Security Policy چه شکلی است و چه ساختاری دارد ؟ همانطور که قبلا هم عنوان کرده ایم بیانه یا خط مشی امنیتی یک مستند متنی است که در آن روش امن کردن و محافظت دارایی های با ارزش یک سازمان در برابر تهدیدات و آسیب پذیری های امنیتی به دقت تشریح شده است. بیانه های امنیتی بایستی بصورت کاملا دقیق مطالعه ، تعریف و تدوین شوند و قالب بندی مطالب آنها بایستی بصورت مستمر مورد ارزیابی و مرور قرار بگیرد ، اینکار دلیل موجهی دارد .
ما با عنوان مدیر سیستم امنیت اطلاعات بایستی مطمئن باشیم که هیچ واژه یا کلمه ای در بیانه ها نباید وجود داشته باشد که شخصی بتواند از آن سوء برداشت و یا سوء استفاده کند. بیانیه لوزان را به خاطر دارید ؟ یا بیانیه ژنو ؟ این هم دقیقا دارای همان ساختار است و بایستی برای هر کلمه و جمله یک بیانه امنیتی زمان صرف شود. قالب کلی یک بیانه امنیتی به شکل زیر است و شامل موارد زیر می باشد :
بصورت کلی محتوای یک بیانه امنیتی بر اساس قالب کلی طراحی آن به شکل زیر می باشد :
1.نیازمندی های امنیتی سطح بالا : در این قسمت دلیل و نیاز سیستم به پیاده سازی این بیانه امنیتی تشریح می شود. نیازها و دلایلی که بر اساس آن ما بیانه های امنیتی را تدوین می کنیم بصورت کلی به چهار دسته تقسیم بندی می شوند که نیازمندی های انضباطی ، حفاظتی ، رویه ای و تضمینی یا بیمه ای می باشند که در ادامه بصورت کاملتری توضیح داده شده اند.
2.توضیحات بیانه : همانطور که از عنوانش هم پیداست توضیحات مربوط به اینکه این بیانیه بر روی چه چیزی اعمال می شود ، این بیانه انضباطی است یا حفاظتی یا رویه ای و ... در این قسمت است که الزام پیاده سازی اجرای بیانه تشریح می شود و روش و مکانیزم تبادل اطلاعاتی و همکاری با سایر قسمت های سیستم مدیریت امنیت اطلاعات نیز تشریح می شود.
3.مفهوم امنیتی عملیات یا Security Concept Of Operation : بصورت ویژه به تشریح نقش ها ، وظایف و فعالیت های یک بیانه کار دارد و همچنین در این قسمت است که هدف ، ارتباطات ، رمزنگاری ، قوانین کاربری و نگهداری ، مدیریت زمان های بلا استفاده ، استفاده از نرم افزارهای عمومی و خصوصی ، قوانین مربوط به استفاده از نرم افزارهای Shareware و حتی قوانین حفاظتی مربوط به نرم افزارهای ضد بدافزار تعریف می شود.
4.اجبار اجرای امنیتی بیانیه بر روی معماری های پایه سازمانی : در این قسمت برای هر کدام از معماری های اطلاعاتی که در سازمان وجود دارد یک برنامه و معماری طراحی و تدوین می شود. ITPRO باشید
نویسنده : محمد نصیری
منبع : انجمن تخصصی فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات
محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود