सूचना सुरक्षा प्रबंधन: Difference between revisions

From Vigyanwiki
(Text)
No edit summary
 
(3 intermediate revisions by 3 users not shown)
Line 1: Line 1:
'''सूचना सुरक्षा प्रबंधन (ISM)''' उन नियंत्रणों को परिभाषित और प्रबंधित करता है जिन्हें किसी संगठन को यह सुनिश्चित करने के लिए लागू करने की आवश्यकता होती है कि यह खतरे और [[भेद्यता (कंप्यूटिंग)|भेद्यता]] से [[संपत्ति]] की [[गोपनीयता]], उपलब्धता और अखंडता की समझदारी से रक्षा कर रहा है। आईएसएम के मूल में [[आईटी जोखिम प्रबंधन|सूचना संकट प्रबंधन]] सम्मिलित है, एक ऐसी प्रक्रिया जिसमें संकट का आकलन सम्मिलित है, जिसे एक संगठन को संपत्ति के प्रबंधन और सुरक्षा के साथ-साथ सभी उपयुक्त हितधारकों के लिए जोखिमों का प्रसार करना चाहिए।<ref name="CampbellPractical16-1">{{cite book |url=https://books.google.com/books?id=sbWiDQAAQBAJ&pg=PA1 |chapter=Chapter 1: Evolution of a Profession |title=Practical Information Security Management: A Complete Guide to Planning and Implementation |author=Campbell, T. |publisher=APress |pages=1–14 |year=2016 |isbn=9781484216859}}</ref> इसके लिए उचित संपत्ति की पहचान और मूल्यांकन के कदमों की आवश्यकता होती है, जिसमें गोपनीयता, अखंडता, उपलब्धता और संपत्ति के प्रतिस्थापन के मूल्य का मूल्यांकन सम्मिलित है।<ref name="TiptonInfo03">{{cite book |title=सूचना सुरक्षा प्रबंधन पुस्तिका|author=Tipton, H.F.|author2=Krause, M. |publisher=CRC Press |edition=5th |pages=810–11 |year=2003 |isbn=9780203325438}}</ref> [[सूचना सुरक्षा]] प्रबंधन के भाग के रूप में, एक संगठन सूचना सुरक्षा पर आईएसओ/आईईसी 27001, आईएसओ/आईईसी 27002, और आईएसओ/आईईसी 27035 मानकों में पाए जाने वाले सूचना सुरक्षा प्रबंधन प्रणाली और अन्य सर्वोत्तम प्रणाली को लागू कर सकता है।<ref name="HumphreysImplement16">{{cite book |url=https://books.google.com/books?id=Yy6pCwAAQBAJ&pg=PA11 |chapter=Chapter 2: ISO/IEC 27001 ISMS Family |title=Implementing the ISO/IEC 27001:2013 ISMS Standard |author=Humphreys, E. |publisher=Artech House |pages=11–26 |year=2016 |isbn=9781608079315}}</ref><ref name="CampbellPractical16-6">{{cite book |url=https://books.google.com/books?id=sbWiDQAAQBAJ |chapter=Chapter 6: Standards, Frameworks, Guidelines, and Legislation |title=Practical Information Security Management: A Complete Guide to Planning and Implementation |author=Campbell, T. |publisher=APress |pages=71–94 |year=2016 |isbn=9781484216859}}</ref>
'''सूचना सुरक्षा प्रबंधन (ISM)''' उन नियंत्रणों को परिभाषित और प्रबंधित करता है जिन्हें किसी संगठन को यह सुनिश्चित करने के लिए लागू करने की आवश्यकता होती है कि यह खतरे और [[भेद्यता (कंप्यूटिंग)|भेद्यता]] से [[संपत्ति]] की [[गोपनीयता]], उपलब्धता और अखंडता की समझदारी से रक्षा कर रहा है। आईएसएम के मूल में [[आईटी जोखिम प्रबंधन|सूचना संकट प्रबंधन]] सम्मिलित है, एक ऐसी प्रक्रिया जिसमें संकट का आकलन सम्मिलित है, जिसे एक संगठन को संपत्ति के प्रबंधन और सुरक्षा के साथ-साथ सभी उपयुक्त हितधारकों के लिए संकटों का प्रसार करना चाहिए।<ref name="CampbellPractical16-1">{{cite book |url=https://books.google.com/books?id=sbWiDQAAQBAJ&pg=PA1 |chapter=Chapter 1: Evolution of a Profession |title=Practical Information Security Management: A Complete Guide to Planning and Implementation |author=Campbell, T. |publisher=APress |pages=1–14 |year=2016 |isbn=9781484216859}}</ref> इसके लिए उचित संपत्ति की पहचान और मूल्यांकन के कदमों की आवश्यकता होती है, जिसमें गोपनीयता, अखंडता, उपलब्धता और संपत्ति के प्रतिस्थापन के मूल्य का मूल्यांकन सम्मिलित है।<ref name="TiptonInfo03">{{cite book |title=सूचना सुरक्षा प्रबंधन पुस्तिका|author=Tipton, H.F.|author2=Krause, M. |publisher=CRC Press |edition=5th |pages=810–11 |year=2003 |isbn=9780203325438}}</ref> [[सूचना सुरक्षा]] प्रबंधन के भाग के रूप में, एक संगठन सूचना सुरक्षा पर आईएसओ/आईईसी 27001, आईएसओ/आईईसी 27002, और आईएसओ/आईईसी 27035 मानकों में पाए जाने वाले सूचना सुरक्षा प्रबंधन प्रणाली और अन्य सर्वोत्तम प्रणाली को लागू कर सकता है।<ref name="HumphreysImplement16">{{cite book |url=https://books.google.com/books?id=Yy6pCwAAQBAJ&pg=PA11 |chapter=Chapter 2: ISO/IEC 27001 ISMS Family |title=Implementing the ISO/IEC 27001:2013 ISMS Standard |author=Humphreys, E. |publisher=Artech House |pages=11–26 |year=2016 |isbn=9781608079315}}</ref><ref name="CampbellPractical16-6">{{cite book |url=https://books.google.com/books?id=sbWiDQAAQBAJ |chapter=Chapter 6: Standards, Frameworks, Guidelines, and Legislation |title=Practical Information Security Management: A Complete Guide to Planning and Implementation |author=Campbell, T. |publisher=APress |pages=71–94 |year=2016 |isbn=9781484216859}}</ref>




