روش اجرایی محرمانگی داده های الکترونیکی

نمونه روش اجرایی محرمانگی داده ای الکترونیکی یکی از مهمترین چالش های روز دنیا در باره مسائل مرتبط با حفظ صحت و محرمانگی داده ها برای ارتقای کیفیت خدمات است. کارشناسان و مشاوران سیستم مدیریت امنیت اطلاعات جهت اخذ گواهینامه ایزو 27001 به این سند نیاز مبرم دارند. همچنین سایر کارشناسان IT برای مدیریت اطلاعات و داده ها نیاز به دستور العمل محرمانگی داده های الکترونیکی دارند.

آئین نامه محرمانگی داده های الکترونیکی

دستور العمل یا آئین نامه محرمانگی داده های الکترونیکی علاوه بر تاکید اخلاق بر حفظ محرمانگی داده ها ، کسب و کارها با تبعیت از قوانین خود را ملزم به حفظ محرمانگی داده ها و پیش بینی های لازم به منظور جلوگیری از دسترسی غیر مجاز به اطلاعات می نمایند. آیین نامه محرمانگی داده های الکترونیکی یکی از مستندات ایزو 27001 است. البته هر کارشناسی بطور سایقه ایی عناون ایین نامه و یا دستورالعمل و یا روش اجرایی را برای این سند بکار می بندد.

نمونه روش اجرایی محرمانگی داده های الکترونیکی

سند نمونه روش اجرایی محرمانگی داده های الکترونیکی برای کاربران فقط جنبه الگو برداری دارد . ما در پایان مقاله فایل word نمونه روش اجرایی محرمانگی داده الکترونیکی را قرار دادیم.

کاربران و علاقمندان در حوزه علم و تکونولوژی با گسترش فناوری های روز باعث میگردد با مبحث محرمانگی از قالب سنتی و اجتماعی آن خارج گردند و به دنیای علم و تکنولوژی ( مانند دور کاری ) راه یابد.

کاربرد نمونه روش اجرایی محرمانگی اطلاعات در چارچوب دستور العمل ها و تعیین سطح دسترسی مجاز است. نمونه روش اجرایی محرمانگی داده های الکترونیکی تنها یکی از مستندات ایزو است. برای ملاحظه کامل لیست مستندات ایزو بر روی منوی دانلود رایگان مستندات ایزو کلیک نمایید.

روش اجرای محرمانگی داده ها – ویژگی های اصلی

ارکان اصلی روش اجرای محرمانگی داده ها ( مانند دارایی ها ، داده الکترونیکی شامل نرم افزارها و برنامه ، ابزارها ، دستور العمل ها و فرآیندها ، روش های اجرایی ، اطلاعات مالی ، دانش فنی و تخصصی و … ) باید شامل سه ویژگی ارزش مالی ، عدم دسترسی و حفظ امنیت و محرمانگی باشد .

ارکان روش اجرایی محرمانگی داده ها التزام بر تعیین دستور العمل ها و قوانین و آئین نامه امنیت اطلاعات و تعیین سطوح دسترسی جهت محرمانگی اطلاعات را ضروری می کند .

مهمترین مراحل اجرای محرمانگی داده ها

– تعیین آئین نامه و دستور العمل های اجرایی محرمانگی داده ها

– تعیین مسئولیت ها در زمان نظارت و اجرا روش محرمانگی داده ها

– شرح اقدامات انجام گرفته

– تعیین سطوح دسترسی کلیه کارکنان و تامین کنندگان با توجه به سیاست و خط مشب ها جهت حفظ حریم خصوصی و صحت اطلاعات

– تعیین نام کاربری و رمز عبور برای کلیه کارکنان مرتبط

– پشتیبان گیری بریا پیشگیری از دست دادن داده ها

راه حل ها باید مطابق با نیازهای شرکت در راستای اجرایی روش محرمانگی داده ها باشد و فاکتورهای کلیدی باید هنگام پیاده سازی و سازماندهی سیستم های اطلاعاتی در نظر گرفته شوند

فاکتورهای کلیدی روش اجرایی محرمانگی داده ها

– تجربیات مجریان

– نیازهای شرکت

– عملکرد خدمات ارائه شده

متن نمونه روش اجرایی محرمانگی داده های الکترونیکی

1- هدف :

این روش اجرایی با هدف حفظ امنیت و صحت اطلاعات، استفاده ی صحیح از امكانات سخت افزاری و نرم افزاری و همچنین حصول اطمینان از پایداری شبكه از لحاظ ارتباطات تهیه و تدوین گردید.

امنیت اطلاعات: شامل محرمانگی، حفظ صحت و یكپارچگی، دسترس پذیری در زمان ایجاد و انتقال و نگهداری است.

2- دامنه كاربرد :

این روش اجرایی كلیه اطلاعات سازمان اعم از اطلاعات در داخل شركت و اطلاعات مربوط به كار فرمایان و سیستم های كامپیوتری و تجهیزاتی كه به شبكه متصل و درون سازمان هستند.

همچنین سیستم هایی كه با نام سازمان در خارج از شركت هستند (مانند پروژه ها) و همچنین كلیه كاربران داخلی و خارج شبكه كه با سیستم های سازمان درگیر هستند را شامل می شود.

محرمانگی اطلاعات – تعاریف

3- تعاریف :

اطلاعات: داده های پردازش شده كه شامل تمامی اطلاعات دیجیتالی مبنایی برای تصمیم گیری می باشند. شركت، اعم از متون، نقشه ها، تصاویر، نامه ها، پرونده ها، اسناد، فایلهای كامپیوتری، اطلاعات توصیفی و جغرافیایی و … چه داخل شبكه و سرورها چه برروی كلاینتها و كامپیوترهای مستقل است.

اطلاعات یك دارایـی اسـت كـه هماننـد سایر دارایی های باید حفظ و نگهداری شود.

