سیاست گذاری امنیتی:/پایان نامه درباره مديريت امنيت اطلاعات

مدل PDCA

ایجاد خط مشی ISMS ، اهداف، فرآیندها و رویه های مناسب برای مدیریت ریسک و بهبود اطلاعات به منظور به دست آوردن  نتایج بر طبق تمامی خط مشی ها و اهداف یک سازمان طرح(ایجاد ISMS )
انجام و اداره خط مشی، کنترلها، فرایندها و رویه های  ISMS انجام دادن (انجام و اداره کردن ISMS  )
ارزیابی و ملاک قابل قبول ، میزان کارایی فرایند در برابر خط مشی ISMS ، اهداف و تجربیات عملی و گزارش نتایج به مدیریت برای بازدید بررسی (نظارت و بازدید ISMS)
اصلاح کردن و اعمال پیشگیری مبتنی بر نتایج ممیزی   ISMS داخلی و مدیریت نظارت یا اطلاعات وابسته دیگر، برای دستیابی به بهبود و پیشرفت داخلی ISMS عمل (نگهداری و بهبود ISMS)

 

2-3-4- قلمرو

این سند استاندارد، دستورالعمل هایی را برای مدیریت امنیت اطلاعات ارائه می دهد. این دستور العمل ها قابل بکارگیری توسط افرادی است که مسئولیت تعریف، ایجاد و یا نگهداری سطوح امنیتی اطلاعات را برعهده دارند. هدف تهیه این سند تدوین استانداردهای پایه ای بوده است که ایجاد مدیریت امنیت موثر را امکان پذیر ساخته و اطمینان از امنیت روابط درون سازمانی را تضمین نماید.

دستور العمل های ارائه شده در ضمن این استانداردها، در رابطه با قوانین موضوعه و مقررات سازمانی قابل پیاده سازی می باشند.

 

2-3-4-1- تعاریف و قراردادها

در این متن قواعد و تعاریف زیر بکار گرفته خواهد شد:

2-3-4-1-1- امنیت اطلاعاتی

حفظ محرمانگی ، جامعیت، دقت و در دسترس بودن اطلاعات

محرمانگی: اطمینان از اینکه اطلاعات فقط در دسترس کسانی است که اجازه استفاده از آن را دارند.

جامعیت و دقت: حفظ صحت و کامل بودن اطلاعات و روش های پردازشی

در دسترس بودن: اطمینان از اینکه افراد مجاز می توانند در زمان لزوم به داده ها، اطلاعات و یا مواد مربوطه به آن دسترسی داشته باشند.

2-3-4-1-2- ارزیابی ریسک

ارزیابی امکان وقوع هر یک از وقایع ناخواسته مانند تخریب اطلاعات، تعرض به اطلاعات و یا آسیب پذیری اطلاعات و یا روش های پردازشی

2-3-4-1-3- مدیریت ریسک

فرآیند شناسائی، کنترل و حداقل سازی یا حذف ریسک های امنیتی که می تواند با حداقل هزینه بر سیستم های اطلاعاتی تاثیر گذارد.

 

2-3-5- سیاست گذاری امنیتی

2-3-5-1- سیاست گذاری امنیت اطلاعاتی

هدف: راهنمایی و پشتیبانی مدیریت در ایجاد امنیت اطلاعاتی

لازم است مدیریت سازمان، سیاست روشنی در ارتباط با امنیت اطلاعاتی داشته باشد و از این سیاست به صورت عیان پشتیبانی نماید و شخصاً در اجرای این سیاست شرکت کند.

این سیاست گذاری و پشتیبانی و اجرا بایستی برای سازمان قابل لمس و احساس باشد.

 

2-3-5-2- مستندات سیاست گذاری امنیتی

لازم است یک نسخه از مبانی امنیت اطلاعاتی مورد نظر سازمان ، توسط مدیریت عالی سازمان تهیه شده و به عنوان مبنای سیاست گذاری امنیتی منتشر و به اطلاع کلیه افراد سازمان برسد.

این سند حاوی نحوه حرکت مدیریت سازمان و روش سازمانی انتخاب شده برای حفظ امنیت اطلاعاتی خواهد بود.

حداقل نکات مورد اشاره در این سند عبارتند از :

الف) تعریفی از امنیت اطلاعاتی، اهداف کلی آن و اهمیت امنیت به عنوان مکانیزمی قابل قبول برای به اشتراک گذاردن اطلاعات.

ب) توضیح این نکته که ایجاد امنیت خواست مدیریت است و این خواست بر اساس اهداف و اصول امنیت اطلاعاتی قابل حصول خواهد بود.

پ) تشریح مختصر سیاست های امنیتی ، استانداردها و نیازهای قانونی مورد نظر سازمان از قبیل :

1- تطابق با قوانین و مقررات

2- نیازهای مطالعاتی امنیت

3-  جلوگیری و شناسایی ویروس های کامپیوتری  و سایر برنامه های نفوذگر

4- مدیریت پیوستگی (تداوم) عملیات

5- عواقب حاصل از حمله ها و خطاهای امنیتی

ت) تعریف مسئولیت های عمومی و اختصاصی مدیریت امنیت اطلاعات و روش های گزارش وقایع امنیتی.

ث) ارجاع به مستنداتی که سیاست های سازمان را به روشنی و دقت بازگو می کنند، به عنوان مثال در مورد یک سیستم اطلاعاتی خاص کدامیک از روشهای خاص امنیتی به کار گرفته خواهد شد و یا هر کابر چه قواعدی را باید رعایت نماید؟

این سیاست ها باید به نحوی که برای کلیه افراد قابل فهم باشد تهیه شده و در دسترس افراد مربوط قرار گیرد.