== संकट प्रबंधन और शमन ==
== संकट प्रबंधन और शमन ==
संक्षेप में सूचना सुरक्षा का प्रबंधन करने का मतलब संपत्ति के लिए विभिन्न खतरों और कमजोरियों को प्रबंधित करना और कम करना है, साथ ही एक ही समय में संभावित खतरों और कमजोरियों पर खर्च किए गए प्रबंधन प्रयासों को वास्तव में होने की संभावना को मापकर संतुलित करना है।<ref name="CampbellPractical16-1" /><ref name="WattsITSec17">{{cite web |url=http://www.bmc.com/blogs/security-vulnerability-vs-threat-vs-risk-whats-difference/ |title=IT Security Vulnerability vs Threat vs Risk: What’s the Difference? |author=Watts, S. |work=BMC Blogs |publisher=BMC Software, Inc |date=21 June 2017 |access-date=16 June 2018}}</ref><ref name="CampbellPractical16-4">{{cite book |url=https://books.google.com/books?id=sbWiDQAAQBAJ |chapter=Chapter 4: Organizational Security |title=Practical Information Security Management: A Complete Guide to Planning and Implementation |author=Campbell, T. |publisher=APress |pages=43–61 |year=2016 |isbn=9781484216859}}</ref> '''उदाहरण के लिए,''' [[ सर्वर कक्ष |सर्वर कक्ष]] में एक उल्कापिंड का दुर्घटनाग्रस्त होना निश्चित रूप से एक खतरा है, लेकिन एक सूचना सुरक्षा अधिकारी इस तरह के खतरे की तैयारी में बहुत कम प्रयास करेगा। जिस तरह लोगों को सिर्फ एक वैश्विक बीज बैंक के अस्तित्व के कारण दुनिया के अंत की तैयारी प्रारम्भ नहीं करनी है।<ref>{{Cite journal |last=Lundgren |first=Björn |last2=Möller |first2=Niklas |date=2019 |title=सूचना सुरक्षा को परिभाषित करना|journal=Science and Engineering Ethics |language=en |volume=25 |issue=2 |pages=419–441 |doi=10.1007/s11948-017-9992-1 |issn=1353-3452 |pmc=6450831 |pmid=29143269}}</ref>
संक्षेप में सूचना सुरक्षा का प्रबंधन करने का मतलब संपत्ति के लिए विभिन्न खतरों और कमजोरियों को प्रबंधित करना और कम करना है, साथ ही एक ही समय में संभावित खतरों और कमजोरियों पर खर्च किए गए प्रबंधन प्रयासों को वास्तव में होने की संभावना को मापकर संतुलित करना है।<ref name="CampbellPractical16-1" /><ref name="WattsITSec17">{{cite web |url=http://www.bmc.com/blogs/security-vulnerability-vs-threat-vs-risk-whats-difference/ |title=IT Security Vulnerability vs Threat vs Risk: What’s the Difference? |author=Watts, S. |work=BMC Blogs |publisher=BMC Software, Inc |date=21 June 2017 |access-date=16 June 2018}}</ref><ref name="CampbellPractical16-4">{{cite book |url=https://books.google.com/books?id=sbWiDQAAQBAJ |chapter=Chapter 4: Organizational Security |title=Practical Information Security Management: A Complete Guide to Planning and Implementation |author=Campbell, T. |publisher=APress |pages=43–61 |year=2016 |isbn=9781484216859}}</ref> उदाहरण के लिए, [[ सर्वर कक्ष |सर्वर कक्ष]] में एक उल्कापिंड का दुर्घटनाग्रस्त होना निश्चित रूप से एक खतरा है, लेकिन एक सूचना सुरक्षा अधिकारी इस तरह के खतरे की तैयारी में बहुत कम प्रयास करेगा। जिस तरह लोगों को सिर्फ एक वैश्विक बीज बैंक के अस्तित्व के कारण दुनिया के अंत की तैयारी प्रारम्भ नहीं करनी है।<ref>{{Cite journal |last=Lundgren |first=Björn |last2=Möller |first2=Niklas |date=2019 |title=सूचना सुरक्षा को परिभाषित करना|journal=Science and Engineering Ethics |language=en |volume=25 |issue=2 |pages=419–441 |doi=10.1007/s11948-017-9992-1 |issn=1353-3452 |pmc=6450831 |pmid=29143269}}</ref>


उचित संपत्ति की पहचान और मूल्यांकन होने के बाद,<ref name="TiptonInfo03" />संकट प्रबंधन और उन संपत्तियों के संकट को कम करने में निम्नलिखित विषयों का विश्लेषण सम्मिलित है:<ref name="WattsITSec17" /><ref name="CampbellPractical16-4" /><ref name="KimFundament16">{{cite book |url=https://books.google.com/books?id=kvBCDQAAQBAJ&pg=PA2 |chapter=Chapter 1: Information Systems Security |title=सूचना प्रणाली सुरक्षा के मूल तत्व|author=Kim, D.|author2=Solomon, M.G. |publisher=Jones & Bartlett Learning |pages=2–46 |year=2016 |isbn=9781284128239}}</ref>
उचित संपत्ति की पहचान और मूल्यांकन होने के बाद,<ref name="TiptonInfo03" />संकट प्रबंधन और उन संपत्तियों के संकट को कम करने में निम्नलिखित विषयों का विश्लेषण सम्मिलित है:<ref name="WattsITSec17" /><ref name="CampbellPractical16-4" /><ref name="KimFundament16">{{cite book |url=https://books.google.com/books?id=kvBCDQAAQBAJ&pg=PA2 |chapter=Chapter 1: Information Systems Security |title=सूचना प्रणाली सुरक्षा के मूल तत्व|author=Kim, D.|author2=Solomon, M.G. |publisher=Jones & Bartlett Learning |pages=2–46 |year=2016 |isbn=9781284128239}}</ref>
* ख़तरा: अवांछित घटनाएँ जो सूचना संपत्तियों के जानबूझकर या आकस्मिक नुकसान, क्षति, या दुरुपयोग का कारण बन सकती हैं
* ख़तरा: अवांछित घटनाएँ जो सूचना संपत्तियों के जानबूझकर या आकस्मिक नुकसान, क्षति, या दुरुपयोग का कारण बन सकती हैं
* '''भेद्यताएँ: एक या अधिक खतरों द्वारा शोषण के लिए संवेदनशील सूचना संपत्ति और संबंधित नियंत्रण कितने संवेदनशील हैं'''
* भेद्यताएँ: एक या अधिक खतरों द्वारा शोषण के लिए संवेदनशील सूचना संपत्ति और संबंधित नियंत्रण कितने संवेदनशील हैं
* [[प्रभाव मूल्यांकन]] और संभावना: खतरों और भेद्यताओं से सूचना संपत्ति को संभावित नुकसान की भयावहता और वे संपत्ति के लिए कितना गंभीर संकट पैदा करते हैं; लागत-लाभ विश्लेषण भी प्रभाव मूल्यांकन का हिस्सा हो सकता है या इससे अलग हो सकता है
* [[प्रभाव मूल्यांकन|प्रभाव]] और संभावना: खतरों और भेद्यताओं से सूचना संपत्ति को संभावित नुकसान की भयावहता और वे संपत्ति के लिए कितना गंभीर संकट पैदा करते हैं; लागत-लाभ विश्लेषण भी प्रभाव मूल्यांकन का भाग हो सकता है या इससे अलग हो सकता है
* [[भेद्यता प्रबंधन]]: संभावित खतरों और कमजोरियों के प्रभाव और संभावना को कम करने के लिए प्रस्तावित विधि (ओं)
* [[भेद्यता प्रबंधन]]: संभावित खतरों और कमजोरियों के प्रभाव और संभावना को कम करने के लिए प्रस्तावित विधि(याँ)


