بایگانی برچسب: s

مسئولیت مدیران در چرخه امنیت اطلاعات

برای هر فردی که در حوزه امنیت اطلاعات سازمانی تجربه کار داشته باشد، اهمیت موضوع حمایت واقعی و عملی رهبران سازمان، به طور مشخص مدیران ارشد، از برنامه های امنیتی سازمان امری بدیهی و واضح است. در واقع یکی از بزرگ­ترین چالش­های یک تیم امنیت اطلاعات و به خصوص مدیر امنیت اطلاعات، جلب حمایت کافی این مدیران است که تأثیر مستقیم بر اثربخشی فعالیت­ها و برنامه­ها دارد. بخش عمده­ای از این حمایت ناشی از درک رهبران سازمان نسبت به اهمیت امنیت اطلاعات و نقش آن در پیشبرد اهداف سازمان یا ایجاد مانع برای رسیدن به آن اهداف است. به بیان دیگر، اگر مدیریت سازمان قائل به حداقل­های لازم اولویت و اهمیت برای موضوع امنیت اطلاعات نباشد، طبعاً حمایت مناسبی هم صورت نخواهد گرفت.

اما دلیل تأکید بر حمایت رهبران سازمان و نقش ویژه آن در پیشبرد برنامه­های امنیتی چیست؟ پاسخ این سؤال را باید در ماهیت غیر کارکردی امنیت اطلاعات در اکثر کسب و کارها جستجو کرد. امنیت اساساً از جنس کیفیت است و در اکثر قریب به اتفاق سازمان­ها، نه به عنوان بخشی از کسب و کار اصلی بلکه عاملی برای تضمین کیفیت کسب و کار است. در نتیجه به راحتی می­تواند قربانی اولویت­ها و فوریت­های مربوط به جنبه­های اصلی کسب و کار شود. به عنوان مثال، تعویق چندباره جلسات مربوط به امنیت اطلاعات یا تأخیرهای طولانی در اختصاص هزینه برای کنترل­های امنیتی از نشانه­های عدم حمایت لازم است. به علاوه، بخشی از وظایف امنیت اطلاعات، جنبه ممیزی داشته و با بخش­های مختلف سازمان از دیدگاه ممیزی ارتباط دارد. در نتیجه انواع مقاومت­های سازمانی از این جنبه در برابر برنامه­های امنیت اطلاعات وجود خواهد داشت.

استاندارد ایزو ۲۷۰۰۱:۲۰۱۳ در بخش الزامات عمومی سیستم مدیریت امنیت اطلاعات، بر اهمیت رهبری سازمان در حوزه امنیت اطلاعات تأکید می­کند. در این استاندارد می­بینیم که موضوع حمایت مدیران ارشد از امنیت اطلاعات در سه جنبه اصلی الزام شده است:

۱-    رهبری و تعهد

۲-    خط مشی های امنیتی

۳-    نقش­ها، مسئولیت­ها و اختیارات سازمانی

در اینجا بر اساس متن استاندارد مورد اشاره، برخی از نشانه­های حمایت عملی و موثر رهبران سازمان از موضوع امنیت اطلاعت را بررسی می­کنیم.

در بخش رهبری و تعهد، مدیران ارشد سازمان باید این موضوع را با اقدامات زیر به شکل عملی نشان دهند:

۱-    رهبران باید از همراستا بودن اهداف و برنامه­های امنیت با جهت گیری استراتژیک کل سازمان اطمینان حاصل کنند.

۲-    رهبران باید از دخیل بودن امنیت اطلاعات در همه فرآیندهای  سازمانی اطمینان حاصل نمایند.

۳-    تآمین منابع لازم برای اجرای برنامه­های امنیتی سازمان.

۴-    رهبران باید جایگاه ویژه امنیت اطلاعات را با تعامل در همه بخش­های سازمان مشخص کنند.

