پایان نامه با موضوع مدیریت ارتباطات و مدیریت ارتباط

با توجه به جدول 11-3-4 مقدار اماره آزمون قبل از استقرار سیستم 173‚1 با سطح معنی داری 13‚0 می باشد از آنجا که این مقدار بیشتر از 05‚0 بوده است بنابراین متغیر فوق با اطمینان 95% دارای توزیع نرمال می باشد. همچنین مقدار آماره آزمون برای بعد از استقرار سیستم 427‚1 با سطح معنی داری 34‚0 می باشد ، از آنجا که این مقدار بیشتر از 05‚0 بوده است بنابراین متغیر فوق با اطمینان 95 % دارای توزیع نرمال می باشد.
Widget not in any sidebars

جدول 12-3-4 بررسی نرمال بودن متغیر امنیت منابع انسانی
سطح معنی داری آماره آزمون
25‚0 818‚0 قبل از استقرار سیستم
14‚0 925‚0 بعد از استقرار سیستم
با توجه به جدول 12-3-4 مشاهده می شود مقدار آماره آزمون قبل از استقرار سیستم 818‚0 سطح معنی داری 25‚0 می باشد از آنجا که این مقدار بیشتر از 05‚0 بوده است بنابراین متغیر فوق با اطمینان 95% دارای توزیع نرمال می باشد. همچنین مقدار آماره آزمون برای بعد از استقرار سیستم 925‚0 با سطح معنی داری 14‚0 می باشد ، از آنجا که این مقدار بیشتر از 05‚0 بوده است بنابراین متغیر فوق با اطمینان 95 % دارای توزیع نرمال می باشد.
جدول 13-3-4 بررسی نرمال بودن متغیر امنیت فیزیکی و محیطی
سطح معنی داری آماره آزمون
47‚0 291‚1 قبل از استقرار سیستم
17‚0 917‚0 بعد از استقرار سیستم
با توجه به جدول 13-3-4 مقدار آماره آزمون قبل از استقرار سیستم 291‚1 با سطح معنی داری 47‚0 می باشد از آنجا که این مقدار بیشتر از 05‚0 بوده است بنابراین متغیر فوق با اطمینان 95 % دارای توزیع نرمال می باشد . همچنین مقدار آماره آزمون برای بعد از استقرار سیستم 917‚0 با سطح معنی داری 17‚0 می باشد ، از آنجا که این مقدار بیشتر از 05‚0 بوده است بنابراین متغیر فوق با اطمینان 95% دارای توزیع نرمال می باشد.
جدول 14-3-4 بررسی نرمال بودن متغیر مدیریت ارتباطات و عملیات
سطح معنی داری آماره آزمون
48‚0 627‚0 قبل از استقرار سیستم
36‚0 738‚0 بعد از استقرار سیستم
با توجه به جدول 14-3-4 مقدار آماره آزمون قبل از استقرار سیستم 627‚0 با سطح معنی داری 48‚0 می باشد از آنجا که این مقدار بیشتر از 05‚0 بوده است بنابراین متغیر فوق با اطمینان 95 % دارای توزیع نرمال می باشد . همچنین مقدار آماره آزمون برای بعد از استقرار سیستم 738‚0 با سطح معنی داری 36‚0 می باشد ، از آنجا که این مقدار بیشتر از 05‚0 بوده است بنابراین متغیر فوق با اطمینان 95% دارای توزیع نرمال می باشد.
جدول 15-3-4 بررسی نرمال بودن متغیر کنترل دستی
سطح معنی داری آماره آزمون
14‚0 474‚0 قبل از استقرار سیستم

پایان نامه با موضوع اطلاعات جمعیت شناختی و جداول مربوط به


Widget not in any sidebars

0 مشاهده میشود که سئوالات پرسشنامه مزبور از اعتبار کافی , در صورت مقایسه با عدد 7
برخوردار هستند و هماهنگی سئوالات یکسان می باشد
3-7. آمار توصیفی
این تحقیق از جداول و برای نشان دادن توزیع فراوانی در هر جامعه استفاده شده است.
3-8. آمار استنباطی
در بخش مربوط به توصیف آماری داده ها و اطلاعات جداول مربوط به اطلاعات جمعیت شناختی پرسشنامه جنسیت ، سن ، میزان تحصیلات، سمت سازمانی ، سابقه خدمتی و رشته تحصیلی بررسی گردیده است. در بخش بعدی استنباط آماری داده ها و اطلاعات نشان داده شده است. که در این قسمت داده ها و اطلاعات پرسشنامه برای بررسی و تجزیه و تحلیل فرضیات و تاثیر عوامل جنبی بر آنها مورد بهره برداری قرار می گیرد. ابتدا به کمک آزمون کلموگروف اسمیرنوف به بررسی نرمال بودن متغیرها پرداخته سپس جهت بررسی فرضیات
استفاده شده است .(Paired Sample t-test) زوجی t تحقیق از آزمون