एक बार एक खतरे और/या भेद्यता की पहचान कर ली गई है और सूचना संपत्तियों पर पर्याप्त प्रभाव/संभावना के रूप में मूल्यांकन किया गया है, तो एक शमन योजना को अधिनियमित किया जा सकता है। न्यूनीकरण विधि का चयन काफी हद तक इस बात पर निर्भर करता है कि सात सूचना प्रौद्योगिकी (आईटी) डोमेन में से कौन सा खतरा और/या भेद्यता मौजूद है। सुरक्षा नीतियों (उपयोगकर्ता डोमेन) के प्रति उपयोगकर्ता की उदासीनता के खतरे को एक से बहुत अलग शमन योजना की आवश्यकता होगी। एक नेटवर्क (लैन-टू-वैन डोमेन) की अनधिकृत जांच और [[पोर्ट स्कैनिंग]] के खतरे को सीमित करने के लिए उपयोग किया जाता है।<ref name="KimFundament16" />
एक बार एक खतरे और/या भेद्यता की पहचान कर ली गई है और सूचना संपत्तियों पर पर्याप्त प्रभाव/संभावना के रूप में मूल्यांकन किया गया है, तो एक शमन योजना को अधिनियमित किया जा सकता है। न्यूनीकरण विधि का चयन काफी हद तक इस बात पर निर्भर करता है कि सात सूचना प्रौद्योगिकी (आईटी) डोमेन में से कौन सा खतरा और/या भेद्यता निहित है। सुरक्षा नीतियों (उपयोगकर्ता डोमेन) के प्रति उपयोगकर्ता की उदासीनता के खतरे को एक से बहुत अलग शमन योजना की आवश्यकता होगी। एक नेटवर्क (लैन-टू-वैन डोमेन) की अनधिकृत जांच और [[पोर्ट स्कैनिंग|स्कैनिंग]] के खतरे को सीमित करने के लिए उपयोग किया जाता है।<ref name="KimFundament16" />




Line 17: Line 17:
=== सूचना सुरक्षा प्रबंधन प्रणाली ===
=== सूचना सुरक्षा प्रबंधन प्रणाली ===


एक सूचना सुरक्षा प्रबंधन प्रणाली (ISMS) एक संगठन के सभी परस्पर संबंधित / अंतःक्रियात्मक सूचना सुरक्षा तत्वों के संयोजन का प्रतिनिधित्व करती है ताकि संगठन की समग्र जानकारी की बेहतर गारंटी के लिए नीतियों, प्रक्रियाओं और उद्देश्यों को बनाया, कार्यान्वित, संचार और मूल्यांकन किया जा सके। सुरक्षा। यह प्रणाली आमतौर पर एक संगठन की जरूरतों, उद्देश्यों, सुरक्षा आवश्यकताओं, आकार और प्रक्रियाओं से प्रभावित होती है।<ref name="TerrozaInfo15">{{cite web |url=https://chapters.theiia.org/bermuda/Events/ChapterDocuments/Information%20Security%20Management%20System%20(ISMS)%20Overview.pdf |archive-url=https://web.archive.org/web/20160807021631/https://chapters.theiia.org/bermuda/Events/ChapterDocuments/Information%20Security%20Management%20System%20(ISMS)%20Overview.pdf |format=PDF |title=सूचना सुरक्षा प्रबंधन प्रणाली (ISMS) अवलोकन|author=Terroza, A.K.S. |publisher=The Institute of Internal Auditors |date=12 May 2015 |archive-date=7 August 2016 |access-date=16 June 2018}}</ref> एक आईएसएमएस में संकट प्रबंधन और न्यूनीकरण रणनीतियों को सम्मिलित किया जाता है और उधार दिया जाता है। इसके अतिरिक्त, किसी संगठन द्वारा आईएसएमएस को अपनाने से संकेत मिलता है कि यह सूचना सुरक्षा जोखिमों की व्यवस्थित रूप से पहचान, मूल्यांकन और प्रबंधन कर रहा है और सूचना की गोपनीयता, अखंडता और उपलब्धता आवश्यकताओं को सफलतापूर्वक संबोधित करने में सक्षम होगा।<ref name="ENISANeed">{{cite web |url=https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/current-risk/risk-management-inventory/rm-isms/need |title=Need: The Need for ISMS |work=Threat and Risk Management |publisher=European Union Agency for Network and Information Security |access-date=16 June 2018}}</ref> हालाँकि, ISMS विकास, कार्यान्वयन और अभ्यास से जुड़े मानवीय कारक (उपयोगकर्ता डोमेन<ref name="KimFundament16" /> ISMS की अंतिम सफलता सुनिश्चित करने के लिए भी विचार किया जाना चाहिए।<ref name="AlaviAConcept14">{{cite journal |title=संगठनों में सूचना सुरक्षा प्रबंधन प्रणाली (आईएसएमएस) के मानव कारकों का विश्लेषण करने के लिए एक वैचारिक ढांचा|journal=Proceedings of the Second International Conference on Human Aspects of Information Security, Privacy, and Trust |author=Alavi, R.|author2=Islam, S.|author3=Mouratidis, H. |volume=8533 |pages=297–305 |year=2014 |doi=10.1007/978-3-319-07620-1_26|doi-access=free }}</ref>
एक सूचना सुरक्षा प्रबंधन प्रणाली (आईएसएमएस) एक संगठन के सभी परस्पर संबंधित / अंतःक्रियात्मक सूचना सुरक्षा तत्वों के संयोजन का प्रतिनिधित्व करती है ताकि संगठन की समग्र जानकारी सुरक्षा के बेहतर दायित्व के लिए नीतियों, प्रक्रियाओं और उद्देश्यों को बनाया, कार्यान्वित, संचार और मूल्यांकन किया जा सके। यह प्रणाली प्रायः एक संगठन की जरूरतों, उद्देश्यों, सुरक्षा आवश्यकताओं, आकार और प्रक्रियाओं से प्रभावित होती है।<ref name="TerrozaInfo15">{{cite web |url=https://chapters.theiia.org/bermuda/Events/ChapterDocuments/Information%20Security%20Management%20System%20(ISMS)%20Overview.pdf |archive-url=https://web.archive.org/web/20160807021631/https://chapters.theiia.org/bermuda/Events/ChapterDocuments/Information%20Security%20Management%20System%20(ISMS)%20Overview.pdf |format=PDF |title=सूचना सुरक्षा प्रबंधन प्रणाली (ISMS) अवलोकन|author=Terroza, A.K.S. |publisher=The Institute of Internal Auditors |date=12 May 2015 |archive-date=7 August 2016 |access-date=16 June 2018}}</ref> एक आईएसएमएस में संकट प्रबंधन और न्यूनीकरण रणनीतियों को सम्मिलित किया जाता है और यह अपना योगदान देता है। इसके अतिरिक्त, किसी संगठन द्वारा आईएसएमएस को अपनाने से संकेत मिलता है "कि यह सूचना सुरक्षा संकटों की व्यवस्थित रूप से पहचान, मूल्यांकन और प्रबंधन कर रहा है और सूचना की गोपनीयता, अखंडता और उपलब्धता आवश्यकताओं को सफलतापूर्वक संबोधित करने में सक्षम होगा।"<ref name="ENISANeed">{{cite web |url=https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/current-risk/risk-management-inventory/rm-isms/need |title=Need: The Need for ISMS |work=Threat and Risk Management |publisher=European Union Agency for Network and Information Security |access-date=16 June 2018}}</ref> हालाँकि, आईएसएमएस विकास, कार्यान्वयन और अभ्यास से जुड़े मानवीय कारक (उपयोगकर्ता डोमेन<ref name="KimFundament16" />) आईएसएमएस की अंतिम सफलता सुनिश्चित करने के लिए भी विचार किया जाना चाहिए।<ref name="AlaviAConcept14">{{cite journal |title=संगठनों में सूचना सुरक्षा प्रबंधन प्रणाली (आईएसएमएस) के मानव कारकों का विश्लेषण करने के लिए एक वैचारिक ढांचा|journal=Proceedings of the Second International Conference on Human Aspects of Information Security, Privacy, and Trust |author=Alavi, R.|author2=Islam, S.|author3=Mouratidis, H. |volume=8533 |pages=297–305 |year=2014 |doi=10.1007/978-3-319-07620-1_26|doi-access=free }}</ref>