 اطلاعات شامل:

– مستندات الكترونیكی

– مراسلات متداول

– رسانه های الكترونیكی

– سوابق پایگاه داده

– ایمیل ها

– نوارها، DVD ROM ها و CD ROM ها و blu-ray ها و …

– فیلم ها

– اطلاعات بیان شده در جلسات

كاربران:شامل کارکنان، پیمانكاران مرتبط با شبكه و سایر كاربرانی كه به نحوی با بخش های مدیریتی و یا كاربردی درون سازمانی شبكه در ارتباط می باشند.

نرم افزار: شامل سیستم عامل ها مانند Linux، Windows و نرم افزارهای كاربردی عمومی مانند Office ، نرم افزارهای كاربردی سازمانی مانند سیستم اتوماسیون اداری، نرم افزارهای كاربردی اختصاصی مانند سیستم های فنی و مهندسی، نرم افزارهای مدیریت شبكه و سیستم های تحت وب مانند Kerio Server،My SQL ،SQL Server ، Kerio mail ،Active Directory و …

سخت افزار: شامل ایستگاه های كاری، سرویس دهنده ها Data Projector ها، PC ها، Laptop ها، تجهیزات شبكه و انتقال داده مانند Router ها، Switchها، Hub ها و … چاپگرها، پویشگرها، تجهیزات سیار انتقال اطلاعات مانند Flash Memory ها، CD ها، DVD ها، دوربین های دیجیتالی، و …

ارتباطات: شامل كابل های فیبرنوری، CAT5 و CAT6، ارتباطات شبكه سازمان با سایر شبكه های موجود از قبیل شبكه سایر كارخانجات و دفتر مركزی، شبكه اینترنت و …

كاربر مجاز: كاربرانی كه با تایید بخش اداری و با توجه به پروسه جذب در سازمان احراز هویت گردیده اند و دارای نام كاربری در دامنه سازمان می باشند.

كاربر مجاز موقت: كاربرانی كه با تایید مدیر قسمت و بدون توجه به پروسه جذب در سازمان نیاز به استفاده از نام كاربری موقت در دامنه سازمان را دارند.

كاربران خارجی: كاربرانی كه از سازمان های بیرونی به سازمان سرویس می دهند. این كاربران دارای دسترسی به public user ، Remote Desktop و DBA User بانك اطلاعاتی با توجه به نام كاربری تعریف شده، هستند.

محرمانگی داده های الکترونیکی و مسئولیتها

4- مسئولیت نظارت و اجرا :

– مدیر عامل: مسئول تصویب و ابلاغ روش اجرایی امنیت اطلاعات به همه واحد های شركت است.

– مدیر انفورماتیك: مسئول تدوین به روزآوری، و نظارت برحسن اجرای این روش اجرایی در واحد انفورماتیك و كلیه واحد های سازمان و همچنین بازنگری و بهبود آن در مقاطع مقتضی است.

-همچنین مسئولیت مدیریت فنی سایت شركت را داراست.

– معاونین و مدیران واحدها: مسئول نظارت بر حسن اجرای روش اجرایی در واحد تحت مدیریت خود هستند.

– مدیران پروژه ها: مسئول اجرای روش اجرایی در تمام مقاطع اجرای پروژه ای كه مدیریت آن را به عهده دارند، و در تمام واحد های درگیر هستند.

كاربران: مسئول اجرای روش اجرایی هستند.

– مدیر سیستم ها و روش ها: مسئول پایش روش اجرایی و گزارش آن به مدیر عامل در مقاطع مقتضی است.

– مشاور انفورماتیك : مسئول همكاری با مدیر واحد انفورماتیك در پیاده سازی و انتخاب سخت افزار و نرم افزار مناسب و همچنین ارائه پیشنهادات بهبود است.

– مدیر توسعه بازار: مسئول مدیریت محتوای وب سایت شركت است.

شرح عملیات محرمانگی اطلاعات

5- شرح:

– اطلاعات سازمان صرفا توسط افراد مجاز قابل دسترسی باشند.

– محرمانگی اطلاعات همواره در كل سازمان همچنین در پروژه ها، بین واحدهای سازمانی حفظ شود.

– در كلیه فرایندها امنیتی یكپارچگی اطلاعات حفظ گردد.

– پیاده سازی سیاستهای امنیتی نباید اختلالی در روند كاری سازمان و واحدها ایجاد كند.

– آموزشهای لازم را در مورد امنیت اطلاعات و سیاست های امنیتی مربوط به كل سازمان است.

– تمامی رخنه های امنیت اطلاعات و ضعف های احتمالی توسط همه كاربران گزارش شده و به آنها رسیدگی گردد.

– تبادل اطلاعات بین سازمانی همواره ازطریق كانال های مجاز و مورد تایید سازمان صورت گیرد.

– تمام دستورالعمل های امنیتی مصوب برای كلیه سازمان یكسان است و موارد استثنا، تنها در صورت دستور كتبی مدیریت ارشد اعمال می شود.

– هر گونه خارج نمودن، و انتشار اطلاعات شركت، مگر با اخذ مجوز از مقامات ذیصلاح تخلف محسوب می شود.

– كلیه نرم افزارهای داخلی كه از طریق آنها تولید محتوا می شود باید مشخص، استانداردسازی و منطبق بر سیاست های امنیتی سازمان بكاررود.

– هر كاربر در شبكه فقط مجاز است به اطلاعاتی دسترسی داشته باشد كه از طرف مدیران مافوق برای او مجاز، و هرگونه تلاش برای دسترسی به اطلاعاتی خارج از حیطه (اعـم از مشـاهده، تغییـر، دسـتكاری و…) اكیدا ممنوع و تخلف محسوب می شود.

– اختلال در عملكرد شبكه و كاربران اكیدا ممنوع است.

– از اقداماتی كه منجر تخریب اطلاعات شود، پرهیز شود.

