More Related Content
Similar to برنامه مدیریت امنیت اطلاعات
Similar to برنامه مدیریت امنیت اطلاعات (20)
More from Yashar Esmaildokht
More from Yashar Esmaildokht (20)
برنامه مدیریت امنیت اطلاعات
- 1. خدا نام به اطلاعات امنیت مدیریت برنامه دخت اسمعیل یاشار تهیه و گرداوری: http://unixmen.ir @unixmens 1
- 2. بسیاری اهمیت از سازمانی هر در اطلاعات امنیت مدیریت منسجم و مدون برنامه یک سازیپیاده کهآن اول دارد همراه به مهم پیامد دو مسئله این به رسیدگی و توجه اعدم است برخوردار. . دهدمی قرار خطر معرض در را سازمان هایداده و کندمی وارد سازمان به ناپذیریجبران هایصدمه یک سازیپیاده درنتیجه شودمی سازمان یک به مشتریان ااعتماد رفتن دست از بااعث کهآن دوم و. باشد داشته قرار سازمانی هر کار سرلوحه بایستمی اطلاعات از حفاظت برای منسجم استراتژی. بررسی و شناسایی به گرفتیم تصمیم مقاله این در اساس همین بر10در تأثیرگذار و مهم جنبه استراتژی بنیان ،درواقع که اصول این بپردازیم اطلاعات امنیت حاکمیت هایاستراتژی و هاطرح. هاآن از اشتباهی تفسیر یا نشده سازیپیاده درستیبه اگر ،شوندمی شامل را اطلاعات امنیت بلکه ،سازندمی روبرو شکست با را سازمانی امنیت هایطرح ترینبزرگ تنهانه ،شود برداشت آورندمی وجود به سازمانی هایریزیبرنامه در را جدی امنیتی هایرخنه.این10توانندمی جنبه ریزیبرنامه یک تعریف از اطمینان حصول برای ارشد مدیران توسط ارزشیابی فرم یک اعنوانبه به اطلاعات امنیت آموزش هاسال ماحصل مقاله این گیرند قرار مورداستفاده تأثیرگذار و جامع. از بسیاری در اطلاعات امنیت هایپروژه در مشاوره همچنین و مخاطبان از ایگسترده طیف جهتازآن مقاله این است هاشرکت.10که است گرفته لقب اطلاعات امنیت مدیریت بارمرگ اشتباه را آن آمیزموفقیت پروژه یک سازیپیاده زمان در توانندمی هاآن به توجه اعدم صورت در کنند شدیدی هایبحران خوشدست. 1.است سازمانی مسئولیت یک اطلاعات امنیت که موضوع این درک اعدم در یکپارچه و ضروری بخش یک ،اطلاعات امنیت حاکمیت که باشید داشته یاد به را نکته این است کرده پیدا بیشتری اهمیت اخیر هایسال در موضوع این رودمی شمار به سازمانی حاکمیت. . سطح در را قانونی الزامات مواردی درباره حتی و شدهتبدیل المللیبین قانون یک به کهطوریبه طوربه و مشتریان خصوصی حریم تا شوندمی بااعث قوانین این برآیند است آورده وجود به جهانی. مشتریان خصوصی حریم و قرارگرفته قانون این لوای تحت بیماران به مربوط هایداده مثال زمینه این در را قوانینی هادولت از بعضی اساس همین بر بماند باقی ترخصوصی ازپیشبیش. قانونی نیازهایپیش و قوانین این ازجمله اندساخته هاآن اجرای به ملزم را هاسازمان و کرده اتخاذ. 2