فصل چهارم
تجزیه و تحلیل آماری
داده های تحقیق
4- یافته های تحقیق
یافته ها و دستاوردهای تحقیق عبارت است از نتایج محاسبه و تجزیه و تحلیل اطلاعات گردآوری شده. به بیانی دیگر ، تعبیر و تفسیر داده ها را یافته های تحقیق گویند. یافته ها و دستاوردهای تحقیق اطلاعات واقعی است که از فرآیند تحقیق علمی به دست آمده است.
از این رو داده های تحقیق که اطلاعات خام و غیر تجربی و تنها آماره های کمی هستند . باید با توجه به اهداف و فرضیه های تحقیق تفسیرو تعبیر شوند تا به یافته ها و دستاوردهای پژوهش تبدیل گردند. در این مرحله اطلاعات و داده های کد گذاری شده پس از تجزیه و تحلیل و پردازش به وسیله رایانه توسط محقق مورد تفسیر و تعبیر قرار می گیرند. این فصل در دو بخش تهیه گردیده است : بخش اول مربوط به توصیف آماری داده ها و اطلاعات می باشد. که در این قسمت جداول مربوط به اطلاعات جمعیت شناختی پرسشنامه جنسیت ،‌سن ، میزان تحصیلات،سمت سازمانی، سابقه خدمتی و رشته تحصیلی بررسی گردیده است.
بخش دوم به بررسی سوالات پرسشنامه به تفکیک متغیرهای مورد بررسی پرداخته شده است.
بخش سوم به استنباط آماری داده ها و اطلاعات می پردازیم که در این قسمت داده ها و اطلاعات پرسشنامه برای بررسی و تجزیه و تحلیل فرضیات و تأثیر عوامل جنبی بر آنها مورد بهره برداری قرار می گیرد . ابتدا به کمک آزمون کلموگروف اسمیرنوف به بررسی نرمال بودن متغیرها پرداخته سپس جهت بررسی
استفاده شده است.(Paired Sample t-test) زوجی t فرضیات تحقیق از آزمون
1-4- بررسی اطلاعات جمعیت شناختی پرسشنامه

پایان نامه با موضوع سیستم های اطلاعاتی و سیستم های اطلاعات


Widget not in any sidebars
در این مبحث ، نقش سیاست امنیت فن آوری اطلاعات سازمان ، سیاست امنیتی سیستم های اطلاعاتی ، مدیریت امنیت فن آوری اطلاعات ، تدوین مسئولیت ها ، تشکیلات امنیت فن آوری اطلاعات سازمان ، شناسایی و ارزش گزاری دارایی ها ، بررسی سازگاری امنیتی ،‌پشتیبانی حوادث ،‌آگاهی رسانی و آموزش امنیت ،‌مدیریت پیکربندی و تغییرات ،‌مستند سازی،نگهداری،نظارت،ارزیابی و تست امنیتی و طرح تداوم فعالیت ،‌بعنوان حفاظ های سازمانی و نقش محافظت فیزیکی از اجسام و محیط ها
در مقابل دسترسی فیزیکی ، محافظت در مقابل آتش،آب،حوادث طبیعی،دزدی و برق،جریان سالم هوا و کابل کشی بعنوان حفاظ های فیزیکی تشریح شده و در ادامه ، مراجع موجود در خصوص هر یک از حفاظ های فوق ، ارائه شده است.
حفاظ های خاص سیستم های اطلاعاتی
در این مبحث ،‌نقش شناسایی و تشخیص هویت ، دسترسی کنترل لاجیکی و بازرسی ،‌محافظت در مقابل کد های مخرب ، مدیریت شبکه و رمزنگاری ، بعنوان حفاظ های خاص سیستم های اطلاعاتی تشریح شده و در ادامه ، مراجع موجود در خصوص هریک از حفاظ های فوق ارائه شده است.
4- رویکرد پایه :انتخاب حفاظ بر اساس نوع سیستم اطلاعاتی
محتوای این قسمت از گزارش فنی ، ابتدا حفاظ های عمومی قابل استفاده برای سیستم های اطلاعاتی و در ادامه ، حفاظ های خاص سیستم های اطلاعاتی را به تفکیک برای ایستگاه های کاری مستقل ، ایستگاه های کاری متصل به شبکه و سرویس دهنده ی شبکه ، ارائه داده است.
5- انتخاب حفاظ بر اساس تهدید ها و نگرانی های موجود
محتوای این قسمت از گزارش فنی ، ابتدا به ارزیابی نگرانی های امنیتی پرداخته و این موضوع را شامل ارزیابی صدمات وارده بر محرمانگی ، تمامیت ، دسترس پذیری ،‌پاسخگویی، قابلیت تشخیص هویت و قابلیت اعتماد دانسته و ابعاد هریک از موارد را تشریح و در ادامه ، حفاظ های قابل استفاده برای تامین هر یک از فاکتورهای امنیتی فوق را ارائه نموده است.
: ISO/IEC TRبخش پنجم 13335
،در سال 2001 تحت عنوان “رهنمود ISO/IEC TR بخش پنجم گزارش فنی شماره 13335
مدیریتی در امنیت شبکه ” منتشر شد . در این بخش ،‌پس از بیان تعاریف و ساختار ها اولیه ،‌مواردی به شرح زیر ارائه شده است (دبیرخانه شورای عالی امنیت فضای تبادل اطلاعات کشور.1383 ص 24)
1- نیازمندی های بازبینی سیاست امنیتی فن آوری اطلاعات سازمان
به منظور تامین امنیت شبکه ، لازم است ابتدا سیاست امنیتی فن آوری اطلاعات موجود ،‌بررسی شود. محتوای این قسمت از گزارش فنی، ابتدا موضوع بازبینی سیاست امنیتی فن آوری اطلاعات سازمان را
تشریح و در ادامه ، فراهم نمودن ، نیازمندی های لازم برای اجرایی نمودن سیاست ها را مطرح نموده است.
2- بازبینی ساختار و کاربرد های شبکه
به منظور تامین امنیت شبکه ،‌همچنین ساختار شبکه و کاربرد های ارائه شده یا طراحی شده برای ارائه روی شبکه ، ارزیابی شوند. محتوای این قسمت از گزارش فنی ،‌انواع شبکه ها ، پروتکل های ارتباطی و اجرای کاربردها روی شبکه را ارائه داده و مواردی که باید بررسی شوند را مطرح نموده است.
3- بازبینی انواع اتصالات شبکه
اقدام دیگری لازم است به منظور تامین امنیت شبکه انجام گیرد ، بررسی اتصالات شبکه در داخل و یا به خارج از سازمان می باشد. محتوای این قسمت از گزارش فنی ، لیستی از اتصالات ممکن در شبکه ارائه داده و در ادامه ، موضوعات قابل بررسی در ارتباط با اتصالات شبکه را ارائه نموده است.
4- ارزیابی ویژگی های شبکه و ارتباط مطمئن

