پایان نامه با موضوع پیاده سازی نظام و الزامات قانونی


Widget not in any sidebars
دستورالعمل های سازماندهی و تنظیم روابط داخلی یا خارجی
دستورالعمل های اجرایی
2-6. سلسله مراتب سازمانی در ایجاد و به کارگیری نظام مدیریت امنیت اطلاعات
رعایت نظم در انجام امور ، سازماندهی ، مستندسازی و رعایت الزامات قانونی‌، شالوده اصلی نظام مدیریت امنیت اطلاعات را تشکیل می دهد. بنابراین نباید به هیچ وجه اجازه داده شود ایجاد یا به کارگیری نظام مدیریت امنیت به عنوان بهانه یی برای نادیده گرفتن مقررات یا دور زدن قوانین یا عدم رعایت سلسله مراتب سازماندهی به کار گرفته شود. بنابراین لازم است در تدوین یا اجرای کلیه دستور العمل های نظام مدیریت امنیت اطلاعات رعایت سلسله مراتب سازمانی به عنوان یک الزام اصیل در نظر گرفته شود. جهت اجرای این اصل لازم است :
هنگام اقدام به سیاست گذاری در حوزه امنیت اطلاعات ابتدا سیاست گذاری موجود در این زمینه از نهاد بالادستی استعلام شود. سیاست گذاری جدید در مورد هر موضوع فقط وقتی پذیرفتنی است که نهاد بالادست در این خصوص سیاست گذاری خاصی نداشته باشد. هر گونه تغییر در سیاست گذاری نهاد های متبوع بلافاصله باید در سیاست گذاری های نهاد تابع لحاظ گردد. طبقه بندی هایی حفاظتی دارایی های اطلاعاتی باید حداقل معادل طبقه بندی های حفاظی تعیین شده توسط نهاد بالادستی باشد.در صورت صدور دستور العمل جدید امنیت اطلاعات توسط نهاد بالادستی دستورالعمل های مغایر با آن از درجه اعتبا ساقط بوده و لازم است دستور العمل صادر شده جدید به مورد اجرا گذاشته شود (عبدالمجید ریاضی،11،1388)
سلسله مراتب سیاست گذاری و اجرا در نظام مدیریت امنیت اطلاعات
سلسله مراتب سیاست گذاری و اجرا در نظام مدیریت امنیت اطلاعات به شرح زیر خواهد بود :
الف- سیاست گذاری کلان در سطح راهبردی
ب-برنامه ریزی،سازماندهی،بودجه بندی و هماهنگی در سطح مدیریتی میانی
ج- اجرا در واحد های مختلف سازمان یا شرکتی توسط مدیران اجرایی یا کارشناسان فنی
مسوولیت ایجاد نظام مدیریت امنیت به عهده مدیریت ارشد سازمان و مسوولیت راهبردی آن به عهده مدیریت میانی سازمان می باشد (عبدالمجید ریاضی،12،1388)
2-7.ملاحظات هزینه ای در ایجاد و پیاده سازی نظام مدیریت امنیت اطلاعات
اندازه بودجه امنیتی یک سازمان بستگی به حیطه و چارچوب زمانی پروژه امنیتی دارد ، تا به اندازه سازمان. سازمان های دارای برنامه های امنیتی قوی ، ممکن است بودجه های کمتری داشته باشند ،‌تا سازمان های کوچکتری که تازه آغاز به ساختن یک برنامه امنیتی کرده اند. با توجه به امنیت ،‌بودجه به هیچ عنوان مهم تر از تعادل نیست. بودجه امنیتی باید بین هزینه های سرمایه ای ، عملکرد جاری و آموزش تقسیم شود. بسیاری از سازمان ها مرتکب اشتباه شده و ابزارهای امنیتی را بدون تخصیص بودجه کافی برای آموزش این ابزارها خریداری می کنند. در بیشتر موارد ، ابزارهای جدید