شهره بهنام ارزنده - دانشجوی کارشناسی ارشد مدیریت منابع اطلاعاتی- ( فناوری اطلاعات)
ناصر مدیری - هئیت علمی دانشگاه آزاد اسلامی واحد زنجان، دانشکده برق و کامپیوتر

هر شرکت یا سازمان، پیش از اجرای تست نفوذ، به یک سیاست امنیتی نیاز دارد سیاست امنیتی، یک آئین نامه رسمی از قوانینی است که باید توسط افرادی که دسترسی به دارایی های اطلاعاتی و فناوری یک شرکت یا سازمان دارند، رعایت شوند تدویه سیاست امنیتی باید با توجه به ارزش دارایی ها و منابع اطلاعاتی شرکت انجام شده و سپس رویه های امنیتی مناسب با آنها ایجاد شوند فاکتور اصلی در تعییه رویه ها و کنش های امنیتی مناسب در سیاست امنیتی کامپیوتر، هزینه ای است که شرکت در صورت از دست دادن داده ها متحمل می شود قبل از اجرای تست نفوذ لازم است برای آن برنامه ریزی شده و میزان آزادی عمل تست و قلمروی آن دقیقا معین شود همچنین در این مرحله باید در مورد اجرای تست به شیوه جعبه سفید و یا جعبه سیاه تصمیم گیری صورت گیرد، اعضای تیم مشخص گردند، معیارهای موفقیت تست تعریف و مجوز مدیریت دریافت گردد در این مرحله با توجه به حوزه تست نفوذ، پارامترهای ضروری برای تشخیص آسیب پذیری ها تعیین می گردد برای رسیدن به این هدف ، نیازمند یک مدل منسجم و همه جانبه و دقیق و کارشناسی شده بروی روش ها و تکنیک ها جهت ارزیابی ریسک های موجود هستیم از آنجا که داده ها در حین انجام تست نفوذ ریسک های بسیاری را متحمل می شوند همواره موجب نگرانی های امنیتی و تهدیدات مختلفی از طرف افراد ممیزی و صاحبان آن اطلاعات شده اند و این موضوع سبب شده است که به دنبال راهی برای بهبود امنیت به شیوه طراحی یک مدل پایدار در این راستا باشیم

ممی ی و آزمون نفوذ امنیتی، ریسک های عملیاتی ، امنیت اطلاعات