پایان نامه با موضوع سیستم های اطلاعاتی و سیستم های اطلاعات

در سال 1996 تحت عنوان “مفاهیم وISO/IEC TRبخش اول گزارش فنی شماره 13335
مدل ها برای امنیت فن آوری اطلاعات ” منتشر شد. در این بخش ، پس از بیان تعاریف و ساختار های اولیه ، در قسمتی تحت عنوان ” مفاهیم مدیریت امنیت فن آوری اطلاعا” ، اهداف ،‌راهبردها و سیاست های امنیت فن آوری اطلاعات ،‌تشریح شده است. در ادامه و تحت عنوان “عناصر امنیت ” ،‌به مفاهیمی از قبیل دارایی،تهدید،آسیب پذیری،ریسک،ضربه،حفاظ،ریسک باقیمانده فشار،پرداخته شده و تعریف و مصادیق آنها در فن آوری اطلاعات ارائه شده است. در ادامه و تحت عنوان ” فرآیند مدیریت امنیت فن آوری اطلاعات “، به ضرورت و جایگاه مدیریت پیکربندی ، مدیریت تغییرات ، مدیریت مخاطره ، آنالیز مخاطره ، پاسخ گویی، آگاهی رسانی امنیتی ، نظارت و طرح های پشتیبانی حوادث و ترمیم خرابی در این فرآیند تشریح شده است. در خاتمه ، روابط بین عناصر و جایگاه آنها در فرآیند مدیریت ریسک ارائه شده است. (دبیرخانه شورای عالی امنیت فضای تبادل اطلاعات کشور.1383 ص 14).
Widget not in any sidebars

ISO/IEC TRبخش دوم 13335
” در سال 1997 تحت عنوان ” مدیریتISO/IEC TRبخش دوم “گزارش فنی شماره 13335
و طراحی امنیت فن آوری اطلاعات ” منتشر شد. در این بخش ، پس از بیان تعاریف و ساختارهای اولیه ، مواردی به شرح زیر ارائه شده است‌: (دبیرخانه شورای عالی امنیت فضای تبادل اطلاعات کشور.1383 ص 15).
1- مدیریت امنیت فن آوری اطلاعات
ابتدا مراحل فرآیند طراحی و مدیریت امنیت فن آوری اطلاعات متناسب با وضعیت سازمان تهیه شود .
2- سیاست امنیتی سازمان
سیاست امنیتی فن آوری اطلاعات سازمان تشریح شده و ارتباط آن با سیاست های بالا دستی سازمان ،‌شامل سیاست فروش سازمان ، سیاست امنیتی سازمان و سیاست فن آوری اطلاعات سازمان و سیاست های پایین دستی از قبیل سیاست امنیتی فن آوری اطلاعات ادارات و سیاست امنیتی سیستم های فن آوری اطلاعات می باشد.
3- تشکیلات سازمانی امنیت فن آوری اطلاعات
ساختار تشکیلات سازمانی امنیت فن آوری اطلاعات سازمان ارائه شده و وظایف و مسئولیت های هر یک از اجزاء این تشکلات تشریح شده است.
4- گزینه های قابل انتخاب برای راهبرد آنالیز ریسک سازمان
کزینه های قابل انتخاب به عنوان راهبرد آنالیز ریسک سازمان ، شامل روش پایه ،‌روش غیر رسمی، روش تفصیلی و روش ترکیبی به همراه مزایا و معایب هر یک ، تشریح شده است.
5- توصیه های امنیت فن آوری اطلاعات
متناسب با روش انتخابی برای آنالیز ریسک سازمان ، لازم است تعدادی توصیه امنیتی با هدف کاهش ریسک سیستم های اطلاعاتی ، تهیه و ارائه گردد. در این قسمت لیست و توضیحات این توضیحات این توصیه ها ارائه شده است.
6- سیاست امنیتی سیستم های فن آوری اطلاعات
ضمن تشریح مشخصات سیاست امنیتی سیستم های فن آوری اطلاعات نحو استخراج این سیاست از سیاست امنیتی فن آوری اطلاعات سازمان و سیاست امنیتی فن آوری اطلاعات اداره مربوطه ارائه شده است.
7-طرح امنیت فن آوری اطلاعات
مشخصات طرح امنیت فن آوری اطلاعات در این قسمت شده است.

