1.1.1    اطلاعات شبکه

بر اساس مدل مفهومی ارائه‌شده در فصول پیشین، اولین گام در خصوص اقدامات مقدماتی ارزیابی امنیت شبکه کسب اطلاعات در خصوص سیستم می‌باشد. این کسب اطلاعات بر اساس استاندارد ایزو 27001 باید دربرگیرنده موارد زیر باشد:

  • مدیریت ریسک (شناخت کلیه ضعف‌ها و مخاطرات در بخش‌های مختلف از جمله توپولوژی شبکه، تجهیزات، سرویس‌دهنده‌ها و مدیریت و نگهداری شبکه و مدیریت امنیت و …)
  • سیاست‌گذاری‌ها و خط مشی‌ها (شامل تمامی سیاست‌های امنیتی بر مبنای دسته‌بندی‌های انجام‌شده بر روی منابع)
  • سازماندهی (در این بخش شبکه از نظر ساختار، نحوه ارتباط داخلی و خارجی، افزونگی، نوع دسترسی و … مورد بررسی قرار می‌گیرد).