==कार्यान्वयन और शिक्षा रणनीति घटक==
==कार्यान्वयन और शिक्षा रणनीति घटक==
एक प्रभावी सूचना सुरक्षा प्रबंधन (संकट प्रबंधन और शमन सहित) को लागू करने के लिए एक प्रबंधन रणनीति की आवश्यकता होती है जो निम्नलिखित पर ध्यान देती है:<ref name="TiptonInfo10">{{cite book |url=https://books.google.com/books?id=S5RyW9jqxnEC&pg=PA100 |title=सूचना सुरक्षा प्रबंधन पुस्तिका|author=Tipton, H.F.|author2=Krause, M. |publisher=CRC Press |edition=6th |volume=3 |pages=100–02 |year=2010 |isbn=9781420090956}}</ref>
एक प्रभावी सूचना सुरक्षा प्रबंधन (संकट प्रबंधन और शमन सहित) को लागू करने के लिए एक प्रबंधन रणनीति की आवश्यकता होती है जो निम्नलिखित पर ध्यान देती है:<ref name="TiptonInfo10">{{cite book |url=https://books.google.com/books?id=S5RyW9jqxnEC&pg=PA100 |title=सूचना सुरक्षा प्रबंधन पुस्तिका|author=Tipton, H.F.|author2=Krause, M. |publisher=CRC Press |edition=6th |volume=3 |pages=100–02 |year=2010 |isbn=9781420090956}}</ref>
* ऊपरी स्तर के प्रबंधन को सूचना सुरक्षा पहलों का पुरजोर समर्थन करना चाहिए, सूचना सुरक्षा अधिकारियों को पूरी तरह कार्यात्मक और प्रभावी शिक्षा कार्यक्रम और, विस्तार से, सूचना सुरक्षा प्रबंधन प्रणाली के लिए आवश्यक संसाधनों को प्राप्त करने का अवसर प्रदान करना चाहिए।
* ऊपरी स्तर के प्रबंधन को सूचना सुरक्षा पहलों का दृढ़ता से समर्थन करना चाहिए, सूचना सुरक्षा अधिकारियों को "पूरी तरह कार्यात्मक और प्रभावी शिक्षा कार्यक्रम के लिए आवश्यक संसाधनों को प्राप्त करने के लिए" और, विस्तार से, सूचना सुरक्षा प्रबंधन प्रणाली का अवसर प्रदान करना चाहिए।
* सूचना सुरक्षा रणनीति और प्रशिक्षण को एकीकृत किया जाना चाहिए और विभागीय रणनीतियों के माध्यम से संचार किया जाना चाहिए ताकि यह सुनिश्चित किया जा सके कि सभी कर्मचारी संगठन की सूचना सुरक्षा योजना से सकारात्मक रूप से प्रभावित हैं।
* सूचना सुरक्षा रणनीति और प्रशिक्षण को एकीकृत किया जाना चाहिए और विभागीय रणनीतियों के माध्यम से संचार किया जाना चाहिए ताकि यह सुनिश्चित किया जा सके कि सभी कर्मचारी संगठन की सूचना सुरक्षा योजना से सकारात्मक रूप से प्रभावित हैं।
* एक [[सूचना गोपनीयता]] प्रशिक्षण और जागरूकता संकट मूल्यांकन एक संगठन को हितधारकों के ज्ञान और सुरक्षा के प्रति दृष्टिकोण में महत्वपूर्ण अंतराल की पहचान करने में मदद कर सकता है।
* एक [[सूचना गोपनीयता]] प्रशिक्षण और जागरूकता "संकट मूल्यांकन" एक संगठन को हितधारकों के ज्ञान और सुरक्षा के प्रति दृष्टिकोण में महत्वपूर्ण अंतराल की पहचान करने में सहायता कर सकता है।
* प्रशिक्षण और जागरूकता कार्यक्रम की समग्र प्रभावशीलता को मापने के लिए उचित मूल्यांकन पद्धतियां सुनिश्चित करती हैं कि नीतियां, प्रक्रियाएं और प्रशिक्षण सामग्री प्रासंगिक बनी रहे।
* "प्रशिक्षण और जागरूकता कार्यक्रम की समग्र प्रभावशीलता को मापने" के लिए उचित मूल्यांकन पद्धतियां सुनिश्चित करती हैं कि नीतियां, प्रक्रियाएं और प्रशिक्षण सामग्री प्रासंगिक बनी रहे।
* ऐसी नीतियां और प्रक्रियाएं जो उचित रूप से विकसित, कार्यान्वित, संप्रेषित और लागू की गई हैं, संकट को कम करती हैं और न केवल संकट में कमी सुनिश्चित करती हैं, बल्कि लागू कानूनों, विनियमों, मानकों और नीतियों का निरंतर अनुपालन भी सुनिश्चित करती हैं।
* ऐसी नीतियां और प्रक्रियाएं जो उचित रूप से विकसित, कार्यान्वित, संप्रेषित और लागू की गई हैं, "संकट को कम करती हैं और न केवल संकट में कमी सुनिश्चित करती हैं, बल्कि लागू नियमों, विनियमों, मानकों और नीतियों का निरंतर अनुपालन भी सुनिश्चित करती हैं।"
* [[मील का पत्थर (परियोजना प्रबंधन)]] और सूचना सुरक्षा प्रबंधन के सभी पहलुओं के लिए समय-सीमा भविष्य की सफलता सुनिश्चित करने में मदद करती है।
* सूचना सुरक्षा प्रबंधन के सभी पहलुओं के लिए उपलब्धियां और समयरेखा भविष्य की सफलता सुनिश्चित करने में सहायक हैं।


