانی اطلاق می شود و در صورتی که سابقه کار عملی مورد نیاز را نداشته باشند به عنوان نیروی کاری در زمینه امنیت اطلاعات اجازه داده می شود فعالیت کنند تا صلاحیتشان را در این فیلد (امنیت) نشان دهند. که این اتفاق با گذراندن یک امتحان دشوار، بهبود دانش امنیت سایبری و تداوم و نگهداری آموزش حرفه ای مداوم (CPE) برای بدست آوردن تجربه مورد نیاز برای اخذ مدارکی چون: CISSP , SSCP , CCSP , HCISPP , CCFP , CAP و CSSLP , میسر می سازد.
@iranopensource 🐧
داستان ازین قرار است که همه نامزدهای اخذ مدارک این سازمان بایستی یک سری پیش نیازهایی را علاوه داشتن دانش تئوری، بایستی دانش عملی برای اخذ آن مدرک داشته باشند مثلا برای مدرک SSCP دارا بودن حداقل یک سال سابقه کاری مرتبط الزامیست تا بتوانند در این آزمون شرکت کنند این سابقه کار عملی (به صورت تمام وقت) برای مدرک CISSP برابر 5 سال می باشد حال در این بین چنانچه کسی سابقه عملی ارائه ندهد ISC2 راه حل دوم که Associate ISC2 هست را جلو روی متقاضیان این مدارک قرار می دهد. در واقع دستیار ISC2 به کسانی اطلاق می شود و در صورتی که سابقه کار عملی مورد نیاز را نداشته باشند به عنوان نیروی کاری در زمینه امنیت اطلاعات اجازه داده می شود فعالیت کنند تا صلاحیتشان را در این فیلد (امنیت) نشان دهند. که این اتفاق با گذراندن یک امتحان دشوار، بهبود دانش امنیت سایبری و تداوم و نگهداری آموزش حرفه ای مداوم (CPE) برای بدست آوردن تجربه مورد نیاز برای اخذ مدارکی چون: CISSP , SSCP , CCSP , HCISPP , CCFP , CAP و CSSLP , میسر می سازد.
@iranopensource 🐧
در واقع اولین دوره برای علاقمندان به چارچوب COBIT دوره COBIT5 Foundation است که بصورت بنیادی به بررسی و معرفی این چارچوب می پردازد. این دوره به مخاطبان کمک خواهد کرد تا با جوانب و کاربردهای این چارچوب قدرتمند آشنا شوند. کلیه افراد علاقمند به مباحث راهبری و همچنین حسابرسی فناوری اطلاعات از مخاطبین این دوره هستند.
در عصر حاضر، فناوری اطلاعات جزء کلیدی ترین منابع سازمانها به شمار میرود و حاکمیت، نظارت و مدیریت کارآمد آنها یکی از اصلی ترین چالشهای مدیران فناوری اطلاعات میباشد. از سوی دیگر، رشد سریع فناوری و تقاضای روز افزون اطلاعات، قوانین و مقررات موجود در جامعه و وقوع ریسکهای مختلف، نقش حاکمیت و مدیریت فناوری اطلاعات را در سازمانها پررنگتر مینماید. همچنین امروزه نقش فناوری اطلاعات در ارزشآفرینی کسبوکار و حصول رضایت نهایی مشتریان ملموس تر از گذشته بوده و مدیران در راستای غلبه بر چالشهای پیشرو، سعی در تحقق اهداف فوق و همسویی هر چه بیشتر کسبوکار و فناوری اطلاعات نمودهاند. چارچوب COBIT 5 نقش حیاتی فناوری اطلاعات را در ارزش آفرینی برای کسبوکار پررنگ تر نموده است. همچنین این چارچوب سازمانها را در تحقق اهداف حاکمیتی و مدیریتی و نیز حصول میزان ارزش بهینه کسب وکار یاری مینماید. CobiT 5 تنها چارچوب کسب و کار برای مدیریت سازمان و حاکمیت فناوری اطلاعات است که در آوریل ۲۰۱۲ منتشر شده است و به افزایش ارزش اطلاعات بوسیله سازمان دهی آخرین تفکرات در حاکمیت فناوری اطلاعات و تکنیک های مدیریتی می پردازد و اصول، تجارب، ابزارهای تحلیلی و مدل هایی را ارائه می نماید که به صورت جهانی مقبول واقع شده است و بدین ترتیب اعتماد به مدل را افزایش داده و ارزش بدست آمده از سیستم اطلاعاتی را افزایش می دهد.
اهمیت یک چارچوب اثربخش برای توانمندسازی ارزش کسب و کار را درک نمایید. برای ورود به چارچوب های ارزشمند ISACA و درک اینکه چگونه CobiT 5 ارتباط کسب و کارها را به صورت end-to-end پوشش داده و به صورت اثربخشی در کسب و کار حاکمیت ایجاد نموده و آن را مدیریت می نماید. این دوره برای تمامی علاقمندان به دانش پایه در زمینه CobiT مناسب است و در این دوره، چارچوب CobiT و مستندات پشتیبانی در زمینه مفهومی مدل و مثال های گوناگون ارائه می گردد. لازم است اشاره کنم که بعد از این دوره در صورت تمایل می توانید دوره های دیگری از جمله: دوره COBIT 5 Assessor، دوره COBIT 5 Implementation، دوره Implementing NIST Cyber Security Using COBIT 5 و... را نیز بصورت Self-Study مطالعه نمایید. میثم ناظمی @iranopensource 🐧
در عصر حاضر، فناوری اطلاعات جزء کلیدی ترین منابع سازمانها به شمار میرود و حاکمیت، نظارت و مدیریت کارآمد آنها یکی از اصلی ترین چالشهای مدیران فناوری اطلاعات میباشد. از سوی دیگر، رشد سریع فناوری و تقاضای روز افزون اطلاعات، قوانین و مقررات موجود در جامعه و وقوع ریسکهای مختلف، نقش حاکمیت و مدیریت فناوری اطلاعات را در سازمانها پررنگتر مینماید. همچنین امروزه نقش فناوری اطلاعات در ارزشآفرینی کسبوکار و حصول رضایت نهایی مشتریان ملموس تر از گذشته بوده و مدیران در راستای غلبه بر چالشهای پیشرو، سعی در تحقق اهداف فوق و همسویی هر چه بیشتر کسبوکار و فناوری اطلاعات نمودهاند. چارچوب COBIT 5 نقش حیاتی فناوری اطلاعات را در ارزش آفرینی برای کسبوکار پررنگ تر نموده است. همچنین این چارچوب سازمانها را در تحقق اهداف حاکمیتی و مدیریتی و نیز حصول میزان ارزش بهینه کسب وکار یاری مینماید. CobiT 5 تنها چارچوب کسب و کار برای مدیریت سازمان و حاکمیت فناوری اطلاعات است که در آوریل ۲۰۱۲ منتشر شده است و به افزایش ارزش اطلاعات بوسیله سازمان دهی آخرین تفکرات در حاکمیت فناوری اطلاعات و تکنیک های مدیریتی می پردازد و اصول، تجارب، ابزارهای تحلیلی و مدل هایی را ارائه می نماید که به صورت جهانی مقبول واقع شده است و بدین ترتیب اعتماد به مدل را افزایش داده و ارزش بدست آمده از سیستم اطلاعاتی را افزایش می دهد.
اهمیت یک چارچوب اثربخش برای توانمندسازی ارزش کسب و کار را درک نمایید. برای ورود به چارچوب های ارزشمند ISACA و درک اینکه چگونه CobiT 5 ارتباط کسب و کارها را به صورت end-to-end پوشش داده و به صورت اثربخشی در کسب و کار حاکمیت ایجاد نموده و آن را مدیریت می نماید. این دوره برای تمامی علاقمندان به دانش پایه در زمینه CobiT مناسب است و در این دوره، چارچوب CobiT و مستندات پشتیبانی در زمینه مفهومی مدل و مثال های گوناگون ارائه می گردد. لازم است اشاره کنم که بعد از این دوره در صورت تمایل می توانید دوره های دیگری از جمله: دوره COBIT 5 Assessor، دوره COBIT 5 Implementation، دوره Implementing NIST Cyber Security Using COBIT 5 و... را نیز بصورت Self-Study مطالعه نمایید. میثم ناظمی @iranopensource 🐧
Acceptable use policy (AUP)
Corporate, organizational, or internet service provider’s rules governing use of computers, networks, and associated resources. In general, an AUP states that employees, or users (1) should not try to access system areas for which they do not have authorization, (2) are accountable for what they do, (3) should use the system only for its designed purposes, (4) are responsible for the confidentiality of their passwords, (5) should refrain from illegal activities, and unethical or obscene online (internet) behavior, and (6) should not access pornographic material on the internet.
سیاستهای کاربردی قابل قبول
سیاستهای کاربردی قابل قبول قوانین شرکتی، سازمانی و یا خدمات تامین کننده اینترنتی حاکم بر استفاده از کامپیوترها، شبکه ها و منابع به اشتراک گذاشته شده ، می باشد. بطور کلی یک AUP گویای این است که کارمندان و یا کاربران: ۱- نباید جهت دسترسی به فضاهایی که مجاز به ورود آن نیستند، تلاش کنند. ۲- آنها مسئول اقدامات خود هستند. ۳- از سامانه فقط جهت اهداف برنامه ریزی شده استفاده کنند. ۴- آنها مسئول حفاظت از رمزهای عبورشان هستند. ۵- باید از فعالیتهای غیر قانونی و هر رفتار اینترنتی غیر اخلاقی و یا موهن خودداری کنند. ۶- نباید به موضوعات غیراخلاقی مراجعه کنند. @iranopensource 🐧
Corporate, organizational, or internet service provider’s rules governing use of computers, networks, and associated resources. In general, an AUP states that employees, or users (1) should not try to access system areas for which they do not have authorization, (2) are accountable for what they do, (3) should use the system only for its designed purposes, (4) are responsible for the confidentiality of their passwords, (5) should refrain from illegal activities, and unethical or obscene online (internet) behavior, and (6) should not access pornographic material on the internet.
سیاستهای کاربردی قابل قبول
سیاستهای کاربردی قابل قبول قوانین شرکتی، سازمانی و یا خدمات تامین کننده اینترنتی حاکم بر استفاده از کامپیوترها، شبکه ها و منابع به اشتراک گذاشته شده ، می باشد. بطور کلی یک AUP گویای این است که کارمندان و یا کاربران: ۱- نباید جهت دسترسی به فضاهایی که مجاز به ورود آن نیستند، تلاش کنند. ۲- آنها مسئول اقدامات خود هستند. ۳- از سامانه فقط جهت اهداف برنامه ریزی شده استفاده کنند. ۴- آنها مسئول حفاظت از رمزهای عبورشان هستند. ۵- باید از فعالیتهای غیر قانونی و هر رفتار اینترنتی غیر اخلاقی و یا موهن خودداری کنند. ۶- نباید به موضوعات غیراخلاقی مراجعه کنند. @iranopensource 🐧