یکشنبه, 01 مهر 1397

ثبت شناسه مشترکین ماهنامه


کاربران گرامی به منظور تکمیل فرآیند اشتراک ماهنامه می بایست شناسه اشتراک ( شناسه عددی 5 رقمی ) خود را که به تلفن همراه شما ارسال شده است را در این فرم کنید. در صورت ثبت [ ... ]

کاربران

ثبت نام ورود به سایت

Login

نام کاربری
رمز عبور
Remember Me

ثبت نام

Fields marked with an asterisk (*) are required.
نام
نام کاربری
رمز عبور
تکرار رمز عبور
ایمیل
تکرار ایمیل

حاضرین در سایت

ما 6 مهمان و بدون عضو آنلاین داریم

سرمقاله شماره 104 (سند سیاست های امنیتی سازمانها)

در دنیایی که وجه مشخصه آن فناوری سطح بالا و ارتباطات گسترده می باشد، هر سازمانی نیاز به سیاست های امنیتی که مدبرانه تدوین شده  باشند دارد. در هر لحظه خطرات مختلفی از بیرون و درون سازمان توسط هکرها، رقبا و یا کشورهای خارجی منافع سازمان را تهدید می کند. هدف سیاست های امنیتی تعریف روال ها، راهنماها و تمریناتی است که امنیت را در محیط سازمان برقرار و مدیریت می نماید. با اجرای دقیق سیاست های امنیتی، سازمان ها می توانند تهدیدات را کاهش دهند.

 

سیاست امنیتی یک سازمان سندی است که برنامه های سازمان برای محافظت سرمایه های فیزیکی و مرتبط با فناوری ارتباطات را بیان می نماید. به سیاست امنیتی به عنوان یک سند زنده نگریسته می شود، بدین معنا که فرایند تکمیل و اصلاح آن هیچ گاه متوقف نشده، متناسب با تغییر فناوری و نیازهای کاربران به روز می شود. چنین سندی شامل شرایط استفاده مجاز کاربران، برنامه آموزش کاربران برای مقابله با خطرات، توضیح معیارهای سنجش و روش سنجش امنیت سازمان و بیان رویه ارزیابی موثر بودن سیاست های امنیتی و راه کار به روز رسانی آنها می باشد.

هر سیاست امنیتی مشخص کننده اهداف امنیتی و تجاری سازمان است ولی در مورد راه کارهای مهندسی و پیاده سازی این اهداف بحثی نمی کند. سند سیاست امنیتی سازمان باید قابل فهم، واقع بینانه و غیر متناقض باشد، علاوه بر این از نظر اقتصادی امکان پذیر، از نظر عملی قابل انعطاف و متناسب با اهداف سازمان و نظرات مدیریت آن سطح حافظتی قابل قبولی را ارائه نماید.

 

بهترین روش برای دستیابی به امنیت اطلاعات، فرموله کردن سیاست امنیتی است. مشخص نمودن سرمایه های اصلی که باید امن شوند و تعیین سطح دسترسی افراد (به عبارت دیگر اینکه چه افرادی به چه سرمایه هایی دسترسی دارند) در اولین گام باید انجام شود. هدف اصلی از سیاست امنیتی این است که کاربران بدانند مجاز به چه کارهایی هستند و از سوی دیگر مدیران سیستم و سازمان را در تصمیم گیری برای پیکربندی و استفاده از سیستم ها یاری رساند.

برای تدوین سیاست امنیتی پس از تحلیل ریسک های سازمان، می توان به روش هایی که دیگران برگزیده اند متوسل شد. معمولا تجارب مفیدی که قبلا در صنایع مشابه انجام شده و نتایج خوبی از آنها نتیجه شده است به صورت عمومی گزارش شده و در قالب مقالات تخصصی ارائه می گردند. استانداردهای شناخته  شده ای نیز برای این کار وجود دارد که می توان از آنها هم بهره گرفت.

سازمان های بزرگ و متوسط برای تعریف سیاست  امنیتی خود ناچار به پیروی روش بالا به پایین می باشند. ولی برای سازمان های کوچک انجام این کار به روش پایین به بالا نیز امکان پذیر است. در این حالت از قابلیت های ابزارهای موجود بهره گرفته می شود.

 

 

بهترین سیاست امنیتی در شرایطی تدوین می گردد که مدیریت سازمان سیاست کلی را ارائه نموده و یا دستور پیاده سازی اصول امنیتی را در سازمان صادر کند. تدوین کنندگان سیاست سازمان باید فعالیت خود را بر پایه اصول و استانداردهای صنعتی مانند ISO17799 و یا HIPAA انجام دهند. رویه ها،  راهنماها و تجربیات پایه ای برای ایجاد و توسعه فناوری امنیتی در سازمان های مختلف هستند. محصولاتی مانند ESM سازگاری و انعطاف سیاست را با سیاست ها و روال های امنیتی سیستم عامل ها، پایگاه داده ها و برنامه های کاربردی ارزیابی می نمایند. این ابزارها ممکن است با محیط کامپیوتری و شبکه سازمان در تعامل باشند.

 

استانداردها و روال های امنیتی

سیاست های امنیتی دربردارنده کلیه انتظارات، برنامه ها و اهداف عملیاتی مدیریت سازمان می باشد. برای عملیاتی و قابل اجرا بودن، سیاست امنیتی باید با استفاده از استانداردها، راهنماها و رویه های شناخته شده تعریف شود که اطمینان از سازگاری کلیه عملیات اجرایی با سیاست های امنیتی حاصل گردد.

استاندارها، راهنما ها و روال ها تفسیر خاصی از سیاست را ارائه می کنند و کاربران، مشتریان و مدیران سازمان را برای پیاده سازی سیاست آماده می نمایند.

 

ساختار سیاست امنیتی

ساختار سیاست امنیتی مرکب از اجزاء زیر می باشد:

  • ·        عبارتی در رابطه با موضوع سیاست
  • ·        چگونگی اجرای سیاست در محیط سازمان
  • ·        نقش و مسئولیت افراد مختلف تاثیر گذار در سیاست
  • ·        سیاست به چه میزان انعطاف پذیر است؟
  • ·        اعمال، فعالیت ها و فرایندهای مجاز و غیر مجاز
  • ·        موارد سخت گیری و عدم انعطاف سیاست

 

سردبیر