- 3. به توانمیKing II Report،جنوبی آفریقای درECT Act، SAوHIPPA Actو)HIPPAدر ( کرد اشاره متحدهایالت. هاسازمان ارشد مدیران و مدیرههیئت که است گونهاین آمده وجود به تحولت ساده تفسیر هایدارایی تمام حفظ به نسبت و داشت خواهند اعهده بر را سازمان امور اداره مستقیم مسئولیت مقید را مدیران تنهانه قوانین این بود خواهند مسئول ایمن شیوه به سازمان یک اطلاعاتی. ایمن ایشیوه به باید سازمان اطلاعاتی هایدارایی از محافظت و امنیت حفظ درزمینه که سازندمی کار به اطلاعات امنیت حفظ برای را لزم تدابیر که کنندمی ملزم را هاآن بلکه ،کنند رفتار مسئولنه و این به توجهیبی باشند کوشش و تلش در وقفهبی کاربران اطلاعات داشتننگه ایمن برای و گرفته. سازمان برای را مالی تبعات و شده سازمان اطلاعاتی هایدارایی افتادن خطر به بااعث تنهانه قوانین این آورد خواهد همراه به هاسازمان برای را جدی قانونی و حقوقی مشکلت بلکه ،دارد همراه به. این در امنیتی مشکل هرگونه بروز مسئول اجرایی مدیران که کنندمی ااعلم صراحتبه قوانین هستند زمینه. از محافظت گزارش است موظف او دارد؛ اعهده بر را دیگری مسئولیت اجرایی مدیر ،این بر اعلوه دهد قرار مدیرههیئت اختیار در مشروح و منظم طوربه را سازمان اطلاعاتی هایدارایی. انجام را لزم هایتلش زمینه این در رودمی انتظار هاآن از که گونهآن اجرایی مدیران کهدرصورتی در را خود مطبوع سازمان و خود فردی تعهدات ،باشند کرده انگاریسهل زمینه این در و نداده داد خواهند قرار جدی مشکلت معرض. 2.فنی مسئله یک کهآن از بیش اطلاعات از حفاظت که موضوع این درک اعدم است تجاری موضوع یک باشد از کهاین دلیل به ،دارد را خود خاص چالش اما ،داشته اول اشتباه با تنگاتنگی ارتباط اشتباه این شوندنمی حل فنی ابزارهای با تنها سازمان یک امنیتی مشکلت شودمی سازمشکل دیگری زاویه. . ممکن زمان ترینسریع در نسبت همان به ،کند شناسایی را مشکل وقت اسرع در سازمانی مدیر اگر در اجرایی مدیران ،موارد از بسیاری در ،متأسفانه اما داشت؛ خواهد را مربوطه حلراه ارائه توانایی به را مشکل تنهانه درنتیجه ،است مشکلت همه اعل ج فناوری که هستند باور این بر هاسازمان را آن سراعتبه و گرفته نظر در اهمیتکم را مسئله بلکه ،کنندمی واگذار شرکت فنی دپارتمان 3
- 4. و باشد نداشته وجود اجرایی مدیر مستمر و مستقیم ،مناسب حمایت اگر کنندمی فراموش. رضایت طوربه باید که گونهآن امنیتی مشکل ،باشد کم امنیتی مشکل درزمینه آگاهی سطح همچنین وارد اطلاعات امنیت به فناوری ،شودمی بااعث مشکل این به توجهیبی شد نخواهد حل بخشی. هایسرمایه درنتیجه نکند ارائه مشکل از رفتبرون برای جامعی حلراه گونههیچ اعمل در اما ،شود. روندمی دست از راحتیبه سازمان یک. 3.قااعده یک اطلاعات امنیت بحث در حاکمیت که موضوع این درک اعدم است چندبعدی یک بنای سنگ دارید نظر در اگر است متعدد فاکتورهای از چندبعدی ایرشته اطلاعات امنیت. به محافظت سازمان یک اطلاعاتی هایدارایی همه از که کنید ریزیپایه را مناسب و ایمن محیط باید دیگراعبارتبه دهید قرار موردتوجه را یکدیگر با مرتبط امنیتی هایجنبه همه باید ،آورد اعمل. آن از که شودمی شامل را مختلفی ابعاد اطلاعات امنیت گیرند قرار موردبررسی مختلف هایمؤلفه. سازمانی حاکمیت بعد به توانمی جمله)Corporate Governance Dimensionسازمانی بعد ،) ( Organizational Dimensionگـــــذاریسیـــاســــت بعـــــــد ،()Policy Dimensionاعملکرد بهترین بعد ،) ( Best Practice Dimension،(اخلقی بعد)Ethical Dimensionمجــــوز دریــــافـت بعـــد ،() CertificationDimensionبیمه و قانونی بعد ،) (Legal dimension،(انسانـــــی پــرسنلــی بعـــــد) / Personnel/HumanDimension،(آگاهی بعد)Awareness Dimensionفنی بعد ،) (Technical Dimension،(سنجش بعد)Measurement/Metrics Dimensionبازرسی بعد درنهایت و) (Audit Dimensionکرد اشاره. ( هاآن به که مواردی ،کنیم ااعلم قاطعیت با دهدنمی اجازه ما به اطلاعات امنیت غیرساکن ماهیت تعدادی مواقع بسیاری در اما ،دارد وجود نیز دیگری فاکتورهای کهطوریبه ،هستند کامل ،شد اشاره نکته این به باید سازمان یک اطلاعات امنیت کارشناسان دارند پوشانیهم یکدیگر با فاکتورها از. و هامؤلفه تکتک دقیق بررسی معنای به امنیتی موفق الگوی یک سازیپیاده که باشند داشته توجه یک تا گیرند قرار موردبررسی جمعی صورتبه باید فاکتورها این همه بلکه ،نیست هاآن محتوای نگاه دقت با ،کردیم اشاره هاآن به قبل پاراگراف در که فاکتورهایی به اگر شود ساخته ایمن محیط. که ابعادی به توجهیبی صورت در دارند فنی غیر ماهیتی ابعاد این که کرد خواهید مشاهده ،کنید. 4
- 5. اطلاعات امنیت برای سردرگم کارراه یک تردقیق اعبارت به یا ناموزون کارراه یک ،شد اشاره هاآن به به دیگری ابعاد کردن اضافه نیازمند مداوم طوربه ،شودمی بااعث درنهایت که شد خواهد سازیپیاده گیرد قرار شما روی پیش کاری موازی یک موارد بعضی در بساچه ،باشید خود کارراه. 4.هایریسک روی باید اطلاعات امنیت برنامه که موضوع این درک اعدم باشد متمرکز شدهشناسایی را سازمان یک اطلاعاتی منابع با مرتبط خطرات تا شودمی گذاریپایه هدف این با اطلاعات امنیت که دهدمی نشان را خود اصلی کارکرد دقیق و مؤثر طوربه زمانی ،برنامه این دهد کاهش. شدهشناسایی قبل از ،گیرند قرار موردحفاظت باید که هاییدارایی ماهیت و احتمالی هایریسک بیهوده اساس از گمان و حدس مبنای بر امنیتی برنامه یک سازیپیاده صورت این غیر در باشند. که شود بررسی باید ابتدا مورد این در شودمی سازمان مالی منابع رفتن دست از بااعث فقط و بوده. به را سازمان یک امنیت هاریسک از یککدام به توجه اعدم و بوده کم تهدیداتی چه رخداد احتمال روی کلنی گذاریسرمایه سازمان تا شودمی بااعث اعوامل این درست تحلیل اعدم کشدمی چالش. هایریسک درنتیجه روندنمی شمار به سازمان برای جدی خطر یک لل اعم که دهد انجام هاییریسک. شوندمی سازمان در بزرگ رخنه یک ساززمینه درازمدت در و شده سپرده فراموشی دست به جدی. 5.الگوی بهترین به یافتندست برای المللیبین تجارب مهم نقش به توجه اعدم اطلاعات امنیت مدیریت هاآن برای پاسخی دنبال به و پرسیده خود از هاییسؤال همواره باید اطلاعات امنیت مدیر یک در متعددی سؤالت کند؟ مطرح خود برای باید را سؤالتی چه اطلاعات امنیت مدیر یک اما باشد؛ دارند سزایی به بس اهمیت زیر سؤال دو اما ،کرد بیان توانمی زمینه این. کرد؟ محافظت سازمان اطلاعاتی منابع از باید هاییریسک چه مقابل در کنند؟می سازیپیاده هاریسک برابر در را محافظت بهترین رو پیش کارهایراه از یککدام مدیر اگر روندمی شمار به اطلاعات امنیت دنیای مباحث ترینکلیدی از شد مطرح که سؤالی دو. 5
- 6. صرف سازمان مالی منابع آنگاه کند پیدا مناسبی پاسخ هاپرسش این برای نتواند سازمان یک امنیت امنیت حاکمیت دکترین بحث در بود خواهند فایدهبی لل اعم که شد خواهد الگوهایی سازیپیاده. و یادگیری دهندمی پاسخ گونهاین سؤالت این به کارشناسان المللیبین مقیاس در اطلاعات» : نگاه اگر است داشته همراه به دیگران برای موفقیتی که اطلاعات امنیت تجارب کارگیریبه«. خوبیبه ،باشیم داشته بزرگ هایسازمان شدن هک و اطلاعات سرقت ،اطلاعات امنیت به دقیقی سوی از که متقابلی اقدامات و هاآن از حاصل هایریسک ،امنیتی تهدیدات کنیممی مشاهده اگر دارند یکدیگر به زیادی بسیار شباهت اعمل در است اتخاذشده زمینه این در مختلف هایسازمان. برابر در اتخاذشده دفااعی کارهایراه و حوزه این در را خود اعملی تجربه که کردید پیدا را سازمانی تجارب از کنید سعی ،است کرده منتشر مکتوب و مستند صورتبه را احتمالی هایریسک کنید استفاده خود امنیتی هایریزیبرنامه در مستقیم طوربه سازمان آن از آمدهدستبه. باشید داشته دقت هاسؤال این به همواره دیگراعبارتبه: دهیم؟ انجام نو از است شدهانجام دیگران توسط که را کاری دارد لزومی چه کنیم؟ سازیپیاده مجدد بازبینی یک هستند اعیب بدون که هاییمحیط برای دارد لزومی چه به یکسانی شباهت اطلاعات فناوری هایمحیط بیشتر در اطلاعات امنیت زیرساختی هایجنبه کد تزریق حمله اثر در سایتی اگر مثال طوربه دارند یکدیگر.SQLاین ،است قرارگرفته هجوم مورد اطلاعات امنیت مدیران ترینمجرب حتی اما کند؛می صدق نیز دیگر هایسایت مورد در قااعده چگونه است؟ چگونه کارها انجام صحیح شیوه که کنندمی مطرح را سؤال این همواره سازمانی است؟ شده سازیپیاده صحیحی شیوه به شدهانجام کار که شوم آگاه حقیقت این به توانممی یک اطلاعات امنیت مبحث که است این باشند داشته توجه آن به باید اطلاعاتی مدیران که اینکته بزرگ هایسازمان و امنیتی کارشناسان هاسال طول در رودنمی شمار به نو و جدید رویکرد. هایسازمان کنند کشف را امنیتی استراتژی یک سازیپیاده قوت هاینقطه اندتوانسته اطلاعاتی. واحد سند یک تحت را هاآن و کرده آوریجمع گسترده ایمجمواعه قالب در را خود رویکردهای بزرگ قرار امنیت جامعه اختیار در هاییدستورالعمل و استانداردها قالب در که سندی سازندمی منتشر. هاآن از استفاده با تا گیرندمی قرار اطلاعات امنیت مدیران اختیار در اسناد این شودمی داده. 6
- 7. داشته امنیتی چهارچوب یک از درستی تفسیر کنید سعی کنند دهیسازمان را خود هایمشیخط. همیشه برای هاچهارچوب این از اعینی الگوبرداری که کنید تصور گونهاین نباید دیگراعبارتبه ،باشید مناسبی شیوه به اصول این از بکوشید بلکه ،کنندمی محافظت امنیتی تهدیدهای برابر در شما از آدرس به زمینه این در منتشرشده اعینی هاینمونه بهترین به دسترسی برای کنید استفاده.ISOو Securityforumکنید مراجعه. 6.رویکرد یک ،سازمان اطلاعات امنیت گذاریسیاست که مسئله این درک اعدم است ضروری باشیم داشته نگاهی اطلاعات امنیت مدیریت با ارتباط در منتشرشده المللیبین مستندات به اگر امنیت در صحیح گذاریسیاست یک بر هادستورالعمل این همه که کنیممی مشاهده خوبیبه همه موفقیت ضامن صحیح گذاریسیاست یک اتخاذ کهطوریبه دارند تأکید سازمانی اطلاعات. بر سرآغازی کلی و صحیح گذاریسیاست یک سازیپیاده است اطلاعات امنیت مدیریت هایبرنامه. را استانداردها و اطلاعات امنیت کلن و خرد هایسیاست