– هرگونه تلاش جهت نفوذ به سایر كلاینتها، سرورها و دیتابیس ها، كه جزء دسترسی مجاز یك كاربر نمی باشد توسط هرگونه ابزار سخت افزاری یا نرم افزاری كه باشد تخلف محسوب می شود.

اجرای روش اجرایی محرمانگی اطلاعات

در راستای اجرای دقیق این روش اجرایی موارد به شرح زیر طبقه بندی می گردد.

 5-1 – پست الكترونیكی

 5-2 – اطلاعات ذخیره شده در سرور

 5-3 – نرم افزار ERP

 5-4 – اطلاعات اكتیو دایركتوری

 5-5 – اطلاعات مربوط به سایت سازمان

 5-6 – اطلاعات مربوط به دامنه و هاست سازمان

 5-7 – اطلاعات مربوط نرم افزار PWKARA

 5-8 – اینترنت

5-9 – حفاظت در برابر ویروس ها

5-10 – اطلاعات دوربین‌ها

5-11 – سرورها

5-12 – ارسال/دریافت اطلاعات ازكارفرما/تامین کنندگان

5-13 – نگهداری و اداره اطلاعات محرمانه

5-14 – امنیت اطلاعات در مدیریت پروژه

5-15 – سطوح دسترسی

5-1- پست الكترونیكی

5-1-1- ایمیل های سازمانی: معرفی و ایجاد ایمیل های سازمانی توسط كارشناسان IT با نظر مدیران هر واحد انجام می شود.

5-1-2- ایمیل های شخصی: استفاده متعارف از منابع سازمان برای ایمیل های شخصی پذیرفتنی است، ولی ایمیل های غیرمرتبط با كار می بایست در پوشه جداگانه و مجزا از ایمیل های كاری نگهداری شوند.

درضمن ایمیل های شخصی باید از ایمیل های سازمانی جدا شوند. كاركنان سازمان نباید انتظار داشته باشند، پیام هایی كه در سیستم پست الكترونیكی سازمان ذخیره، ارسال و دریافت میكنند، در قالب حیطه شخصی آنها تلقی و محرمانه باشد. سازمان ممكن است بدون هشدار قبلی به نظارت و بررسی ایمیل ها بپردازد

– فایل نگهداری ایمیل های سازمانی تنها در دسترس خود كاربر و كارشناس IT می باشد.

– تمامی ایمیل هایی كه حاوی اطلاعات سازمانی هستند بطور روزانه، نسخه پشتیبان تهیه و در سرور نگهداری شوند.

– ارسال ایمیل سازمانی برای خارج از شركت اعم از كارفرمایان، تامین كنندگان و سایر اشخاص حقیقی تنها توسط مدیران و پست های سازمانی معرفی شده توسط ایشان انجام شود. لیست تاییدیه افراد مجاز نزد واحد انفورماتیك شركت نگهداری شود.

5-2- اطلاعات محتوای ذخیره در سرور

5-2-1- اطلاعات سازمانی: این اطلاعات اهمیت بسیار زیادی در سازمان دارد. اطلاعات این قسمت توسط مدیران هر واحد مشخص خواهد شد. بر طبق چارت سازمانی دسترسی هر شخص توسط مدیر همان قسمت به اطلاعات مشخص خواهد شد. از قرار دادن اطلاعات شخصی در این قسمت باید خودداری شود.

 5-2-2- اطلاعات فردی

كلیه اطلاعات كاربران سازمان روی سرور ذخیره می شود. اطلاعات فردی در درایو p هر سیستم قابل مشاهده است.

– کاربران از قرار دادن اطلاعات سازمانی در درایو P خودداری كنند.

– اطلاعاتی كه كاملا شخصی است .نباید در سیستم نگهداری شود.

– مسئولیت پاك شدن اطلاعات فردی بر عهده كاربر است.

– قراردادن فایلهای Multi Media و عكس در درایو P امكان پذیر نمی باشد.

– مدیران هر واحد باید دسته بندی منظم و دقیقی را برای حفظ و نگهداری اطلاعات به منظور دسترسی سریع ایجاد كنند و كلیه كاربران موظف به رعایت آن هستند.

– کلیه فایلهای مهم باید پسورد داشته باشند.

5-3- نرم افزار ERP

– نرم افزار ERP شامل سیستمهای مالی ، منابع انسانی، انبار ، حقوق و دستمزد ، اموال و … دارای زیر سیستمهای مختلفی است.

 كاربر هر واحد با توجه به مجوز صادره از طریق معاونت اداری و مالی به آن دسترسی دارد. این نرم افزار دارای سطوح دسترسی مختلفی است.

 مسئولیت اجرای مجوز به عهده مدیر انفورماتیك است. كلیه اطلاعات این نرم افزار بر روی سرور نگهداری شود.

– در صورت لزوم تبادل اطلاعات (ریپلیكیشن بین سرورها)بین سرورهای دفتر مركزی جهت به روز رسانی اطلاعات مربوط به سیستم ERP و پروژه ها ی سازمان انجام شود.

– هر كاربر با نام كاربری و رمز عبور خود وارد سیستم می شود و مسئولیت نگهداری و تغییر كلمه عبور بر عهده كاربر است.

– مدیریت تبادل اطلاعات بین سرور ها بر عهده مدیر IT است.

– کاركرد درست روترها و ریپلیكیشن به منظور برقرای درست ارتباط بطور مستمر بایدكنترل وچك شود.

– دستورات پینگ برای ارتباط با روتر دفتر مركزی و پروژه ها و شركت های مشاركت كننده باید كنترل شود.

– در صورت قطع شدن ارتباط، تمامی آی پی آدرس های ارتباط بین دو نقطه كنترل می شود.