پایان نامه با موضوع سیستم مدیریت امنیت و فن آوری اطلاعات

، طرح امنیت اطلاعات سازمانی وقتی موفق است که ISOبنا به توصیه سازمان استاندارد
Widget not in any sidebars

نکات زیر در آن رعایت شده باشد (دبیرخانه شورای عالی امنیت فضای تبادل اطلاعات کشور.1383 ص 34).
از اینکه مدیریت سازمان عملا ً بر امنیت نظارت دارد و از سیستم جامع امنیت اطلاعات پشتیبانی می کند اطمینان حاصل شود. نظارت بر رعایت چارچوب های تعریف شده در سیستم امنیت اطلاعات می بایست از وظایف عمده و اصلی سازمان باشد.
مدیریت سازمان می بایست برای توسعه ،‌پیاده سازی ، اجرا و بهبود سیستم امنیت اطلاعات بودجه تخصیص دهد. در هر یک از فرآیندهای خرید تجهیزات ، نصب ، راه اندازی ، و یا توسعه سیستم ها مدیریت می بایست مخارج تدارکات لازم امنیتی در مراحل طراح ، توسعه، و استفاده از تجهیزات را در بودجه گنجانده شود. رویکرد سازمان به امنیت اطلاعات می بایست با فرهنگ در آن سازمان سنخیت داشته باشد.
اهداف و سیاست های امنیتی می بایست در راستای اهداف و سیاست های کلی سازمان باشد.
سازمان می بایست از خطراتی که اطلاعات را تهدید می کنند آگاهی کامل داشته باشد. مدیران سازمان می بایست نیاز به خظرسنجی را درک کنند و در دستور کار خود قرار دهند. اهداف و سیاست های امنیتی سازمان می بایست به کارکنان ، مدیران ، مشتریان ، و پیمانکاران شرکت تفهیم شود.
اطلاعات مربوط به امنیت اطلاعات می بایست بین افراد سازمان توزیع شود.
دوره های آموزشی مکرر در سطح سازمان جهت ارتقاء آگاهی افراد یک سازمان می بایست دایر گردد. فرهنگ بازخورد می بایست در سازمان رایج گردد.
یک روش ارزیابی برای سنجش وضعیت امنیت اطلاعات می بایست پایه گذاری و دایر گردد.
سازمان می بایست سیستم جامع گزارش گیری و مدیریت حوادث امنیتی پایه گذاری و دایر کند.
ISO/IEC TR 2-15.گزارش فنی 13335
این گزارش فنی در 5 بخش مستقل در فواصل سالهای 1996 تا 2001 توسط مؤسسهْ بین المللی
منتشر نشد و عنوانISO استاندارد منتشر شده است. اگر چه این گزارش فنی به عنوان استاندارد
بر آن نهاده شد ،لیکن تنها مستندات فنی معتبری است که جزئیات و تکنیکTechnical Report
های مورد نیاز مراحل ایمن سازی اطلاعات را تشریح نموده و کنترل های مورد نیازبرای محافظت فیزیکی و منطقی برای سیستم های فن آوری اطلاعات را با دقت تشریح نموده
وISO/IEC و7799 BS است. این گزارش فنی ،‌مکمل استاندارد های مدیریتی 7799
محسوب شده و در پیاده سازی سیستم مدیریت امنیت اطلاعات ، ISO/IEC خانواده ی 27000
کاربرد زیادی دارد. در این قسمت ، مروری بر بخش های مختلف این گزارش فنی ، ارائه شده است. (دبیرخانه شورای عالی امنیت فضای تبادل اطلاعات کشور.1383 ص 13).
ISO/IEC TRبخش اول 13335