امنیتی اجازه کاهش کارکنان را نخواهند داد. انتظاربسیاری از سازمان ها این است که ، اتوماسیون بیشتر در ابزارهای امنیتی اجازه کاهش کارکنان امنیتی را می دهد. متاسفانه ،‌به ندرت این اتفاق می افتد. دلیل آن این است که ابزارهای جدید فرایندی را که اکنون بصورت دستی انجام می گیرد را اتوماسیون نمی کنند. در بیشتر موارد ، این فرایند اصلاً در حاضر انجام نمی گیرد. بنابراین ، ابزار جدید قابلیتی را ایجاد می نماید ، تا اینکه بهره وری را افزایش دهد. بنابراین متحمل است که خریداری یک ابزار جدید از آنجا که فرایند جدیدی را اضافه می کند ، بار کاری کارکنان را افزایش دهد و نیازمند افزایش کارکنان باشد. بودجه بندی با توجه به بهترین سرمشق ها باید بر پایه طرح های پروژه امنیتی باشند که آن نیز به نوبه خود باید مبتنی بر مخاطرات متوجه سازمان باشد. باید پول کافی برای تکمیل موفقیت آمیز طرح های پروژه امنیتیبودجه بندی شود. (اریک میوالد،236،1385)
ایجاد هرگونه نظام جدید به خصوص در سطح رسمی ، مستلزم صرف هزینه های متناسب با ماموریت و حوزه پیاده سازی آن نظام می باشد. بنابراین لازم است قبل از ایجاد هر نظام جدید در خصوص ضرورت ایجاد آن نظام بررسی لازم انجام شود. این بررسی به عهده برنامه ریزان کلان و مدیران ارشد سازمان می باشد که با آگاهی از چالش ها و فرصتهای فراروی سازمان در خصوص ضرورت ایجاد نظام تصمیم گیری می نمایند. پس از اثبات ضرورت ایجاد نظام ، مرحله بعدی تخصیص بودجه لازم جهت اجرای آن و تعیین زمان بندی های صرف بودجه می باشد. مراحل پیاده سازی و اجرای مدیریت امنیت از لحاظ صرف بودجه می توان به چهار مرحله تقسیم کرد که عبارتند از :
مرحله اول : سیاست گذاری کلان و تدوین برنامه های راهبردی
مرحله دوم : سازماندهی و ایجاد زیرساخت های سازمانی
مرحله سوم : ایجاد زیرساخت های امنیتی و امن سازی اولیه
مرحله چهارم : حفاظت از امنیت و تداوم آن
موضوع قابل توجه در اینجا لزوم صرف بودجه های کلان تر جهت رسیدن به درجه امنیت بالاتر می باشد. باید توجه داشت که طبق نظر کلیه کارشناسان خبره امنیت اطلاعات دستیابی به امنیت کامل غیرممکن است. این به آن معنی است که صرف بودجه بیشتر لزوماً منجر به درجه امنیت بالاتر نمی شود. به عبارت دیگر صرف هر واحد بودجه درمراحل اولیه امن سازی تاثیر بسیار بیشتری در افزایش درجه امنیت نسبت به صرف همان مقدار بودجه در مراحل بعدی خواهد داشت. به طور کلی اثربخشی صرف بودجه های اولیه در مراحل ابتدایی ایجاد نظام مدیریت امنیت اطلاعات بسیار بیشتراز مراحل تحکیم امنیت و ایجاد زیرساخت های امنیتی می باشد. بنابراین ضروری است مراحل اولیهایجاد نظام مدیریت لمنیت اطلاعات شامل سیاست های کلان ، سازماندهی و امن سازی اولیه در اولویت اجرایی قرار گیرند تا امنیت نسبی ایجاد شده و به دنبال آن و با دقت بیشتری به انتخاب زیرساخت هاب امنیتی و استقرار آن پرداخت. (عبدالمجید ریاضی،15،1388).