 5-4- اطلاعات مربوط به اكتیو دایركتوری

– تعریف /حذف كاربران و رمزهای كاربران، اطلاعات مربوط به پروفایلهای آنها، ایجاد دسترسی ها و مدیریت سرور DNS ،DHCP به عهده مدیر انفورماتیك است.

5-4-1- رمز عبور

– رمز عبور هركاربر باید حدوداً هر 6 هفته یكبار تغییر كند.

– در هنگام فاش شدن رمز عبور، كاربر باید در سریع ترین زمان ممكن رمز عبور خود را تغییر دهد.

كاربران اجازه ی واگذاری نام كاربری و رمز عبور خود به دیگران را ندارند. (استفاده غیر مجاز از USB)

– رمز عبور كاربران باید حداقل از 6 حرف تشكیل شده باشد.

– در رمز عبور باید حداقل دو تا از كاراكترهای حرفی وجود داشته باشد.

– در رمز عبور نباید از حروف یا اعداد پشت سر هم استفاده شود. مانند mnop یا 12345

– در رمز عبور نباید از نام یا نام خانوادگی فرد استفاده شود.

– تغییر در رمز عبور به اطلاع مدیر مستقیم كاربر برسد.

5-4-2- ایجاد و مدیریت دسترسی كاربران

– کلیه دسترسی ها به اطلاعات مرتبط با حوزه كاری كاربر باید با درخواست مستند پس از تایید توسط مدیر مستقیم ایجاد شوند.

– همه دسترسی ها به اطلاعات غیر مرتبط با حوزه كاری كاربر باید با درخواست مستند پس از تایید توسط مدیر مستقیم و معاونت اداری و مالی ایجاد شوند، بدیهی است كه درخواست های تایید شده توسط مدیر عامل، لازم الاجرا هستند.

– تمامی كاربران سازمان باید بخشنامه قوانین امنیت اطلاعات سازمان را مطالعه و امضاء كرده باشند.

– تمام اسامی كاربری در سیستم می بایست به صورت منحصر به فرد ایجاد شوند.

– كاربرانی كه بیش از 30 روز از كد كاربری خود استفاده نكنند ، غیر فعال می شوند.

– مراحل ایجاد و تغییر كاربران باید مستند شود و در دوره های زمانی مشخص مورد بازبینی قرار گیرند.

– كاربرانی كه از مجموعه جدا و یا به هردلیلی قطع همكاری با سازمان دارند باید نام كاربریشان در سیستم به مدت دو ماه غیرفعال وپس از آن حذف شود.

– كلیه تعاریف حق دسترسی با ید توسط واحد انفورماتیك كنترل و اجرا می شود.

 5-5- اطلاعات مربوط به سایت

– مدیریت كنترل پنل و هاست سایت توسط كارشناسIT با نظارت مدیر انفورماتیك انجام شود.

– اطلاعات سایت بطور مستمر به روز رسانی شود.

– در جهت بالا بودن سایت از نظر رتبه بندی تلاش شود.

 5-6- اطلاعات مربوط به دامنه و هاست سازمان

مدیریت اطلاعات كاربران برروی هاست و دامنه به عهده واحد انفورماتیك است.

5-7- اطلاعات مربوط به ورود و خروج در نرم افزار PWKARA

این نرم افزار جهت ثبت ورود و خروج كاربران استفاده می شود .

واحد اداری مسئولیت استفاده از این نرم افزار را دارد. واحد انفورماتیك وظیفه ایجاد امنیت براساس این روش اجرایی را برای اطلاعات این سیستم برعهده دارد.

– نام كاربری و رمز عبور توسط كارشناس انفورماتیك ثبت و دسترسی های لازم به پرسنل داده شود.

– دسترسی كامل به این برنامه تنها در اختیار مسئول اداری و دسترسی مدیران سایر واحدها در حد مشاهده كاركرد پرسنل زیرمجموعه است.

 5-8- اینترنت

 اینترنت در سازمان در جهت به دست آوردن اطلاعات مفید و سودمند در جهت بهبود انجام مسئولیت و ارسال ایمیل و … استفاده شود.

– مدیر هر واحد، میزان استفاده از اینترنت توسط كاركنان آن واحد را مشخص می كند.

– استفاده از اینترنت برای انجام كارشخصی ممنوع است.

– نصب و بكارگیری نرم افزارهایی كه به اینترنت نیاز دارند باید با مجوز مدیریت هر دپارتمان انجام شود.

– میزان استفاده كاربران از اینترنت بطور ماهانه به مدیریت ارشد گزارش شود.

– هر كاربر تنها با نام كاربری و كلمه عبور خود می تواند وارد اینترنت شود.

– رمز وایرلس فقط در اختیار مدیران قرار دارد . فقط با تعریف مك ادرس یك دستگاه همراه امكان اتصال به وایرلس وجود دارد.

سایر كاربران در سازمان مجاز به استفاده از شبكه وایرلس نمی باشند. مگر با تشخیص مدیریت واحد و بصورت محدود در زمان معین (این زمان بیشتر از مدت یك روز كاری نمی تواند باشد).

– كاربران مجاز به استفاده از اینترنت وایر لس حق انتقال رمز را به سایر كاركنان ندارند.

– درصورت بكارگیری اینترنت وایرلس با توجه به محرمانگی اطلاعات، ورود به شبكه تحت هیج شرایطی امكان پذیر نمی باشد.

5-9- حفاظت در برابر ویروس ها

كلیه افرادی را كه از منابع اطلاعاتی سازمان استفاده می كنند را در برمی گیرد. به منظور جلوگیری از ورود و همچنین شناسایی و مقابله با ویروس ها، كرم ها و اسب های تراوا و…… از نرم افزار McAfee استفاده می شود. این نرم افزار روزانه از اینترنت به روزرسانی خواهد شد.

– كلیه كامپیوترهایی كه به سازمان تعلق دارند و یا توسط سازمان مدیریت می شوند، همینطور Laptop هایی كه به شبكه سازمان متصل می شوند و یا به صورت مستقل مورد استفاده قرار می گیرند، می بایست از نرم افزار آنتی ویروس و تنظیمات مورد تایید واحد انفورماتیك سازمان استفاده كنند.

– تمامی كامپیوترهایی كه به سازمان تعلق ندارند و یا تحت مدیریت سازمان نمی باشند، پیش از هرگونه ارتباط و اتصال به منابع اطلاعاتی سازمان، باید از نرم افزار ضد ویروس و تنظیمات مورد تایید مدیر انفورماتیك سازمان استفاده كنند.

– نرم افزار ضد ویروس نباید غیر فعال (Disable) شود.دسترسی كاربران به این گزینه امكان پذیر نیست.

– تنظیمات نرم افزار ضد ویروس نباید به گونه ای تغییر كند كه قابلیت تاثیرگذاری آن را كاهش دهد.

– تنظیمات به روز رسانی نرم افزار ضد ویروس نباید به گونه ای تغییر كند كه بازه های زمانی به روز رسانی آن را كاهش دهد.

هر سرویس دهنده ای كه به شبكه سازمان متصل است، باید از نرم افزار ضد ویروس مورد تایید سازمان استفاده كند.

– تمامی گذرگاه های پست الكترونیكی باید از نرم افزار ضد ویروس مورد تایید سازمان استفاده كنند و تمامی نامه های ورودی و خروجی می باید توسط این نرم افزار كنترل شوند.

– هر ویروسی كه به صورت خودكار توسط نرم افزار پاك نشود، باید در اولین زمان ممكن به واحد انفورماتیك گزارش شوند.

– كارشناس انفورماتیك باید به روز رسانی آنتی ویروس را چك كند و در صورت مشكل باید با شركت موردنظر تماس برقرار كند.

5-10-  امنیت اطلاعات دوربین ها

مدیریت و كنترل دوربین ها وكلیه اطلاعات مربوط به نرم افزار دوربین ها شامل نام كاربری و كلمه های عبور، نرم افزار نصب، همچنین معرفی كاربرانی كه مجاز به دیدن فیلم ها هستند نیز، با واحد انفورماتیك است.

– نرم افزار دوربین ها حتما در سرور و نسخه كلاینت آن در كامپیوترهای كاربران مجاز نصب شود.

– فیلم ضبط شده دوربین‌ها در سرور نگهداری شود و این اطلاعات ذخیره،باید چك شود.

– فیلم دوربین‌ها بسته به تعداد دوربینها به مدت 30 روز نگهداری شود.

– به جز مدیران و افراد تاییدی توسط آنها، هیچكس حق دیدن فیلمها را ندارد.

– در صورت ضرورت مشاهده فیلمها، برای شخص موردنظر،  باید مجوز مدیریت ارشد یا مدیر قسمت صادر شود.

5-11- امنیت اطلاعات سرورها

 مدیریت وكنترل سرورها و كلیه تجهیزات مربوطه از حیث آماده بكاری سرویس های سازمان بمنظور دردسترس قرار داشتن همیشگی شبكه و اطلاعات بر عهده واحد انفورماتیك است.

– تامین به موقع قطعات یدكی مصرفی در سرورها مانند (هارد دیسك ،پاور ماژول ،رم و غیره…) انجام شود.

– سرورها بصورت دوره ای هر 6ماه برای جلوگیری از نشست گردوغبار و بروز آسیب به سرورها تمیز شوند.

– منبع برقی (UPS) مناسب و دوكاناله جهت جلوگیری از توقف ناگهانی سرورها متناسب توان مصرفی سرورها تامین شود.

– بروزرسانی سخت افزار سرورها براساس نیازهای سازمانی بطور 3 سالانه بررسی شود.

– نرم افزارهای سرورها جهت افزایش امنیت و بستن حفره های امنیتی بروزرسانی شوند.

– سرویس كلاسترینگ جهت راه اندازی خودكار سرور پشتیبان در مواقع بروز نقص فنی برای سرور اصلی سازمان باید در هر زمان آماده بكار باشد.

5-12- ارسال/دریافت اطلاعات از تامین کنندگان فرعی

– استاندارد نحوه ارسال اطلاعات مشخص و به توافق طرفین برسد و بر اساس آن ارسال انجام شود.

– ارسال اطلاعات و انجام مكاتبات باید با مجوز مدیر واحد، با هدف كنترل دقیق انتقال اطلاعات از طریق مسئولین دفاتر و افراد مجاز، توسط مدیر هر واحد انجام شود.

– ارسال اطلاعات باید ترجیحا درقالب فایلهای بدون قابلیت ویرایش و از طریق رسانه های ذخیره سازی فقط خواندنی مانند CD ارسال شود.

– در هنگام دریافت اطلاعات رسانه های ذخیره سازی قبل از ورود به چرخه اطلاعاتی سازمان، جهت جلوگیری از ورود برنامه مخرب ، بررسی و پس از تایید سلامت بكار گرفته شوند.

– استفاده از نرم افزارهای ارتباط جمعی مانند اینستاگرام، واتساپ و … در سازمان ممنوع است.

5-13- مدیریت محرمانگی محتوای اطلاعات

امنیت اطلاعات در زمان نگهداری و انتقال اطلاعات سازمان، در هر قالب و فرمت الكترونیكی شامل تمامی بسترهای ذخیره سازی الكترونیكی، سیستم ها و نرم افزارهایی كه توسط كارمندان، اعضاء، مدیران، تامین کنندگان، كارمندان پاره وقت و موقتی و دیگر كارمندانی كه مجاز به دسترسی به اطلاعات سازمان همچنین كاربران تاییدی كه خارج از شبكه هستند، مورد استفاده قرار می گیرند، باید حفظ شود.