उपरोक्त सभी के लिए पर्याप्त बजटीय विचारों के बिना-मानक नियामक, आईटी, गोपनीयता और सुरक्षा मुद्दों को आवंटित धन के अतिरिक्त-एक सूचना सुरक्षा प्रबंधन योजना/प्रणाली पूरी तरह से सफल नहीं हो सकती है।
उपरोक्त सभी के लिए पर्याप्त बजटीय विचारों के बिना-मानक नियामक, आईटी, गोपनीयता और सुरक्षा विषयों को आवंटित धन के अतिरिक्त-एक सूचना सुरक्षा प्रबंधन योजना/प्रणाली पूरी तरह से सफल नहीं हो सकती है।


== प्रासंगिक मानक ==
== प्रासंगिक मानक ==
खतरों और कमजोरियों को कम करने के लिए उपयुक्त कार्यक्रमों और नियंत्रणों को लागू करने में संगठनों की सहायता के लिए उपलब्ध मानकों में ISO/IEC 27000 मानकों का परिवार, [[ITIL]], [[COBIT]] और ओपन इंफॉर्मेशन सिक्योरिटी मैच्योरिटी मॉडल|O-ISM3 2.0 सम्मिलित हैं। ISO/IEC 27000 परिवार सूचना सुरक्षा प्रबंधन और ISMS को नियंत्रित करने वाले कुछ सबसे प्रसिद्ध मानकों का प्रतिनिधित्व करता है और वैश्विक विशेषज्ञ राय पर आधारित है। वे सूचना सुरक्षा प्रबंधन प्रणालियों की सर्वोत्तम स्थापना, कार्यान्वयन, तैनाती, निगरानी, ​​समीक्षा, रखरखाव, अद्यतन और सुधार के लिए आवश्यकताओं को निर्धारित करते हैं।<ref name="HumphreysImplement16" /><ref name="CampbellPractical16-6" />आईटीआईएल सूचना प्रौद्योगिकी के बुनियादी ढांचे, सेवा और सुरक्षा के प्रभावी प्रबंधन के लिए अवधारणाओं, नीतियों और सर्वोत्तम प्रथाओं के संग्रह के रूप में कार्य करता है, जो आईएसओ/आईईसी 27001 से कुछ ही तरीकों से भिन्न है।<ref name="KimFundament16-225">{{cite book |url=https://books.google.com/books?id=kvBCDQAAQBAJ |title=सूचना प्रणाली सुरक्षा के मूल तत्व|author=Kim, D.|author2=Solomon, M.G. |publisher=Jones & Bartlett Learning |page=225 |year=2016 |isbn=9781284128239}}</ref><ref name="LealISO16">{{cite web |url=https://advisera.com/27001academy/blog/2016/03/07/iso-27001-vs-itil-similarities-and-differences/ |title=ISO 27001 vs. ITIL: Similarities and differences |author=Leal, R. |work=The ISO 27001 & ISO 22301 Blog |publisher=Advisera Expert Solutions Ltd |date=7 March 2016 |access-date=16 June 2018}}</ref> [[ISACA]] द्वारा विकसित COBIT, सूचना सुरक्षा कर्मियों को नकारात्मक प्रभावों को कम करने और सूचना सुरक्षा और संकट प्रबंधन को नियंत्रित करते हुए सूचना प्रबंधन और शासन के लिए रणनीतियों को विकसित करने और लागू करने में मदद करने के लिए एक ढांचा है।<ref name="CampbellPractical16-6" /><ref name="KimFundament16-225" /><ref name="WhiteWhat17">{{cite web |url=https://www.cio.com/article/3243684/methodology-frameworks/what-is-cobit-a-framework-for-alignment-and-governance.html |title=What is COBIT? A framework for alignment and governance |author=White, S.K. |work=CIO |publisher=IDG Communications, Inc |date=22 December 2017 |access-date=16 June 2018}}</ref> और [https://www.ism3.com O-ISM3] 2.0 उद्यम के [[द ओपन ग्रुप]] का प्रौद्योगिकी-तटस्थ सूचना सुरक्षा मॉडल है।<ref name="OGISM3">{{cite web |url=https://publications.opengroup.org/c17b |title=Open Information Security Management Maturity Model (O-ISM3), Version 2.0 |publisher=The Open Group |date=21 September 2017 |access-date=16 June 2018}}</ref>
खतरों और कमजोरियों को कम करने के लिए उपयुक्त कार्यक्रमों और नियंत्रणों को लागू करने में संगठनों की सहायता के लिए उपलब्ध मानकों में आईएसओ/आईईसी 27000 मानकों का परिवार, [[ITIL|आईटीआईएल]] फ्रेमवर्क, [[COBIT|सीओबीआईटी]] फ्रेमवर्क और -आईएसएम3 2.0 सम्मिलित हैं। आईएसओ/आईईसी 27000 परिवार सूचना सुरक्षा प्रबंधन और आईएसएमएस को नियंत्रित करने वाले कुछ सबसे प्रसिद्ध मानकों का प्रतिनिधित्व करता है और वैश्विक विशेषज्ञ विचार पर आधारित है। वे "सूचना सुरक्षा प्रबंधन प्रणालियों की सर्वोत्तम स्थापना, कार्यान्वयन, नियोजन, निगरानी, ​​समीक्षा, रखरखाव, अद्यतन और सुधार" के लिए आवश्यकताओं को निर्धारित करते हैं।<ref name="HumphreysImplement16" /><ref name="CampbellPractical16-6" />आईटीआईएल सूचना प्रौद्योगिकी के बुनियादी ढांचे, सेवा और सुरक्षा के प्रभावी प्रबंधन के लिए अवधारणाओं, नीतियों और सर्वोत्तम प्रथाओं के संग्रह के रूप में कार्य करता है, जो आईएसओ/आईईसी 27001 से कुछ ही तरीकों से भिन्न है।<ref name="KimFundament16-225">{{cite book |url=https://books.google.com/books?id=kvBCDQAAQBAJ |title=सूचना प्रणाली सुरक्षा के मूल तत्व|author=Kim, D.|author2=Solomon, M.G. |publisher=Jones & Bartlett Learning |page=225 |year=2016 |isbn=9781284128239}}</ref><ref name="LealISO16">{{cite web |url=https://advisera.com/27001academy/blog/2016/03/07/iso-27001-vs-itil-similarities-and-differences/ |title=ISO 27001 vs. ITIL: Similarities and differences |author=Leal, R. |work=The ISO 27001 & ISO 22301 Blog |publisher=Advisera Expert Solutions Ltd |date=7 March 2016 |access-date=16 June 2018}}</ref> [[ISACA|आई एस ए सी ए]] द्वारा विकसित [[COBIT|सीओबीआईटी]], सूचना सुरक्षा कर्मियों को नकारात्मक प्रभावों को कम करने और सूचना सुरक्षा और संकट प्रबंधन को नियंत्रित करते हुए सूचना प्रबंधन और शासन के लिए रणनीतियों को विकसित करने और लागू करने में सहायक एक ढांचा है,<ref name="CampbellPractical16-6" /><ref name="KimFundament16-225" /><ref name="WhiteWhat17">{{cite web |url=https://www.cio.com/article/3243684/methodology-frameworks/what-is-cobit-a-framework-for-alignment-and-governance.html |title=What is COBIT? A framework for alignment and governance |author=White, S.K. |work=CIO |publisher=IDG Communications, Inc |date=22 December 2017 |access-date=16 June 2018}}</ref> और [https://www.ism3.com -आईएसएम3] 2.0 उद्यमों के लिए [[द ओपन ग्रुप]] का प्रौद्योगिकी-तटस्थ सूचना सुरक्षा मॉडल है।<ref name="OGISM3">{{cite web |url=https://publications.opengroup.org/c17b |title=Open Information Security Management Maturity Model (O-ISM3), Version 2.0 |publisher=The Open Group |date=21 September 2017 |access-date=16 June 2018}}</ref>