پایان نامه با موضوع فن آوری اطلاعات و امنیت اطلاعات


Widget not in any sidebars

در هر سیستم اطلاع رسانی ، هریک از تجهیزات و فن آوری مورد استفاده برای ثبت نقص هایی را دارا هستند که ممکن است موجب آسیب پذیری سیستم شود. علاوه بر این آسیب پذیری ها ، هریکاز اجزاءسیستم نیز ممکن است که مورد حمله و تهدیدات از طرف عوامل داخلی و خارجی سازمان قرار گیرند. در صورتی که هریک از این تهدیدات و حملات احتمالی موفق به سودجویی از آسیب پذیری های اجزای سازنده سیستم شوند ، سازمان با یک وضعیت خطرناک امنیتی مواجه است
که می بایست برای رفع خطر هرچه سریعتر اقدام نمود. بهترین روش برای به حداقل رساندن میزان خطر ناشی از این حملات این است که سازمان روش های پیشگیری را اتخاذ کند (مهدی احمدلو ، 1389).
برای پیشگیری و یا مداخله در صورت بروز حمله می بایست کنترل های امنیتی تعریف شوند. علاوه بر کنترل های تعریف شده ، فرآیند هایی نیز می بایست تعریف شوند تا بر اعمال و بروزرسانی کنترل ها نظارت کافی و بموقع داشته باشد. در قالب کنترل های و فرآیند های لازم ، سازمان می بایست قدم های اولیه زیر را بردارد (مهدی احمدلو ،1389).
1. ارزیابی میزان ریسک : یک واحد اطلاع رسانی می بایست آسیب پذیری ها و تهدیدهای عمده ی یک سامانه و تجهیزات آن را شناسایی کند. در قدم بعد ، میزان احتمال وقوع خطر، با فرض داشتن آسیب پذیری ها و تهدیدات شناسایی شده ، می بایست ارزیابی شود. در قدم بعدی می بایست میزان خسارات وارده توسط هر خطر را محاسبه و ارزیابی نمود. ارزیابی میزان ریسک ، قدرت تصمیم گیری در زمینه های استراتژیک سازمان را افزایش می دهد. یک ارزیابی جامع و کامل می تواند نیازهای مبرم یک سازمان را به امنیت شناسایی کند.
2. وظایف حقوقی : هر سازمان نسبت به متقاضیان ، مشتریان، کارکنان، و مشترکین خود وظایف حقوقی دارند که می بایست در سیاست های امنیتی سازمان رعایت شوند. حساسیت اطلاعات یک سازمان گاها ً بر اساس یک سازمان در قبال حفظ و مراقبت از اطلاعات شخصی و یا محرمانه تعریف می شود. این تکالیف حقوقی می تواند در قالب قراردادها و یا قوانین جاری و ساری کشوری و یا مواد آیین نامه ای یک سازمان بیان شود. به عبارتی ، گاها ً بحث امنیت اطلاعات توسط یک مرجع حقوقی طی قراردادها و یا قوانین و آیین نامه ها به یک سازمان تحمیل می شوند. شناختن وظایف و تکالیف سازمانی یکی از مهمترین عامل های تعیین کننده سیاست های امنیتی یک سازمان می باشد و می بایست در فرآیند نیازسنجی هر سازمان قرار گیرد.
نیازهای کسب و کار : هر سازمان برای انجام کارهای روزمره خود به اطلاعاتی نیاز دارد که اساسا ً محور اصلی کسب و کار محسوب می شود.پردازش،ذخیره،ردیابی،گزارش گیری، و یا هرنوع فرآیند انتقال به گونه ای نیاز به فن آوری اطلاعات دارد.اساسا ً نیاز به تجهیزات و فن آوری در هر سازمان با سازمان دیگر متفاوت است.این تفاوت ها توجهی است درجهت انجام یک نیازسنجی داخلی که بتواند درجهت رفع نیازهای سازمان به یک فن آوری خاص قدم بردارد.نیازهای مختلف به فن آوری های مختلف ، سیاست های خاص خود را ایجاب می کند. این نیازها در قالب یک استاندارد بین المللی نمی تواند تعریف شود. چرا که هر سازمان بنا به ساختار ، اندازه ، شکل ، و عملکرد نیازهای متفاوتی از دیگران دارد.
ایجاد طرح امنیت اطلاعات
پس از تشخیص نیازهای امنیتی سازمان ، می بایست تدارکات تعریف یک سیستم جامعه امنیت اطلاعات ایجاد گردد.برای شروع ایجاد چنین سیستمی ، پیشنهاد می شود که قدم های ابتدایی زیر برداشته شود
تخصیص وظایف برای انجام فعالیت های امنیت اطلاعات
تدوین سند جامع سیاستگذاری امنیت سازمان
حصول اطمینان از اینکه نرم افزارهای سازمان نیازهای سازمان را رفع می کنند.
فراهم آورد شرایط آموزش ارتقاء سطح آگاهی افراد در زمینه امنیت اطلاعات
ایجاد سیستم مدیریت حوادث مربوط به امنیت
جمع آوری و تدوین لیست کامل آسیب پذیری های تجهیزات و فرآیند های اطلاعاتی شرکت
تعریف فرآیند مدیریتی جهت حصول اطمینان در تداوم کسب و کار
احترام به حقوق معنوی
مراقبت از مدارک و اسناد شرکت
محافظت از اطلاعات شخصی افراد
2-15. عوامل موفقیت در طرح امنیت

