دارایی ها در ISMS
1235 بازدید
دارایی ها در ISMS
دارایی ها در ISMS: در مقاله درک نیازها و تعیین دامنه در ISMS اشاره شد که حوزه عملیات سیستم مدیریت امنیت اطلاعات بر سه محور سازمانی بنا می شود. که عبارتند از؛ سایت های فیزیکی در سازمان، واحدهای عملیاتی و اجرایی، و سیستم های سازمان به ویژه سیستم های کامپیوتری. پس از اینکه دو مرحله اول یعنی درک نیازهای یک سازمان و نیز دامنه موردنظر برای پیاده سازی ISMS در یک سازمان مشخص شد، حالا باید دارایی های سازمان در هر یک از سه حوزه عملیاتی مشخص شوند.
دارایی چیست؟
هر چیزی که برای سازمان دارای ارزش باشد، دارایی نام می گیرد. هر اندازه تعیین دارایی محسوس کار آسانی است، تعیین دارایی های نامحسوس دشوار می باشد. دارایی ها در ISMS انواع مختلف دارند که عبارتند از:
دارایی های اطلاعاتی
اطلاعات، داده های پردازش شده ای هستند که مبنایی برای تصمیم گیری می باشند. اطلاعات یک دارایی است که همانند سایر دارایی های مهم برای فعالیت کاری سازمان، بسیار مهم است. این دسته از دارایی شامل بانک اطلاعاتی، پرونده ها، مستندات سیستمی، قراردادها و … می باشد. در صورت عدم محافظت از این دارایی ممکن است:
- محرمانگي کاهش يابد.
- عمدي يا غيرعمدي دستکاري شود.
- به صورت جبران ناپذيري پاک شده يا از بين برود.
- غيرقابل دسترس شود.
مستندات کاغذی
این دسته از دارایی ها شامل قراردادهای سازمان، جزوات آموزشی، طرح های مختلفی که در سازمان ارائه می شود و هر نوع سند کاغذی که برای سازمان ارزشمند است، می باشد.
دارایی های نرم افزاری
هر نوع نرم افزاری که در یک سازمان مورد استفاده قرار می گیرد، همچون برنامه کاربردی، ابزارهای توسعه سیستم، برنامه های کمکی اتوماسیون اداری و … در این دستهبندی قرار می گیرند.
دارایی های فیزیکی
همه تجهیزات فیزیکی را شامل می شود. از تجهیزات رایانه ای و تجهیزات ارتباطی گرفته تا میز و صندلی.
منابع انسانی
شامل تمامی کارکنان (پاره وقت و تمام وقت)، مشتریان، تامن کنندگان می شود.
وجهه و شهرت سازمان
این دارایی جز دارایی های نامحسوس به شمار می رود.
سرویس ها
شامل سرویس های ارتباطی و همچنین سایر خدمات فنی (گرمایشی، روشنایی، برق، تهویه هوا) می باشد.
طبقه بندی دارایی ها
دارایی ها در ISMS را از چند جهت می توان طبقه بندی کرد و طبقه بندی های مختلفی وجود دارد از جمله:
- محرمانه، خصوصی و عمومی
- فوق سری، سری، خصوصی و عمومی
- سری، محرمانه، خصوصی
- و …
هر سازمان به دلخواه خود می تواند دارایی های خود را طبقه بندی کند. این روند طبقه بندی دارایی ها باعث کمک در ارزش گذاری آن ها می شود. ناگفته نماند که طبقه بندی دارایی ها باید به صورت دوره ای بازنگری شود.
ارزش گذاری دارایی ها
ارزش گذاری دارایی ها در ISMS بر اساس معیارهای مختلفی همچون زیان مالی، وقفه در کسب و کار، تاثیر بر اعتبار سازمان و … صورت می پذیرد. در واقع می توان گفت ارزش دارایی، منعکس کننده هدف کسب و کار است. پس از انتخاب معیارهای ارزش گذاری، باید ارزش دارایی ها را بر اساس شدت اثری که از بین رفتن محرمانگی، یکپارچگی و دسترس پذیری در هر یک از معیارها بر سازمان خواهد داشت، محاسبه نمود.
در صورتی که محرمانگی، یکپارچگی، دسترس پذیری (CIA) و نیز سایر مشخصه های مهم یک دارایی از بین برود، ارزش تعیین شده نشان دهنده تاثیر کسب و کار سازمان خواهد بود. مثالهایی از ارزشگذاری عبارتند از:
- خیلی کم، کم، متوسط، بالا، خیلی بالا
- 0 – 1 – 2 – 3 – 4
ارزش نهایی را می توان با C+I+A و یا MAX (CIA) و … تعیین کرد. برای این که بتوانید ارزش گذاری را به درستی انجام دهید باید تهدیدها و آسیب پذیریهای یک دارایی را بشناسید و سپس بر اساس آن شناخت بتوانید دارایی مورد نظر را ارزش گذاری نمایید. شناخت مخاطرات به شما این امکان را می دهد که در تعیین ارزش دارایی کمترین اشتباه را داشته باشید. در مقاله شناسایی مخاطرات و ارزیابی آن به تفصیل به شناخت آسیب پذیریها و ارزیابی آن ها پرداخته شده است.
شناسایی مالک دارایی ها
در هر سازمان باید مالک هر دارایی مشخص شود. منظور از مالک دارایی، این نیست که حتما و واقعا شخص حقوق مالکیت نسبت به ان دارایی دارد. بلکه فرد یا موجودیتی را معرفی می کند که مسئولیتی مدیریتی برای کنترل، استفاده، نگهداری و امنیت دارایی ها را پذیرفته است. یک مالک دارایی در قبال موارد زیر مسئول است:
- حفظ و تداوم کنترل هاي امنيتي مناسب
- تعريف و بازنگري طبقه بندي امنيتي و حقوق دسترسي
- تعريف استفاده پسنديده از دارايي ها
- مسئوليت پاسخگويي، بر عهده مالک منصوب شده مي باشد.
تعیین وضعیت دارایی ها بر اساس استاندارد ISO 27002
پس از مشخص شدن دارایی ها و طبقه بندی آن ها بر اساس اهمیت و اولویت شان، بر اساس وضعیت سازمان و دارایی ها از میان کنترل های امنیتی که در استاندارد ISO 27002 برای کنترل حوزه های یازده گانه امنیتی وجود دارد، مواردی را که در سازمان شما وجود دارد، انتخاب می کنید. به فهرستی که پس از انتخاب کنترل ها ایجاد می شود، بیانیه یا آیین نامه کاربردپذیری مربوط به سازمان گفته می شود.
هیواشبکه
خدمات ما در مجموعه هیواشبکه شامل :
شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
در خدمت شما عزیزان هستیم.
هیچ دیدگاهی نوشته نشده است.