بالاخره بعد از مدتها دوباره فرصت شد تا ادامه کار رو روی سایت قرار بدم. نمیخواستم این همه فاصله بی‌افته؛ اما چه کنیم که نمیشه.
خب، در گام‌های قبلی فهرستی از دارایی‌ها تهیه کردید و نقش و تاثیر هر کدام را از منظر سازمان معین نمودید. حال باید معیارهای سنجش رو نیز مشخص کنید که در ادامه به آن اشاره می‌کنم.

معمولا شرکت‌ها و سازمان‌ها از معیارهای یکسانی برای پیگیری و گزارش‌دهی تعداد و نوع حوادث در ماه، هزینه‌ی بازیابی به نفر-ساعت و زمان رفع تاثیرات، استفاده می‌کنند. مدیریت آسیب‌پذیری بسیار فراتر از این معیارها می‌باشد. سازمان شما باید معیارهایی برای موارد زیر داشته باشد:

  • آگاهی امنیتی (نیرو)
  • اعمال سیاست (فرآیند)
  • وضعیت فنی امنیتی (فناوری)
  • حوادث امنیتی (ریسک)

فرموله نمودن این معیارها برای تعیین و ارزیابی تاثیرات کسب و کار هر یک از تهدیدات بسیار حیاتی است و میزان بودجه لازم و مناسب را براساس بازگشت سرمایه مشخص می‌کند.

امیدوارم بتوانم براساس تحقیقات و مطالعات آتی حداقل مختصری هم درباره هر یک از این معیارها بیان کنم، چرا که شالوده اصلی طرح را می‌توان براساس همین معیارها پایه‌ریزی نمود.