پایان نامه با موضوع طبقه بندی دارایی ها و طبقه بندی اطلاعات


Widget not in any sidebars

3- طبقه بندی دارایی ها و تعیین کنترل های لازم
در این بخش ، مواری در خصوص ضرورت شناسائی و تهیه لیست از کلیه دارایی های سازمان و ضرورت نحوه طبقه بندی اطلاعات سازمان ، ارائه شده است.
4- امنیت پرسنلی
در این بخش ،‌نکاتی در خصوص موضوعات امنیت در تعریف کار پرسنل ، آموزش کاربران و پاسخ گویی به حوادث امنیتی و ضعف عملکرد ، ارائه شده است.
در خصوص امنیت پرسنل، نکاتی در خصوص ملاحظات امنیتی در مسئولیت های کاری پرسنل ، آزمایش پرسنل قبل از بکارگیری ،‌محرمانگی پیمان ، دوره انتصاب و شرایط پرسنل ارائه شده است.
در خصوص آموزش کاربران ، ضرورت ارائه آموزش به کلیه کاربران در زمینه امنیت اطلاعات اشاره شده است. در خصوص پاسخگویی به حوادث امنیتی و ضعف عملکرد ،‌نکاتی در خصوص گزارش نمودن حوادث ،‌ضعف ها و عملکرد اشتباه نرم افزارها ، درس گرفتن از حوادث و وجود روند های انظباطی برای پرسنل ارائه شده است.
5- امنیت فیزیکی و پیرامونی
در این بخش نکاتی در خصوص موضوعات محیط های امن ، امنیت تجهیزات و کنترل های عمومی ، ارائه شده است.
در خصوص محیط های امن ، نکاتی در خصوص امنیتی فیزیکی ، کنترل مدخل های فیزیکی ،‌ایمن سازی دفاتر ، اطاق ها و وسایل ، ملاحظات کار در محیط امن و ضرورت ایزوله نمودن محیط های تحویل و بارگیری از محیطهای اطلاعاتی سازمان ارائه شده است.در خصوص امنیت تجهیزات ، نکاتی در خصوص قراردادن تجهیزات در سایت و ایمن سازی سایت ، منابع تغذیه، امنیت کابل کشی ،‌نگهداری تجهیزات و امنیت تجهیزات با قابلیت کاربرد مجدد ارائه شده است.
6- مدیریت ارتباطات و بهره برداری
در این بخش ،‌نکاتی در خصوص موضوعات رویه ها و مسئولیت های بهره برداری ، طراحی و پذیرش سیستم ، محافظت در برابر نرم افزارهای مخرب ،‌عملیات روزمره پشتیبانی، امنیت در مدیریت شبکه ، امنیت در پشتیبانی رسانه ها ، مبادله اطلاعات و نرم افزارها، ارائه شده است.
در خصوص رویه ها و مسئولیتهای بهره برداری ، نکاتی در خصوص ضرورت مستند سازی عملکرد ، کنترل موثر تغییرات ، رویه های مدیریت حوادث،‌تفکیک ماموریت ها ، جدا سازی امکانات توسعه، تست و بهره برداری سیستم ها و مدیریت امکانات خارج از سازمان ارائه شده است. در خصوص امنیت در پشتیبانی رسانه ها ، نکاتی در خصوص مدیریت رسانه های متحرک کامپیوتر ، در اختیار قراردادن رسانه ها و رویه های پشتیبانی حوادث ارائه شده است.
در خصوص مبادله اطلاعات و نرم افزارها ، نکاتی در خصوص پیمان مبادله اطلاعات و نرم افزار ،‌ امنیت رسانه در انتقال ، امنیت تجارت الکترونیک ، امنیت پست الکترونی ، امنیت سیستم های اتوماسیون اداری و سیستم های در دسترس عموم ارائه شده است.
7- کنترل دسترسی
در این بخش ، نکاتی در خصوصموضوعات نیازهای تجاری برای کنترل دسترسی ، مدیریت دسترسی کاربران ، مسئولیت کاربران ، کنترل دسترسی شبکه ، کنترل دسترسی در سیستم عامل ،‌کنترل دسترسی نرم افزارهای کاربردی ، نظارت بر استفاده و دستیابی سیستم و پردازش متحرک و کار از راه دور ،‌ارائه شده است.
در خصوص مسئولیت کاربران ، نکاتی در خصوص ثبت کاربران ،‌مدیریت اختیارات، مدیریت رمز عبور و مرور دسترسی های واقعی کاربران ارائه شده است.
در خصوص کنترل دسترسی شبکه ، نکاتی در خصوص تصدیق هویت کاربر و ایستگاه ، کنترل اتصالات و مسیریابی شبکه ، امنیت در سرویس های شبکه ارائه شده است.
8- توسعه و پشتیبانی سیستم ها
در این بخش ، نکاتی در خصوص موضوعات نیازهای امنیتی سیستم ها ، امنیت در سیستم های کاربردی ،‌کنترل های مبتنی بر رمزنگاری،‌امنیت در فایل های سیتم و امنیت در فرآیند توسعه و پشتیبانی ارائه شده است.

پایان نامه با موضوع سیستم های اطلاعاتی و سیستم مدیریت امنیت

ضرورت و جزئیات ایجاد تشکیلات سیاست گذاری ، اجرائی و فنی تأمین امنیت
کنترل های امنیتی مورد نیاز برای هریک از سیستم های اطلاعاتی و ارتباطی
Widget not in any sidebars

BS2-14-1. استاندارد 7799
اولین استاندارد مدیریت امنیت اطلاعات است که توسط مؤسسه استاندارد BS استاندارد 7799
) در سال 1995 و در یک بخش BS انگلیس ارائه شده است. نسخه اول این استاندارد(1: 7799
) که در سال 1999 ارائه شد ، علاوه بر تغییر نسبتBS منتشر شد و نسخه دوم آن (2: 7799
به نسخه اول ، در دو بخش مستقل ارائه گردید. همچنین آخرین نسخه این استاندارد ، (2002 : ) ) در سال 2002 و همانند نسخه دوم ، در دو بخش منتشر گردید (دبیرخانه شورایBS 7799
عالی امنیت فضای تبادل اطلاعات کشور.1383 ص 6).
این استاندارد در حال حاضر بصورت فراگیر در سطح جهان مورد استفاده قرار می گیرد و بر اساس آمار منتشر شده در سایت گروه کاربران بین المللی سیستم مدیریت امنیت اطلاعات
تا انتهای اکتبر سال 2004 مجموعا ً تعداد 915 سازمان در سطح جهان ، موفق به (ISMS)
بر اساس این استاندار و اخذ تأییدیه از مراکز صدور گواهی مبتنی بر این استانداردISMS اجرای
شده اند. این در حالی است که بر اساس آمار همین سایت ، تا انتهای جولای 2004 تعداد سازمانهای فوق ، مجموعا ً‌808 مورد و در انتهای اکتبر 2003 ، 388 مورد بوده است (دبیرخانه شورای عالی امنیت فضای تبادل اطلاعات کشور.1383 ص 6).
BS بخش اول استاندارد 7799
در بخش اول این استاندارد ، که تحت عنوان “آیین نامه کار مدیریت امنیت اطلاعات” ارائه شده است، مجموعه کنترل های امنیتی مورد نیاز سیستم های اطلاعاتی و ارتباطی هر سازمان ، در قالب ده دسته بندی کلی شامل موارد زیر ، ارائه شده است (دبیرخانه شورای عالی امنیت فضای تبادل اطلاعات کشور.1383 ص 7).
1- تدوین سیاست امنیتی سازمان
در این بخش ، ضرورت تدوین و اعلام سیاست امنیت اطلاعات سازمان و مشخصات مورد نیاز برای چنین سیاسیتی ارائه شده است.
2- تشکیلات
در این بخش ،‌نکاتی در خصوص موضوعات زیرساخت امنیت اطلاعات در سازمان ، امنیت دسترسی شخص ثالث و واگذاری فعالیت ها به خارج از سازمان ارائه شده است.
در مورد زیرساخت امنیت اطلاعات سازمان ، نکاتی در خصوص ضرورت تشکیل مجمع مدیریت امنیت اطلاعات ، تعیین هماهنگ کننده امنیت اطلاعات ، مسئولیت ها و اختیارات مرتبطین با امنیت اطلاعات و همکاری اجزاء درگیر در تامین امنیت اطلاعات سازمان با یکدیگر ، ارائه شده است. در خصوص امنیت دسترسی شخص ثالث ، شناسایی ریسک دسترسی شخص ثالث از طریق تعیین انواع دسترسی ها ، اهداف دسترسی ها، پرسنل قراردادی و نیازهای امنیتی که باید در قرارداد های شخص ثالث مورد توجه قرار گیرند ، ارائه شده است. در خصوص واگذاری فعالیت ها به خارج از سازمان تیز ملاحظاتی که باید در قراردادها مورد توجه قرار گیرند ، ارائه شده است.