– اطلاعات نباید از طریق سیستم هایی كه به سازمان تعلق ندارند، مورد استفاده قرار گیرند و یا روی آنها ذخیره شوند، مگر این كه مجوز های خاص صادر شود.

– فكس اطلاعات تنها با مجوز مدیر واحد و از طریق مسئولین دفاتر انجام می شود.

– برای كاهش احتمال خطر افشا از ارسال اطلاعات اضافی و غیر ضروری خود داری شود.

– تاییدیه شماره فكس و فكس حتما دریافت شود(در صورت امكان جهت كاهش احتمال خطا از شماره گیر اتوماتیک استفاده شود).

– برای ارسال ایمیل های سازمانی نباید از آدرس های شخصی استفاده شود.

– ارسال ایمیل های سازمانی به خارج از شركت تنها از طریق مسئولین دفاتر و افراد مجاز که توسط مدیر هر واحد مشخص می باشد،  انجام شود.

– وقتی هر یك از كاركنان میزو محل كارشان را برای مدت زمانی ترك می كنند، تمامی اسناد حاوی اطلاعات محرمانه باید در محل های امن نظیر كشو یا كمدهای قفل دار نگهداری شوند.

نباید هیچ گونه اطلاعات محرمانه ای در محل های باز و در دسترس در طول مدت عدم حضور، رها شوند.

– هرگونه گمان و حدس در مورد بروز نقص در امنیت و محرمانگی اطلاعات باید فورا به مدیر انفورماتیك اطلاع رسانی شود.

– تامین کنندگان خارج از سازمان باید به خاطر داشته باشند، ایشان نیز تحت همان قوانین امنیت اطلاعاتی هستند كه كارمندان درون سازمان از آنها تبعیت می كنند.

– اطلاعات، بایگانی ها، فایل ها و نظایر آنها نباید در معرض دید بازدید كنندگان باشد، مگر این كه بازدیدكنندگان اختصاصا مجاز به رویت اطلاعات باشند.

– داده هادر هر شكل و فرمتی باید در زمانی كه دیگر مورد نیاز نیستند، به شیوه ای امن منهدم شوند.

–  دانش و اطلاعاتی كه در مدت همكاری با سازمان به دست آمده است، پس از خاتمه همكاری باید به سازمان انتقال یابد. نقض محرمانگی احتمالی توسط افراد خاتمه همکاری ، پیگیری شود و ممكن است منجر به اقدامات قانونی شود.

5-14- مدیریت سطوح دسترسی داده ها

سطح دسترسی هر كاربر به اطلاعات با توجه به چارت سازمانی و مجوز مدیر واحد و دستور مدیر واحد انفورماتیك تعریف شود.

– فایل آماده توسط واحد انفورماتیك به مدیر واحد جهت مشخص كردن نام پوشه ها و اطلاعات موجود در آنها تحویل و مدیر واحد دسترسی كلیه كارشناسان خود را در آن ثبت و سپس توسط واحد انفورماتیك این دسترسی ها بر روی اطلاعات موجود در سرور تهیه می شود.

– تغییر هر كدام از سطوح دسترسی بدون مجوز مدیر واحد امكان پذیر نیست.

– مسئولیت حذف و یا دستكاری اطلاعات كه در عملكرد واحد یا سازمان اختلال ایجاد كند در واحد مربوطه بر عهده كارشناسان و مدیر واحد می باشد.

5-15- مدیریت حوادث امنیت اطلاعات

حوادث امنیتی شامل (و نه محدود به) حملات ویروس ها، كرم ها، اسب های تراوا، استفاده غیرمجاز از دسترسی ها و تجهیزات نگهداری و پردازش اطلاعات و همچنین استفاده نادرست از آنها به صورتی كه در دستورالعمل استفاده قابل قبول از تجهیزات نگهداری و پردازش اطلاعات اعلامی، می باشد.

– هنگام بروز حوادث امنیتی مدیر انفور ماتیك در جلسه ای با مدیر عامل ضمن تشریح ابعاد حادثه در خصوص تشكیل تیم مقابله با حوادث (متشكل از مدیر واحد انفور ماتیك و مدیران درگیر) تصمیم می گیرند.

– مدیر واحد انفورماتیك، مدیریت و راهبری تیم مقابله با حوادث را برعهده دارد.

– تیم مقابله با حوادث طبق “دستورالعمل مدیریت حوادث ” اهداف ذیل را دنبال می كند:

الف- جلوگیری از حملات و دسترسی های غیر مجاز، علیـه دارایی های اطلاعاتی سازمان،

ب- مهار خسارت های ناشی از نا امنی موجود در شبكه،

ج- كاهش رخنه پذیری به شبكه،

د- تامین صحت عملكرد، قابلیت دسترسی و محافظت فیزیكی برای سخت افزارها و نرم افزارها، متناسب با حساسیت آنها.

هـ- مدیریت فناوری اطلاعات باید در زمینه حوادث مختلف با دیگر سازمانهای گروه در ارتباط باشد.

– تمامی فعالیت های مشكوك كه شامل (و نه محدود به) حوادث امنیتی احتمالی می شوند، می بایست به مدیریت انفورماتیك سازمان گزارش شوند.

5-16- دستگاههای قابل حمل و دوركاری

5-16-1- امنیت اطلاعات دستگاههای قابل حمل

این دستگاهها شامل لپ تاپ، فلش، دوربین و موبایل و … می باشد.

– استفاده و انتقال دستگاه های قابل حمل با درخواست معاونت/مدیریت هر واحد و با مجوز صادره از واحد انفورماتیك امكان پذیر است.

– بدون مجوز مدیریت انفورماتیك ورود دستگاه به شركت و اتصال به شبكه ممنوع است.

– مسئولیت انتقال اطلاعات پس از مجوز به عهده معاونت/مدیریت و خود كاربر است.