== यह भी देखें ==
== यह भी देखें ==
* [[प्रमाणित सूचना प्रणाली सुरक्षा पेशेवर]]
* [[प्रमाणित सूचना प्रणाली सुरक्षा पेशेवर|प्रमाणित सूचना प्रणाली सुरक्षा व्यावसायिक]]  
* [[मुख्य सूचना सुरक्षा अधिकारी]]
* [[मुख्य सूचना सुरक्षा अधिकारी]]
* [[सुरक्षा सूचना प्रबंधन]]
* [[सुरक्षा सूचना प्रबंधन]]
Line 49: Line 49:


{{Authority control}}
{{Authority control}}
[[Category: सूचना प्रबंधन]] [[Category: सूचना प्रौद्योगिकी प्रबंधन]] [[Category: सुरक्षा]]


 
[[Category:CS1 English-language sources (en)]]
 
[[Category: Machine Translated Page]]
[[Category:Created On 11/05/2023]]
[[Category:Created On 11/05/2023]]
[[Category:Machine Translated Page]]
[[Category:Pages with script errors]]
[[Category:Templates Vigyan Ready]]
[[Category:सुरक्षा]]
[[Category:सूचना प्रबंधन]]
[[Category:सूचना प्रौद्योगिकी प्रबंधन]]

Latest revision as of 17:59, 18 May 2023

सूचना सुरक्षा प्रबंधन (ISM) उन नियंत्रणों को परिभाषित और प्रबंधित करता है जिन्हें किसी संगठन को यह सुनिश्चित करने के लिए लागू करने की आवश्यकता होती है कि यह खतरे और भेद्यता से संपत्ति की गोपनीयता, उपलब्धता और अखंडता की समझदारी से रक्षा कर रहा है। आईएसएम के मूल में सूचना संकट प्रबंधन सम्मिलित है, एक ऐसी प्रक्रिया जिसमें संकट का आकलन सम्मिलित है, जिसे एक संगठन को संपत्ति के प्रबंधन और सुरक्षा के साथ-साथ सभी उपयुक्त हितधारकों के लिए संकटों का प्रसार करना चाहिए।[1] इसके लिए उचित संपत्ति की पहचान और मूल्यांकन के कदमों की आवश्यकता होती है, जिसमें गोपनीयता, अखंडता, उपलब्धता और संपत्ति के प्रतिस्थापन के मूल्य का मूल्यांकन सम्मिलित है।[2] सूचना सुरक्षा प्रबंधन के भाग के रूप में, एक संगठन सूचना सुरक्षा पर आईएसओ/आईईसी 27001, आईएसओ/आईईसी 27002, और आईएसओ/आईईसी 27035 मानकों में पाए जाने वाले सूचना सुरक्षा प्रबंधन प्रणाली और अन्य सर्वोत्तम प्रणाली को लागू कर सकता है।[3][4]