پایان نامه با موضوع سیستم مدیریت امنیت و امنیت اطلاعات


Widget not in any sidebars
ISMS) می شوند. علاوه بر تدوین ISMS موظف به تدوین یک سیستم مدیریت امنیت اطلاعات‌(
سازمان ها موظف به پیاده سازی ، نظارت بر اجرا و بروز رسانی سیستم مدیریت امنیت اطلاعات خود هستند.
بازبینی می شود و در صورت رعایت تمام موارد ISOاین چهار بایسته توسط ممیزهای کارشناس
گواهی استاندارد برای آن سازمان برای مدت معین صادر می شود.
) وابسته به دولت آمریکا ازNIST ، سازمان ملی استاندارد و تکنولوژی (BSI وISOعلاوه بر
دهه 1980 میلادی بر روی استاندارد های امنیت استاندارد های امنیت اطلاعات فعالیت داشته و اسناد بسیار مفیدی را نیز بصورت مدون در دسترس همگان قرار داده اس. دولت آمریکا نیز توصیه های امنیتی این سازمان را به صورت اجباری از همه شرکت های دولتی و غیردولتی مرتبط به دولت آمریکا خواستار شده است.
و توصیه ISOآنچه در ادامه ارائه می شود معرفی استاندارد های بکار رفته خانواده ی 27000
ISMS های امنیتی آنها جهت تهیه و تدوین سیستم جامعه مدیریت امنیت اطلاعات مشهور به
است ( مهدی احمدلو ، 1389).
2-13. سیستم مدیریت امنیت اطلاعات
با ارائه اولین استاندارد مدیریت امنیت اطلاعات در سال 1995 ،‌نگرش سیستماتیک به مقوله امنیت اطلاعات شکل گرفت. بر اینن اساس این نگرش ، تأمین اطلاعات در یک مجموعه سازمانی ، دفعتا ً‌مقدور نمی باشد و لازم است این امر بصورت مداوم و در یک چرخه ایمن سازی شامل مراحل طراحی ، پیاده سازی، ارزیابی و صلاح ، انجام گیرد. برای این منظور لازم است هر سازمان بر اساس یک متدولوژی مشخص ، ضمن تهیه طرحها و برنامه های امنیتی مورد نیاز ، تشکیلات لازم جهت ایجاد و تداوم امنیت اطلاعات خود را نیز ایجاد نماید.
2-14. استاندارد های مدیریت امنیت اطلاعات
در حال حاظر ، مجموعه ای از استاندارد های مدیریتی و فنی امنیت اطلاعات ارتباطات ، ارائه
مؤسسه استاندارد انگلیس ، استاندارد مدیریتی BS شده اند که استاندارد مدیریتی7799
مؤسسه بین المللی استاندارد ، ازISO/IEC TR و گزارش فنی13335 ISO/IEC17799
برجسته ترین استاندارد ها و راهنماهای فنی محسوب می گردند. در این استانداردها ، نکات زیر مورد توجه قرار گرفته شده است : (دبیرخانه شورای عالی امنیت فضای تبادل اطلاعات کشور.1383 ص 6)
تعیین مراحل ایمن سازی و نحوه شکل گیری چرخه امنیت
جزئیات مراحل ایمن سازی و تکنیکهای فنی مورد استفاده در هر مرحله
لیست و محتوای طرحها و برنامه های امنیت مورد نیاز سازمان