– اتصال موبایل و یا تبلت به سیستم و شبكه سازمان ممنوع می باشد.

– بكارگیری دستگاههای شخصی برای تبادل اطلاعات شركت ممنوع است.

– انتقال اطلاعات غیر ضروری و اضافی با لپ تاپ ها برای شركت در جلسات برون سازمانی اكیدا ممنوع است و اطلاعات موردنیاز همان جلسه یا ماموریت با درخواست مدیر قسمت بروی لپ تاپ قرار گیرد.

5-16-2- مدیریت امنیت دوركاری

بستر دوركاری برحسب نیاز و كسب مجوز مدیر مربوطه برای كارشناسان و مدیران به وجود می آید، و با در اختیار گذاشتن یك دستگاه لب تاپ سازمانی و بكارگیری سرویس RRAS اجرایی می شود. در دوركاری مجوز چك كردن ایمیلها داده و تنظیمات آن را كارشناس انفورماتیك انجام می دهد. در موارد خاص و كمبود منابع از سرویس AnyDesk دوركاری با رعایت ضوابط امنیتی دوركاری اجرا می شود.

درصورت نیاز به دسترسی به اطلاعات درون سازمان باید تمهیدات لازم اندیشیده و با درخواست مدیر واحد و مجوز مدیر ارشد سازمان انجام شود.

– كلیه تنظیمات مربوط روی دستگاههای انتقال داده شده در دوركاری توسط واحد انفورماتیك انجام شود.

– تحویل و برگرداندن سالم دستگاهها از دوركاری بر عهده كاربر مربوطه است.

– تنظیمات شبكه و اطلاعات طوری توسط واحد انفورماتیك انجام شود كه از راه دور نتوان به اطلاعات دسترسی پیدا كرد. برای اتصال به سیستم موردنظر كاربر تعریف و پس از انجام كار، دسترسی گرفته شود.

5-16-3- اتصال از راه دور به شبكه داخلی

– كاركنانی كه مجوز دسترسی به صورت RRAS ,Any Desk دارند نباید مجوز را در اختیار سایر كاركنان قرار دهند.

كلیه افرادی كه بوسیله RRAS ,Any Desk به شبكه سازمان دسترسی پیدا میكنند باید به طور كامل از دارایی های اطلاعاتی سازمان محافظت كنند.

– در خصوص موارد حساس مانند تعدیل یا اخراج نیرو باید شرایط اتصال از جانب مدیر مربوطه اعلام و به تصویب مدیریت رسیده و كاربر از سیستم غیر فعال شود.

– كلمات عبور تغییر یافته برای دسترسی های بعدی باید در اختیار واحدانفورماتیك قرار گیرد.

5-17- نحوه گرفتن نسخه پشتیبان

 نسخه پشتیبان شامل نسخه پشتیبان بانك های اطلاعاتی و دیتاهای سازمانی و نسخه پشتیبان از تمامی سیستم عامل های سرورهاست. مسئول تهیه نسخ پیشتیبان كارشناس واحد انفورماتیك با نظارت مدیر واحد است .

– كلیه اطلاعات سازمانی به صورت روزانه پشتیبان تهیه و این اطلاعات 1 ماه برروی سرور باقی بماند.

– سیستم عامل سرورها 15روز یك بار باید نسخه پشتیبان داشته باشند و محل ذخیره سازی آنها روی سرور است.

– در حال حاضر دیتاهای سرورها با نرم افزار آكرونیس و سرورها با Veem نسخه پشتیبان تهیه شود.

– كلیه نسخ پشتیبان باید بر روی رسانه ذخیره سازی مورد تایید و در خارج از محل و در یك مكان با تدابیر امنیتی مناسب نگهداری شوند.

در هنگام تهیه نسخ پشتیبان باید تطابق با نسخه اصلی صورت گیرد و از صحت اطلاعات آن اطمینان حاصل شود. رسانه های تاریخ گذشته، باید نابود شوند.

در بازه های زمانی مشخص، قابلیت بازیابی نسخ پشتیبان باید مورد آزمایش قرار گیرد تا از آن اطمینان حاصل شود.

– نسخ پشتیبان باید حاوی اطلاعات زیر باشد:

الف- نام سیستمی كه از آن نسخه پشتیبان تهیه می گردد.

ب- تاریخ تهیه نسخه پشتیبان،

ج- میزان اهمیت اطلاعاتی كه از آنها نسخه پشتیبان گرفته است.

 د- نام فردی كه نسخه پشتیبان را تهیه كرده است.

هـ- تاریخ مصرف نسخه پشتیبان،

و- برای نسخه پشتیبان رمز تعریف گردد.

ز- خارج نمون نسخ پشتیبان از سازمان بصورت ماهانه صورت گیرد.

ح- مسئولیت نگهداری از نسخ پشتیبان در خارج از سازمان تحت عنوان نسخ آرشیو بر عهده معاونت اداری/مالی است.

به منظور برگرداندن اطلاعات از بین رفته، كلیه موارد ذكر شده در تهیه نسخه پشتیبان باید قابل بازیابی باشد.

– با مجوز مدیریت واحد و نیاز كاربر در صورت حذف اطلاعات از سرور با نرم افزار آكرونیس اطلاعات برگردانده شود.

– سیستم عاملهای دارای مشكل نیز روی سرورها با نرم افزار Veem برگردانده شود.

– اطلاعات بانك اطلاعاتی نیز كه روی دیسك های بلوری ذخیره می شوند نیز با قابلیت خود نرم افزار SQL ریکاوری گردند.

 5-18- امنیت فیزیك و محیطی

5-18-1- دسترسی به تاسیسات اطلاعاتی

امنیت فیزیكی كلیه كامپیوتر ها و تجهیزات ارتباطی كه متعلق به سازمان و یا توسط سازمان مورد استفاده قرار می گیرند توسط تمامی كارمندان، مدیران، تامین کنندگان، كارمندان پاره وقت، كارمندان موقت، كارآموزان و دیگر كاركنانی را كه مجاز به دسترسی به سیستم های اطلاعاتی سازمان شناخته اند، باید مورد توجه قرار گیرد.