همه که است جامع چهارچوب یک دهدمی قرار خود الشعاعتحت. ارشد مدیر امضای برسد سازمان مقام ارشدترین امضای به و بوده کوتاه باید گذاریسیاست این. مدیر اگر دارد سازمان اجرایی مدیر بودن متعهد از نشان کهطوریبه است تعهد یک گربیان نواعیبه. . در امنیتی هایتلش و هاپروژه همه آنگاه ،باشد تفاوتبی امنیتی گذاریسیاست به نسبت اجرایی اعدم جهت در اعاملی موضوع همین و شوندمی برداشت تعهد و مرجع نقطه فاقد بال سطوح همراه به نیز را دیگری اعدیده مشکلت است ممکن بساچه بود خواهد هابرنامه واقعی پیشرفت. داشتهباشد. 7.اطلاعات امنیت بر نظارت و قوانین از پیروی که موضوع این درک اعدم است ضروری لل کام موضواعی یک داشتن ،نباشد پذیرامکان سازمان یک در شده اتخاذ هایسیاست از پیروی و نظارت امکان اگر و حمایتی خرد هایسیاست از برخورداری حتی یا سازمان یک در جامع اطلاعاتی امنیت سیاست هایسیاست کهدرصورتی داشت نخواهد همراه به سودی گونههیچ المللیبین الگوهای از پیروی. 7
- 8. امنیت مدیران شد خواهند اختلل بروز برای اعاملی خود باشند نداشته اجرا قابلیت شده اتخاذ. هایبرنامه اجرای روند بر نظارت و بازرسی توانایی فنی مباحث از فارغ بتوانند باید اطلاعات اتخاذ توانایی ،نکرد پیروی هاسیاست این از سازمان یک از بخشی اگر و باشند داشته را امنیتی و نظارت ابزارهای با اغلب که هابازرسی این باشند داشته را مربوطه بخش برای لزم هایتصمیم. دوسالنه یا سالیانه صورتبه که باشند حسابرسی هایگزارش مبنای بر نباید شوندمی انجام سنجش سیستم به هنوز است گذشته اخراجش از ماه شش که کارمندی آیا مثال طوربه شودمی ارائه. این باشند داشته را ایلحظه هایگزارش ارائه توانایی باید نظارتی ابزارهای خیر یا دارد دسترسی. . بروند دادهرخ اشتباه سراغ به مستقیم طوربه که باشند شدهطراحی ایگونهبه باید همچنین ابزارها به را ذهنیت این ،شود تفسیر اشتباهبه سیاست این اگر باشد پذیرامکان آسانیبه آن مدیریت تا. اشتباهات دامنه اعمل در اما ایم؛گذاشته اجرا مرحله به را لزم هایسیاست همه ما که آوردمی وجود سپرده فراموشی دست به نیز سیاستی الگوهای از پیروی همچنین و شده ترگسترده مرورزمانبه شد خواهند. 8.حاکمیت برای متناسب ساختار یک سازیپیاده که موضوع این درک اعدم است ضروری امری اطلاعات امنیت ساختار یک از سازمان که است این اطلاعات امنیت حاکمیت طرح یک سازیپیاده برای لزم شرط و دهیسازمان نحوه به ایویژه توجه باید ساختار این کند تبعیت منظور این برای مناسب سازمانی. برای استانداردها از بسیاری توسط ساختار این سازیپیاده باشد داشته اطلاعات امنیت اجرای. یک وجود که دهندمی نشان امنیت جهانی هایدستورالعمل است شده تأیید اطلاعات مدیریت. و کندمی نقش ایفای اطلاعات امنیت برای مشاوره مرکز یک معنای به مناسب سازمانی ساختار تنهانه بعدب این شود سازیپیاده سازمان یک در موفقیت با اطلاعات امنیت الگوی شودمی بااعث. امنیت با مرتبط شغلی هایمسئولیت همچون هاییجنبه به بلکه ،دهدمی قرار موردتوجه را ساختار اطلاعات امنیت در ارشد مدیران مشارکت و اطلاعات امنیت با مرتبط وظایف بین ارتباط ،اطلاعات اطلاعات امنیت مدیریت هایجنبه کدام شودمی مشخص ساختار این در کندمی رسیدگی نیز. 8
- 9. همچنین هستند برخوردار بودن متمرکز لحاظ به کمتری اهمیت درجه از هاجنبه کدام و متمرکز. گیرد قرار موردتوجه قوانین از پیروی و اجرا ،نظارت باید هابخش کدام در دهدمی نشان وضوحبه. امنیت مدیر دست به مستقیم طوربه امنیتی مشکلت همه شودمی بااعث مسئله این به توجه اعدم بر را متصدی یک نقش بلکه نیست اطلاعات این مالک امنیت مدیر کهدرحالی ،شود سپرده اطلاعات اطلع افراد و نشود تعریف درستیبه اطلاعات مالکیت ،اطلاعات امنیت ساختار در اگر دارد اعهده. خواهند اطلاعات امنیت افتادن خطر به مسئول هاآن ،اطلاعات افشای صورت در که باشند نداشته با ارتباط در پذیریمسئولیت همچنین آمد خواهد وجود به بزرگی امنیتی مخاطرات آنگاه ،بود. نه گیرد قرار موردتوجه کارکنان همه توسط اشتراکی وظیفه یک قالب در باید اطلاعات امنیت. تنهانه مسئله این شود گرفته نظر در اطلاعات امنیت مدیر هایمسئولیت جزء موارد این همه کهاین. باشد شدهتعریف سازمان اصلی چارت در درستیبه باید بلکه شود داده نشان شفاف صورتبه باید. 9.باید اطلاعات امنیت از کاربران آگاهی سطح که حیاتی موضوع این درک اعدم یابد افزایش از بسیاری در ندارد توضیحی گونههیچ به نیازی و است روشن و مشخص لل کام اشتباه این هرچند. از بسیاری در کهطوریبه ندارد وجود کاربران صحیح سازیآگاه برای ایبرنامه گونههیچ هاسازمان. ،دارد قرار هاآن توسط مورداستفاده هایزیرساخت پیرامون که هاییریسک از کاربران موارد اطلاعات امنیت هایگذاریسیاست از حتی کاربران هاسازمان از بعضی در ندارند اطلاعی گونههیچ. کاربران برای اگر ندارند اطلاعی گونههیچ نیز ،است شدهتعریف شرکت در که استانداردهایی و. چه هاآن بروز از گیریپیش برای و هستند مشکلتی چه امنیتی مشکلت که نشود داده توضیح دانست مقصر را هاآن تواننمی امنیتی مشکلت بروز صورت در ،شود انجام باید اقداماتی. مصرف کاربران آگاهی سطح افزایش با ارتباط در جامع رسانیاطلع برای که پولی طورکلیبه بروز از غایت در اما ،است بیشتر شودمی اطلاعات امنیت صرف که پولی با مقایسه در شودمی آوردمی اعمل به جلوگیری ناپذیرجبران صدمات. 10.سازوکارهای و ابزارها ،هازیرساخت از اطلاعات امنیت مدیران شدن غافل دارند نیاز هاآن به خود هایمسئولیت اجرای برای که حمایتی 9
- 10. اساسی مشکل یک اعنوانبه اما دارد؛ هشت و هفت شماره اشتباهات با مستقیمی ارتباط اشتباه این اعنوانبه را فردی اجرایی مدیران هاسازمان در که است شدهدیده بسیار گیردمی قرار موردتوجه. را اطلاعات امنیت با مرتبط مسائل همه تا دارند انتظار او از و کنندمی تعیین اطلاعات امنیت مدیر امنیت بودن بعدیب چند و هامکانیسم بودن پیچیده دلیل به اعمل در اما دهد؛ قرار موردبررسی اطلاعات امنیت مدیران ،شودمی بااعث الگویی چنین اتخاذ نیست پذیرامکان کار این اطلاعات. امنیت کنترل رفتهرفته و ندارند را خود وظیفهانجام توانایی که شوند آگاه واقعیت این به سراعتبه مخاطرات معرض در سازمان تا شودمی بااعث موضوع این شودمی خار ج هاآن دست از اطلاعات. داشت نخواهد وجود موضواعات کنترل درروند پیوستگی که دلیل این به ،گیرد قرار جدی امنیتی. شد نخواهد سازیپیاده کامل طوربه گاههیچ امنیتی برنامه درنتیجه 10