संकट प्रबंधन और शमन

संक्षेप में सूचना सुरक्षा का प्रबंधन करने का मतलब संपत्ति के लिए विभिन्न खतरों और कमजोरियों को प्रबंधित करना और कम करना है, साथ ही एक ही समय में संभावित खतरों और कमजोरियों पर खर्च किए गए प्रबंधन प्रयासों को वास्तव में होने की संभावना को मापकर संतुलित करना है।[1][5][6] उदाहरण के लिए, सर्वर कक्ष में एक उल्कापिंड का दुर्घटनाग्रस्त होना निश्चित रूप से एक खतरा है, लेकिन एक सूचना सुरक्षा अधिकारी इस तरह के खतरे की तैयारी में बहुत कम प्रयास करेगा। जिस तरह लोगों को सिर्फ एक वैश्विक बीज बैंक के अस्तित्व के कारण दुनिया के अंत की तैयारी प्रारम्भ नहीं करनी है।[7]

उचित संपत्ति की पहचान और मूल्यांकन होने के बाद,[2]संकट प्रबंधन और उन संपत्तियों के संकट को कम करने में निम्नलिखित विषयों का विश्लेषण सम्मिलित है:[5][6][8]

  • ख़तरा: अवांछित घटनाएँ जो सूचना संपत्तियों के जानबूझकर या आकस्मिक नुकसान, क्षति, या दुरुपयोग का कारण बन सकती हैं
  • भेद्यताएँ: एक या अधिक खतरों द्वारा शोषण के लिए संवेदनशील सूचना संपत्ति और संबंधित नियंत्रण कितने संवेदनशील हैं
  • प्रभाव और संभावना: खतरों और भेद्यताओं से सूचना संपत्ति को संभावित नुकसान की भयावहता और वे संपत्ति के लिए कितना गंभीर संकट पैदा करते हैं; लागत-लाभ विश्लेषण भी प्रभाव मूल्यांकन का भाग हो सकता है या इससे अलग हो सकता है
  • भेद्यता प्रबंधन: संभावित खतरों और कमजोरियों के प्रभाव और संभावना को कम करने के लिए प्रस्तावित विधि(याँ)।

एक बार एक खतरे और/या भेद्यता की पहचान कर ली गई है और सूचना संपत्तियों पर पर्याप्त प्रभाव/संभावना के रूप में मूल्यांकन किया गया है, तो एक शमन योजना को अधिनियमित किया जा सकता है। न्यूनीकरण विधि का चयन काफी हद तक इस बात पर निर्भर करता है कि सात सूचना प्रौद्योगिकी (आईटी) डोमेन में से कौन सा खतरा और/या भेद्यता निहित है। सुरक्षा नीतियों (उपयोगकर्ता डोमेन) के प्रति उपयोगकर्ता की उदासीनता के खतरे को एक से बहुत अलग शमन योजना की आवश्यकता होगी। एक नेटवर्क (लैन-टू-वैन डोमेन) की अनधिकृत जांच और स्कैनिंग के खतरे को सीमित करने के लिए उपयोग किया जाता है।[8]


सूचना सुरक्षा प्रबंधन प्रणाली

एक सूचना सुरक्षा प्रबंधन प्रणाली (आईएसएमएस) एक संगठन के सभी परस्पर संबंधित / अंतःक्रियात्मक सूचना सुरक्षा तत्वों के संयोजन का प्रतिनिधित्व करती है ताकि संगठन की समग्र जानकारी सुरक्षा के बेहतर दायित्व के लिए नीतियों, प्रक्रियाओं और उद्देश्यों को बनाया, कार्यान्वित, संचार और मूल्यांकन किया जा सके। यह प्रणाली प्रायः एक संगठन की जरूरतों, उद्देश्यों, सुरक्षा आवश्यकताओं, आकार और प्रक्रियाओं से प्रभावित होती है।[9] एक आईएसएमएस में संकट प्रबंधन और न्यूनीकरण रणनीतियों को सम्मिलित किया जाता है और यह अपना योगदान देता है। इसके अतिरिक्त, किसी संगठन द्वारा आईएसएमएस को अपनाने से संकेत मिलता है "कि यह सूचना सुरक्षा संकटों की व्यवस्थित रूप से पहचान, मूल्यांकन और प्रबंधन कर रहा है और सूचना की गोपनीयता, अखंडता और उपलब्धता आवश्यकताओं को सफलतापूर्वक संबोधित करने में सक्षम होगा।"[10] हालाँकि, आईएसएमएस विकास, कार्यान्वयन और अभ्यास से जुड़े मानवीय कारक (उपयोगकर्ता डोमेन[8]) आईएसएमएस की अंतिम सफलता सुनिश्चित करने के लिए भी विचार किया जाना चाहिए।[11]


कार्यान्वयन और शिक्षा रणनीति घटक

एक प्रभावी सूचना सुरक्षा प्रबंधन (संकट प्रबंधन और शमन सहित) को लागू करने के लिए एक प्रबंधन रणनीति की आवश्यकता होती है जो निम्नलिखित पर ध्यान देती है:[12]

  • ऊपरी स्तर के प्रबंधन को सूचना सुरक्षा पहलों का दृढ़ता से समर्थन करना चाहिए, सूचना सुरक्षा अधिकारियों को "पूरी तरह कार्यात्मक और प्रभावी शिक्षा कार्यक्रम के लिए आवश्यक संसाधनों को प्राप्त करने के लिए" और, विस्तार से, सूचना सुरक्षा प्रबंधन प्रणाली का अवसर प्रदान करना चाहिए।
  • सूचना सुरक्षा रणनीति और प्रशिक्षण को एकीकृत किया जाना चाहिए और विभागीय रणनीतियों के माध्यम से संचार किया जाना चाहिए ताकि यह सुनिश्चित किया जा सके कि सभी कर्मचारी संगठन की सूचना सुरक्षा योजना से सकारात्मक रूप से प्रभावित हैं।
  • एक सूचना गोपनीयता प्रशिक्षण और जागरूकता "संकट मूल्यांकन" एक संगठन को हितधारकों के ज्ञान और सुरक्षा के प्रति दृष्टिकोण में महत्वपूर्ण अंतराल की पहचान करने में सहायता कर सकता है।
  • "प्रशिक्षण और जागरूकता कार्यक्रम की समग्र प्रभावशीलता को मापने" के लिए उचित मूल्यांकन पद्धतियां सुनिश्चित करती हैं कि नीतियां, प्रक्रियाएं और प्रशिक्षण सामग्री प्रासंगिक बनी रहे।
  • ऐसी नीतियां और प्रक्रियाएं जो उचित रूप से विकसित, कार्यान्वित, संप्रेषित और लागू की गई हैं, "संकट को कम करती हैं और न केवल संकट में कमी सुनिश्चित करती हैं, बल्कि लागू नियमों, विनियमों, मानकों और नीतियों का निरंतर अनुपालन भी सुनिश्चित करती हैं।"
  • सूचना सुरक्षा प्रबंधन के सभी पहलुओं के लिए उपलब्धियां और समयरेखा भविष्य की सफलता सुनिश्चित करने में सहायक हैं।