پایان نامه با موضوع فن آوری اطلاعات و استاندارد سازی


Widget not in any sidebars

در هر سازمانی که به طریقی از رسانه های مجازی ، الکترونیکی ، فن آوری اطلاعات برای انجام بخشی از کارهای خود استفاده می کند ، آگاهی و دایرسازی یک سیستم مدیریت برای برقراری امنیت اطلاعات ضروری است.
تا زمانیکه سازمان ها و شرکت ها به صورت کامل اطلاعات خود را از شکل سنتی به محیط های کاملا ً مجازی تبدیل نکرده اند ، حوزه ی حفاظت امنیت اطلاعات می بایست روش های سنتی ثبت و بایگانی اطلاعات را نیز در بر گیرد. در محیط هایی که روال و فرایند های امنتیتی حفاظت از اسناد کاغذی و سنتی را در بر نمی گیرند ، امکان به مخاطره افتادن اطلاعات حساس یک سازمان افزایش پیدا می کند (احمدلو، 1389).
2-11.فرهنگ امنیت اطلاعات
امنیت اطلاعات فقط در قالب رفتار های امنیتی کارکنان یک سازمان تحقق می یابد. به هبارتی اطلاعات یک سازمان تا آنجا امنیت دارد که افراد آن سازمان بتوانند نکات امنیتی را در آن رعایت کنند. رعایت نکات امنیتی امری مقطعی نیست. تداوم در رفتار امنیتی و ارتقاء سطح کیفی یک سازمان از نکات امنیتی موجب تداوم و حفظ امنیت آن سازمان می شود.
برای نهادینه شدن رفتارهای امنیتی در یک سازمان می بایست فرهنگی ایجاد شود که رفتار های امنیتی در قالب یک ساختار معرفی می شود. تعریف یک ساختار مشخص به افراد یک سازمان قدرتمند تشخیص بهتری می بخشد. هر یک از افراد در قالب ساختار تعریف شده با وظایف خود آشنا می شود. در صورت بروز هرگونه رویداد امنیتی، هر فردی می تواند طبق یک دستورالعمل از خود واکنش نشان دهد.این ساختار تعریف شده سبب می شود که هر یک از افراد دائما ً با عواقب امنیتی رفتار خود آشنا باشد. هنگامی که تمام افراد یک سازمان با وظایف خود و عواقب امنیتی کار خود آشنا باشند ، فرهنگی در سازمان رایج می شود که در آن تمامی افراد حافظ امنیت اطلاعات آن سازمان هستند (مهدی احمدلو،1389).
2-11-1. پایه گذاری فرهنگ استاندارد در امنیت
استاندارد سازی می تواند به دوگونه پایه گذاری شود. روش اول اینکه هر سازمان استانداردی را مناسب فرآیند های خود تعریف کند و از آن پیروی کند. در این روش سازمان آزاد است به هر گونه که میخواهد چهارچوب عملکرد خود را تعریف کند. در روش دوم روال کار خود را با یکی از استاندارد های موجود وفق دهد. در این صورت سازمان یک استاندارد رایج بومی سازی کرده و در سطح سازمانی از آن استفاده می کند. هر یک از این دو طریق مزیت های خاص خود را داراست. در روش اول سازمان هیچ محدودیتی در تعریف راهکارهای خود ندارد. اما راهکارهای آن سازمان ناشناس می ماند. این روش در ضورتی مناسب است که سازمان اصرار بر مخفی بودن راهکارهای خود داشته باشد. اما در روش دوم که سازمان از استاندارد های شناخته شده استفاده می کند می تواند اعتماد سازمان های دیگر را نیز به خود جذب کند. مخصوصا ً زمانیکه آن سازمان برای کسب درآمد نیاز به جلب اعتماد دیگران را دارد.
در مواردی که یک سازمان با سازمان های جانبی دیگر در ارتباط است ، تبعیت از استاندارد مشخص به فهم طرفین در شناخت فرآیند های یکدیگر کمک می کند و هر یک به نوبه ی خود با وظایف خود
آشناست. در خصوص امنیت این موضوع اهمیت دو چندان دارد. چرا که در صورت عدم وجود استاندارد مشخص در عملکرد امنیتی ، یک سازمان اعتماد سازمان های دیگر را از دست می دهند. سازمان ها روز به روز در پی انجام معاملات با شرکت هایی هستند که از نظام استاندارد امنیتی مشخص تبعیت می کنند. مخصوصا ً اگر آن شرکت گواهی استاندارد بین المللی را کسب کرده باشد (احمدلو،‌1389).
2-12.استاندارد های رایج
علاوه بر استاندارد های سلیقه ای که برای یک سازمان مشخص با دستور کار مشخص تدوین شده،‌سازمان هایی نیز در زمینه استاندارد سازی با نظام های دولتی همکاری می کنند . اکثر کشور ها سازمانهای مستقلی دارند که بر اساس قوانین رایج آن کشور وظیفه تعریف استاندارد های مختلف آن کشور را به عهده دارند.
در زمینه امنیت نیز کشورهای زیادی هستند که سازمان های استاندارد خود را موظف به تعریف یک استاندارد ملی کرده اند. کشورهایی همچون استرالیا ، ایالات متحده آمریکا،بریتانیا و کانادا را می توان از جمله کشور هایی دانست که در تعریف استاندارد امنیت اطلاعات قدم های موفقی را برداشته اند. همه این استاندارد ها در مواردی با هم همخوانی دارند اما وجه متمایز همه آنها در این است که استاندارد ها بر اساس قوانین رایج کشور خودشان تعریف شده است. تنها یک استاندارد بین المللی وجود دارد که در زمینه ی امنیت سازمان ها را ملزم به رعایت قانون کشور
)پیروی از قوانین را ملزم می داند اما پیرویISO خاصی نمی کند. سازمان استاندارد بین المللی (
از یک قانون خاص را به عهده سازمان واگذار نی کند. در ایران نیز سازمان استاندارد جمهوری
را بومی سازیISO در زمینه امنیت ، استاندارد های تعریف شده توسط (ISIRI) اسلامی ایران
کرده و در اختیار سازمان ها قرار می دهد.
معرفی کرد. درISO) نمونه موفقی از این استاندارد امنیت را به BSI)سازمان استاندارد بریتانیا
27001: ISO/IEC تحت شماره ISO توسط BS سال 2005 میلادی بسته پیشنهادی 7799
2005 به عنوان تدوین استاندارد امنیت اطلاعات معرفی شد. طی این استاندارد ، سازمان ها
1 2 3 4 103