 مدیریت ارشد سازمان نقش بسیار حیاتی در استقرار خط­ مشی امنیت اطلاعات دارد:

۱-    مدیران ارشد باید از مناسب بودن خط مشی امنیت برای کسب و کار خود اطمینان حاصل کنند.

۲-    آنها باید از وجود اهداف امنیت اطلاعات در خط مشی یا استقرار روشی برای ایجاد این اهدف اطمینان حاصل کنند.  

۳-    مدیران ارشد باید نسبت به بهبود مستمر امنیت اطلاعات متعهد باشند.

همچنین، مدیران ارشد سازمان باید از تخصیص وظایف، نقش­ها و اختیارات مورد نیاز در حوزه امنیت اطلاعات در زمینه های زیر اطمینان حاصل کنند:

۱-    اطمینان از منطبق بودن سیستم مدیریت امنیت با کلیه الزامات استاندارد ایزو ۲۷۰۰۱ .

۲-    گزارش کارآیی و اثربخشی سیستم مدیریت امنیت اطالعات به مدیران سطح بالای سازمان.

هر یک از آیتم های عنوان شده در بخش رهبری و تعهد در استاندارد ایزو ۲۷۰۰۱، با بخشی از واقعیت های موجود در سازمان­ها منطبق است. به همین دلیل برای افرادی که در حوزه امنیت اطلاعات سازمانی مشغول به کار هستند، هر آیتم دارای ارزش و اهمیت قابل لمس است.

با این حال، این موضوع را نمی­توان یک طرفه و صرفاً از جنبه وظایف رهبران سازمان بررسی کرد. به عبارت دیگر، عملکرد افراد و تیم های امنیت سازمان نیز در نوع نگاه رهبران سازمان بی تأثیر نیست. امنیت اطلاعات به خودی خود نه تنها محصول قابل لمس تولید نمی­کند، بلکه در ظاهر مدام در حال هزینه تراشیدن برای سازمان است. اصلاح این دیدگاه در میان مدیران ارشد سازمان کار ساده ای نیست و اساساً اینکه چگونه و با چه زبانی باید با مدیران ارشد سازمان در خصوص امنیت اطلاعات صحبت کرد تا این دیدگاه در میان آنها رشد نکند، نیاز به تجربه بالایی دارد.

بنابراین اگر بخواهیم  چالش حمایت رهبران و مدیران ارشد سازمان از امنیت اطلاعات را مرتفع کنیم، لازم است هم آن را از دیدگاه وظایف مدیران و هم از دیدگاه مهارت مدیر امنیت اطلاعات بررسی و حل کنیم.

این یادداشت در شماره ۶۶ نشریه بانکداری الکترونیک منتشر شده است. دانلود فایل

اشتراک گذاری

دوره آموزشی الزامات ایزو ۲۷۰۰۱:۲۰۱۳

فردا آخرین جلسه از جلسات آموزش الزامات استاندارد ایزو ۲۷۰۰۱:۲۰۱۳ در شرکت امدادخودرو سایپا برگزار خواهد شد.

اشتراک گذاری

دوره الزامات ایزو ۲۷۰۰۱:۲۰۱۳

در سه هفته اخیر سه دوره یک روزه آموزشی با عنوان الزامات ایزو ۲۷۰۰۱:۲۰۱۳ در شرکت امداد خودرو سایپا برگزار کردم. این دوره ها به صورت هفته ای یک روز برای عموم پرسنل شرکت برگزار شد.

اشتراک گذاری

ارتباط سیستم مدیریت امنیت اطلاعات و مرکز عملیات امنیت

بسیاری از افراد این سوال برایشان پیش می آید که ارتباط سیستم مدیریت امنیت اطلاعات (ISMS) و مرکز عملیات امنیت (SOC) چیست؟ آیا یکی پیشنیاز دیگری است؟ آیا استقرار یکی مستلزم استقرار دیگری است؟ آیا این دو کلاً مستقل هستند و به دو حوزه متفاوت می پردازند؟

از چند منظر می شود ارتباط بین ISMS و SOC را توضیح داد.