उपरोक्त सभी के लिए पर्याप्त बजटीय विचारों के बिना-मानक नियामक, आईटी, गोपनीयता और सुरक्षा विषयों को आवंटित धन के अतिरिक्त-एक सूचना सुरक्षा प्रबंधन योजना/प्रणाली पूरी तरह से सफल नहीं हो सकती है।

प्रासंगिक मानक

खतरों और कमजोरियों को कम करने के लिए उपयुक्त कार्यक्रमों और नियंत्रणों को लागू करने में संगठनों की सहायता के लिए उपलब्ध मानकों में आईएसओ/आईईसी 27000 मानकों का परिवार, आईटीआईएल फ्रेमवर्क, सीओबीआईटी फ्रेमवर्क और ओ-आईएसएम3 2.0 सम्मिलित हैं। आईएसओ/आईईसी 27000 परिवार सूचना सुरक्षा प्रबंधन और आईएसएमएस को नियंत्रित करने वाले कुछ सबसे प्रसिद्ध मानकों का प्रतिनिधित्व करता है और वैश्विक विशेषज्ञ विचार पर आधारित है। वे "सूचना सुरक्षा प्रबंधन प्रणालियों की सर्वोत्तम स्थापना, कार्यान्वयन, नियोजन, निगरानी, ​​समीक्षा, रखरखाव, अद्यतन और सुधार" के लिए आवश्यकताओं को निर्धारित करते हैं।[3][4]आईटीआईएल सूचना प्रौद्योगिकी के बुनियादी ढांचे, सेवा और सुरक्षा के प्रभावी प्रबंधन के लिए अवधारणाओं, नीतियों और सर्वोत्तम प्रथाओं के संग्रह के रूप में कार्य करता है, जो आईएसओ/आईईसी 27001 से कुछ ही तरीकों से भिन्न है।[13][14] आई एस ए सी ए द्वारा विकसित सीओबीआईटी, सूचना सुरक्षा कर्मियों को नकारात्मक प्रभावों को कम करने और सूचना सुरक्षा और संकट प्रबंधन को नियंत्रित करते हुए सूचना प्रबंधन और शासन के लिए रणनीतियों को विकसित करने और लागू करने में सहायक एक ढांचा है,[4][13][15] और ओ-आईएसएम3 2.0 उद्यमों के लिए द ओपन ग्रुप का प्रौद्योगिकी-तटस्थ सूचना सुरक्षा मॉडल है।[16]


यह भी देखें

संदर्भ

  1. 1.0 1.1 Campbell, T. (2016). "Chapter 1: Evolution of a Profession". Practical Information Security Management: A Complete Guide to Planning and Implementation. APress. pp. 1–14. ISBN 9781484216859.
  2. 2.0 2.1 Tipton, H.F.; Krause, M. (2003). सूचना सुरक्षा प्रबंधन पुस्तिका (5th ed.). CRC Press. pp. 810–11. ISBN 9780203325438.
  3. 3.0 3.1 Humphreys, E. (2016). "Chapter 2: ISO/IEC 27001 ISMS Family". Implementing the ISO/IEC 27001:2013 ISMS Standard. Artech House. pp. 11–26. ISBN 9781608079315.
  4. 4.0 4.1 4.2 Campbell, T. (2016). "Chapter 6: Standards, Frameworks, Guidelines, and Legislation". Practical Information Security Management: A Complete Guide to Planning and Implementation. APress. pp. 71–94. ISBN 9781484216859.
  5. 5.0 5.1 Watts, S. (21 June 2017). "IT Security Vulnerability vs Threat vs Risk: What's the Difference?". BMC Blogs. BMC Software, Inc. Retrieved 16 June 2018.
  6. 6.0 6.1 Campbell, T. (2016). "Chapter 4: Organizational Security". Practical Information Security Management: A Complete Guide to Planning and Implementation. APress. pp. 43–61. ISBN 9781484216859.
  7. Lundgren, Björn; Möller, Niklas (2019). "सूचना सुरक्षा को परिभाषित करना". Science and Engineering Ethics (in English). 25 (2): 419–441. doi:10.1007/s11948-017-9992-1. ISSN 1353-3452. PMC 6450831. PMID 29143269.
  8. 8.0 8.1 8.2 Kim, D.; Solomon, M.G. (2016). "Chapter 1: Information Systems Security". सूचना प्रणाली सुरक्षा के मूल तत्व. Jones & Bartlett Learning. pp. 2–46. ISBN 9781284128239.
  9. Terroza, A.K.S. (12 May 2015). "सूचना सुरक्षा प्रबंधन प्रणाली (ISMS) अवलोकन" (PDF). The Institute of Internal Auditors. Archived from the original (PDF) on 7 August 2016. Retrieved 16 June 2018.
  10. "Need: The Need for ISMS". Threat and Risk Management. European Union Agency for Network and Information Security. Retrieved 16 June 2018.
  11. Alavi, R.; Islam, S.; Mouratidis, H. (2014). "संगठनों में सूचना सुरक्षा प्रबंधन प्रणाली (आईएसएमएस) के मानव कारकों का विश्लेषण करने के लिए एक वैचारिक ढांचा". Proceedings of the Second International Conference on Human Aspects of Information Security, Privacy, and Trust. 8533: 297–305. doi:10.1007/978-3-319-07620-1_26.
  12. Tipton, H.F.; Krause, M. (2010). सूचना सुरक्षा प्रबंधन पुस्तिका. Vol. 3 (6th ed.). CRC Press. pp. 100–02. ISBN 9781420090956.
  13. 13.0 13.1 Kim, D.; Solomon, M.G. (2016). सूचना प्रणाली सुरक्षा के मूल तत्व. Jones & Bartlett Learning. p. 225. ISBN 9781284128239.
  14. Leal, R. (7 March 2016). "ISO 27001 vs. ITIL: Similarities and differences". The ISO 27001 & ISO 22301 Blog. Advisera Expert Solutions Ltd. Retrieved 16 June 2018.
  15. White, S.K. (22 December 2017). "What is COBIT? A framework for alignment and governance". CIO. IDG Communications, Inc. Retrieved 16 June 2018.
  16. "Open Information Security Management Maturity Model (O-ISM3), Version 2.0". The Open Group. 21 September 2017. Retrieved 16 June 2018.


बाहरी संबंध