تمرینات مدیریت عمومی/ مدیریت امنیت اطلاعات
تمرینات مدیریت در ITIL4
تمرینات مدیریت عمومی/ مدیریت امنیت اطلاعات
تمرینات مدیریت عمومی شامل ۱۴ فرایند است که معمولاً در تمام خدمات در نظر گرفته میشوند و برای کل سازمان قابل اجرا هستند. اینها دیدگاههایی را ارائه میدهند که صرف نظر از نوع خدمات یا محصولاتی که سازمان ارائه میدهد باید در سرتاسر سیستم اجرا شوند. به عنوان مثال مدیریت امنیت اطلاعات - هر سازمانی که از فناوری مدرن استقبال میکند باید این کار را انجام دهد و از اطلاعات سازمان در برابر دسترسی غیرمجاز محافظت کند و این فقط برای خدمات قابل اجرا نیست بلکه باید در کل سازمان تمرین شود!
| General management practices (3-14) تمرینات مدیریتی عمومی | |||||
| مدیریت امنیت اطلاعات | |||||
| هدف | برای اطمینان از حفاظت از اطلاعات یک سازمان در طول چرخه حیات اطلاعات. به گونهای که از محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات اطمینان حاصل شود، و اطلاعات سازمان از دسترسی غیرمجاز و سوء استفاده محافظت شود. | ||||
| شرح | مدیریت امنیت اطلاعات با پیشرفت روزافزون فناوری و پذیرش سیستمهای فناوری اطلاعات به نیاز واقعی سازمانهای مدرن (صرف نظر از کسبوکارشان) تبدیل شده و پلتفرمهای فناوری و سیستمهای فناوری اطلاعات برای پردازش دادهها و اطلاعات در بسیاری از کاروکسبها استفاده میشود، خواه این یک بانک باشد، یک سازمان تجاری ساخت و ساز عمرانی، سینما، تلویزیون یا یک فروشگاه خرده فروشی. در هرصورت صرفنظر از نوع کاروکسب، انطباق و پذیرش پلتفرمهای فناوری و سیستمهای فناوری اطلاعات برای انجام تجارت یک امر ضروری و رایج است. بعبارتی امروزه کاروکسبی نیست که بدون فناوری اطلاعات اعلام وجود کند اما با این دیدگاه مدرن، سازمانها با چالشهای جدیدی روبرو میشوند و برای حفاظت از منافع چارچوب امنیت اطلاعات کسبوکار، سیاستها، رویههایی در پیش دارند که با انجام دهد این رویهها و تمرینات مدیریت امنیت اطلاعات تعادل بین پیشگیری، تشخیص و اصلاح را در نظر میگیرد و حفظ میکند. تمرینات مدیریت امنیت اطلاعات باید تمام جنبههای یک سازمان و پویاییهای آن را در نظر بگیرد تا با استراتژی سازمان همسو باشد و از منافع سازمان محافظت کند. اینها باید در سراسر سازمان اعمال شوند و نباید فقط به یک یا چند جنبه محدود شوند. به منظور حمایت از توانمندسازی امنیت اطلاعات در سازمان، باید به ایجاد چارچوب امنیت اطلاعات، خطمشیها، فرآیندها، مدیریت ریسک، مدیریت هویت و دسترسی، مدیریت رویداد، بررسی و گزارشدهی ساختاریافته (کنترلشده) توجه شود. | ||||
| فعالیت در سیستم زنجیره ارزش خدمات | سهم مشارکت فعالیتهای زنجیره ارزش خدمات در مدیریت امنیت اطلاعات، همه فعالیتهای زیر است. برنامهریزی: روی درنظر گرفتن امنیت اطلاعات در تمام فعالیتهای برنامه ریزی تمرکز دارد. بهبود: روی بهبود امنیت اطلاعات در طول چرخه حیات اطلاعات با بهبود مستمر رویهها و پلتفرمهای امنیت اطلاعات تمرکز دارد. مشارکت: بر درگیر کردن تمام سطوح (به عنوان مثال استراتژیک، تاکتیکی، عملیاتی، تراکنش SVC و غیره) تمرکز دارد تا ذهنیت امنیت اطلاعات و انطباق با فعالیتها را اکتیو کند. طراحی و انتقال: روی در نظر گرفتن نیاز به امنیت اطلاعات در حین طراحی و انتقال فعالیتها تمرکز دارد. دریافت/ساخت: نیز روی ایجاد امنیت اطلاعات در تمام اجزای یک سرویس فناوری اطلاعات، از جمله خدمات ارائه شده توسط تأمین کنندگان تمرکز دارد. تحویل و پشتیبانی: بر شناسایی حوادث مرتبط با امنیت اطلاعات و اصلاح سریع آنها برای محافظت از اطلاعات تمرکز دارد. | ||||
| سهم این تمرین در فعالیتهای سیستم زنجیره ارزش خدمات یا SVC جایی که "۰" کمترین سهم و جایی که "۳" بالاترین سهم را داراست. | |||||
| برنامهریزی ۳ | بهبود ۳ | مشارکت ۲ | طراحی و انتقال ۳ | دریافت و ساخت ۲ | تحویل و پشتیبانی ۲ |
[…] قسمت بعدی: مدیریت امنیت اطلاعات […]
[…] اشاره دارند. حتی یکی از تمرینات کلیدی ITIL نیز همین امنیت اطلاعات […]
[…] مدیریت امنیت اطلاعات (Information Security Management) […]
[…] میدانید که مدیریت امنیت اطلاعات یکی از تمرینات ITIL است؛ از طرفی سیستم مدیریت امنیت اطلاعات یا ISMS هم بطور […]