ه‍.ش. ۱۳۹۰ اردیبهشت ۱۹, دوشنبه

مدیریت ریسک های فناوری اطلاعات در سازمان، به روش Microsoft

مدیریت ریسک های فناوری  اطلاعات در سازمان، به روش Microsoft

طبق تعریف شرکت مایکروسافت:

ریسک در فناوری اطلاعات، احتمال رخنه کردن آسیب‌پذیریهایی در فضای کار است که منجر به از دست رفتن بخشی از قابلیت اعتماد، صحت و دسترسی پذیری یک منبع یا دارایی (سخت‌افزار، نرم‌افزار، اطلاعات و غیره) می‌گردد.

در نتیجه مدیریت ریسک، میزان آمادگی یک سازمان، شرکت یا گروه برای مقابله و جلوگیری، پذیرش یا اصلاح یک ریسک یا تبعات آن می‌باشد.

مبحث مدیریت ریسک در امنیت اطلاعات (ITS) یکی از استانداردهای مهمی است که هر سازمان مرتبط با IT باید در استقرار آن کوشا باشد. این استانداردها در رده ISO 27000 تا 27011 قرار می‌گیرند. در این رابطه مستندات و آزمون‌های زیادی از شرکت Microsoft منتشر شده است که خلاصه یکی از آنها به صورت زیر است. (یک مورد کلی)


برای بررسی میزان آمادگی سازمان خود جهت استقرار یک سیستم مدیریت ریسک جامع، 17 مورد زیر را مطالعه نموده و در هر مورد به خود امتیازی از 0 تا 5 اختصاص دهید. معیار امتیاز دهی در هر مورد به صورت زیر است:

0: چنین روالی در سازمان ما وجود ندارد. (Non-existent)
1: بدون برنامه قبلی و به صورت موردی انجام شده است. (Ad-Hoc)
2: بدون برنامه صحیح، گاهی تکرار می‌شود. (Repeatable)
3: روال تعریف شده‌ای وجود دارد. (Defined Process)
4: روال تعریف شده و به خوبی مدیریت می‌گردد. (Managed)
5: به خوبی و به بهترین شکل ممکن انجام می‌شود. (Optimized)

موارد مورد بررسی:

  1. روالها و خط مشی‌های امنیت اطلاعات در این سازمان، روشن، صریح، کامل و مستند شده هستند.

  1. تمامی مسئولین و کارکنانی که موقعیت شغلی آنها در ارتباط مستقیم با امنیت اطلاعات است، به خوبی با مسئولیت و نقش خود در این راستا آشنا شده‌اند.

  1. سیاست و خط مشی امنیتی کاملا روشن و مستند شده‌ای در رابطه با اشخاص ثالث (Third party) وضع شده است. به عنوان مثال شرکت‌های ثالثی که در حال طراحی یک نرم‌افزار یا ابزار خاص برای منابع درونی سازمان هستند، از حق دسترسی کافی نسبت به منابع سازمان و اطلاعات مربوطه برخوردار هستند. اما این حق دسترسی فقط به اندازه حداقل نیاز آنها تعریف شده است.

  1. فهرست دارایی‌ها و منابع (IT) سازمان مانند انواع سخت‌افزارها، نرم‌افزارها و پایگاه‌های داده‌ای (انباره اطلاعات) کاملا دقیق و بروز می‌باشد.

  1. برای جلوگیری از دسترسی غیر مجاز افراد داخلی و خارجی به اطلاعات محرمانه سازمان، روندهای کنترلی مناسبی تدارک دیده شده است.

  1. به منظور اطلاع رسانی و آگاهی کاربران از خط مشی‌ها و ملزومات امنیت اطلاعات، ندابیر مناسبی مانند خبرنامه‌ها، نشریه یا برنامه‌های آموزشی تدارک دیده شده است.

  1. دسترسی فیزیکی به شبکه کامپیوتری و دیگر منابع امنیتی اطلاعاتی، تنها با عبور از کنترل‌های موثر و مناسب امکان‌پذیر است.

  1. تمامی سیستم‌های کامپیوتری جدید سازمان، با استفاده از روال‌ها و ابزارهای خودکار (مانند سیستم پشتیبان‌گیری یا غیره) به استاندارد امنیتی تعریف شده در سازمان مقید می‌شوند.

  1. برای بروز رسانی و نصب وصله‌های امنیتی مناسب نرم‌افزارها، از سیستم خودکار و موثری استفاده می‌شود که بخش عمده کامپیوترهای سازمان از آن تغذیه می‌شوند.

  1. گروهی برای واکنش نسبت به حوادث امنیتی و بررسی علل آنها تدارک دیده شده است. تمامی وقایع امنیتی توسط این گروه ثبت و بررسی شده تا ریشه بروز آنها کاملا شناسایی شود.

  1. سازمان از یک برنامه ضد ویروس جامع و قدرتمند با چندین لایه حفاظتی استفاده می‌نماید.

  1. خط مشی کنترل کاربران سازمان، جامع و مستند شده بوده و از راهکارهای خودکار (مثلا برنامه‌های اتوماسیونی و یا اکتیودایرکتوری) برای اعطای حق دسترسی مناسب به کارکنان و یا لغو حق دسترسی ثبت شده استفاده می‌کند.

  1. روند کنترل و مانیتورینگ مناسبی برای بررسی دسترسی‌ها به منابع شبکه، داده‌ها و سیستمها وجود داشته که در صورت کشف نفوذ، می‌توان فرد خاطی را شناسایی نمود.

  1. توسعه دهندگان سیستم‌ها نسبت به استانداردهای امنیتی و روندهای بررسی کیفیت کار، آگاهی کاملی داشته و برای رعایت آنها به خوبی آموزش دیده‌اند.

  1. برنامه‌های حفظ امنیت کاری به صورت مستمر مورد تمرین قرار می‌گیرند.

  1. مستندات، برنامه و شرح کار مناسبی برای بررسی میزان انطباق فرآیندهای سازمان با خط مشی‌های امنیتی تعریف شده وجود دارد.

  1. از بازرسی و ممیزی خارجی با زمان‌بندی مناسب برای کشف عدم انطباق نسبت به استانداردها استفاده می‌گردد.


در پایان امتیازات ثبت شده را جمع نموده و با اعداد زیر مقایسه کنید:

امتیاز کمتر از 35: بهتر است که نسبت به ایجاد یک کارگروه مدیریت ریسک در سازمان اقدام نموده و کار آنها را با بررسی یکی از واحدها یا فرآیندهای سازمان آغاز کنید.

امنیاز 35 تا 50: اقدامات موثر و مفیدی انجام شده است. باید بررسی ریسک را در مابقی فرآیندهای سازمان نیز به انجام برسانید.

امتیاز بیش از 50: سازمان شما برای استفاده کامل از یک سیستم مدیریت ریسک امنیتی آماده است.

هیچ نظری موجود نیست:

ارسال یک نظر