۱- سیستم مدیریت امنیت اطلاعات بر دیدگاه “فرآیند ـ محور” نسبت به امنیت اطلاعات تأکید دارد. یکی از اهداف مهم این سیستم، استقرار فرآیندهای اصلی امنیت اطلاعات از جمله “پایش امنیت” در محدوده ISMS است. فرآیند پایش امنیت یکی از کارکردهای اولیه مرکز عملیات امنیت است. در نتیجه، با استفاده از SOC می توان برخی فرآیندهای مهم امنیت اطلاعات را که مدنظر ISMS هم هست، در سازمان مستقر کرد. البته این به آن معنی نیست که این فرآیندها الزاماً باید در قالب SOC پیاده سازی شوند.

۲- محدوده فیزیکی و منطقی استقرار سیستم مدیریت امنیت اطلاعات در یک سازمان می تواند دربرگیرنده بخش هایی مثل شبکه داخلی، سرویس های اینترنتی، مرکز داده و غیره باشد. به همین ترتیب، SOC سازمان هم می تواند جزئی از محدوده ISMS باشد. یعنی سازمان می تواند ISMS را در SOC خود پیاده سازی کرده و گواهی ISO 27001 را در این محدوده دریافت کند.

به نظرم یکی از ریشه های اینگونه پرسش ها، نگاه “پروژه ـ محور” به مقوله امنیت اطلاعات است. به طور مشخص، خیلی از سازمان ها در چند سال گذشته روی استقرار سیستم مدیریت امنیت اطلاعات تمرکز داشته اند. فارغ از اینکه این پروژه در آن سازمان ها موفق بوده یا خیر، این سوء تفاهم در بسیاری ایجاد شده که امنیت اطلاعات برابر است با ISMS . حالا که همین نگاه اشتباه در برخی افراد نسبت به SOC وجود دارد، طبعاً پرسشهایی از قبیل فوق به ذهن می رسد.   

اشتراک گذاری

سخنرانی ماهانه انجمن رمز ایران

عنوان سخنرانی :سیستم مدیریت امنیت اطلاعات (ISMS)
سخنران: آقای مهدی کفایتی
مکان: سالن خوارزمی دانشکده مهندسی کامپیوتر- دانشگاه صنعتی شریف
زمان: شنبه ۲۴/۲/۸۴ ساعت ۱۷:۳۰ الی ۱۹:۳۰

چکیده:
با رشد و گسترش اطلاعات و سیستمهای اطلاعاتی در زندگی بشر و وابستگی هرچه بیشتر زندگی و کسب و کار به فن‌آوری‌های مربوطه از یک سو و گسترش مسائل، مشکلات و ناامنی‌ها در سیستمها و فن‌آوری‌های مربوطه از سوی دیگر، نقش امنیت اطلاعات بیش از پیش پر رنگ‌تر و مهم‌تر جلوه می‌نماید. از طرفی گستردگی و ناهمگونی فن‌آوری در لایه‌های مختلف سیستمهای اطلاعاتی، به کارگیری سیستمهای مدیریت امنیت اطلاعات را جهت هدف بخشی، تضمین یکپارچگی و هماهنگی فعالیتهای انجام شده به منظور نیل به اهداف امنیت تدوین شده در راستای اهداف کسب و کار سازمانها و تضمین رشد و بقاء سیستم امنیت اطلاعات به یک الزام مبدل ساخته است. در این ارائه برآنیم تا پس از ذکر اصول امنیت اطلاعات و تبیین جایگاه آن در سازمان به معرفی سیستم مدیریت امنیت اطلاعات (ISMS)، اهداف ، جایگاه نیازمندی‌ها، کارکردها و معرفی الگوهای سرآمدی در زمینه برپاسازی و راهبری آن بپردازیم.

اشتراک گذاری