– دسترسی فیزیكی به محدوده های كنترلی (محدوده هایی كه در آنها سیستم های اطلاعاتی یا اطلاعات حساس نگهداری می شوند، نظیر اتاق سرورها) می بایست مدیریت و ثبت شوند.

– تمامی محدوده های كنترلی می بایست نشانه گذاری و برچسب زده شوند و به تناسب حساسیت و اهمیت عملكردشان مورد حفاظت فیزیكی قرار گیرند.

– دسترسی به محدوده های كنترلی می بایست صرفا برای كارمندان و تامین کنندگان مجاز شناخته شود كه مسئولیت كاری شان نیازمند دسترسی به محدوده مورد نظر است.

– درخواست برای دسترسی می بایست طبق روش اجرایی برقراری دسترسی صورت پذیرد.

– روش اجرایی دسترسی احتمالی برای محدوده های كنترلی می بایست آماده و در مواقع از كار افتادن سیستم كنترل خودكار دسترسی مورد استفاده قرار گیرد.

– كارت دسترسی و یا كلید ها نمی بایست به صورت اشتراكی مورد استفاده قرار گیرند و یا به دیگران قرض داده شوند.

– كارتهای دسترسی و یا كلیدهایی كه دیگر مورد نیاز نیستند، می بایست به مسئول محدوده كنترلی برگردانده شوند. كارتها نباید بدون طی مراحل بازگرداندن، به افراد دیگر اختصاص یابد.

دسترسی بازدیدكنندگان به محدوده های كنترلی می بایست مطابق دستورالعمل بازدیدكنندگان باشد.

5-18-2- نواحی امن

جلوگیری از دسترسی فیزیكی غیر مجاز، خسارت و مداخله در اطلاعات و امكانات پردازش اطلاعات

15-18-3- حصار امنیتی فیزیكی

– وجود یك اتاق برای نگهداری سرورها و رك ها الزامیست.

– كنترل دمای اتاق در دمای 22 درجه سانتیگراد نگهداری گردد.

– آن دسته از تجهیزاتی كه در سطح سازمان بدلایل ساختار فیزیكی نصب هستند در رك مجهز به قفل نگهداری گردند.

5-18-4- كنترل های مداخل فیزیكی

– كلیه مداخل فیزیكی باید مجهز به قفل و دوربین های مداربسته باشد.

5-18-5- امن سازی دفاتر، اتاق ها و امكانات

– باید محل های سرورها ایزوله و به جز مسئولین انفورماتیك كسی اجازه دسترسی به سرورها و سوییچ ها و تجهیزات را نداشته باشد.

5-18-6- محافظت در مورد تهدیدهای محیطی و بیرونی:

 انواع تهدیدهای متعارف

• مصادیق محیطی(E)

زلزله، گردباد، رعد و برق، سیل(D,A)، نوسان برق(A)، دما و رطوبت زیاد(D,A)، گرد و غبار، تخریب محیط ذخیره سازی

• مصادیق اقدام انسان

– تصادفی(A)

نقص در سیستم تهویه(D)، نقص در سخت افزار اشكال در تعمیرات(D)، اشكال در نرم افزار(D)، استفاده از نرم افزار توسط افراد غیرمجاز(D)، استفاده از نرم افزار به شیوه ای غیرمجاز(D)، استفاده از نرم افزار خارج از قواعد(D)، نقص فنی در اجزای شبكه خطا در انتقال، آسیب دیدن خطوط(D)، ترافیك بیش از اندازه در شبكه(D)، حذف فایل(D)، نقض در خدمات ارتباطی مثال خدمات شبكه(D)

– عمدی(D)

اقدامات صنعتی، حمله با بمب، استفاده از سلاح، آتش افروزی(A)، آسیب عمدی، دزدی، استفاده غیرمجاز از محیط ذخیره سازی، تغییر هویت و جعل هویت، نرم افزارهای مخرب(A)، استفاده نادرست از دسترسی متعارف، دسترسی غیرمجاز به شبكه، استفاده غیرمجاز از تجهیزات شبكه، شنود، نفوذ در تجهیزات ارتباطی، تحلیل ترافیك شبكه، تغییر مسیر پیام، انكار و سرباز زدن، استفاده نادرست از منابع(A)

كلیه سرورها و یو پی اس ها و آنتن ها با تهدیدهای موجود در جدول باید كنترل شوند. این مسئولیت به عهده واحد انفورماتیك است.

5-18-7- امنیت كابل كشی

– كلیه كابل كشی ها باید چك و اگر آسیب و یا نقصی در كابل كشی هست باید توسط واحد انفورماتیك  تعمیر شود.

این كابل كشی شامل كابل كشی شبكه و تلفن است.

5-18-8- خروج دارایی ها

– تجهیزات، نرم افزارها و اطلاعات بدون مجوز قبلی نباید از شركت خارج شوند. این مجوز به عهده واحد انفورماتیك و انبار با هماهنگی مدیر مربوطه است.

5-18-9-  امنیت تجهیزات و دارایی های خارج از محوطه

امنیت تمام دارایی های درون پروژه ها بر عهده مدیر پروژه است.

5-18-10- امحا و یا استفاده مجدد از تحهیزات به صورت امن

نرم افزارهای زیادی وجود دارند كه می توانند برای بازیابی فایل ها و اطلاعات حذف شده از روی تجهیزات سخت افزاری (Format) مورد استفاده قرار گیرند.

برای كاهش احتمال خطر انتشار بدون مجوز اطلاعات حساس و محرمانه، میبایست اطلاعات موجود بر روی تجهیزاتی كه پیشتر مورد استفاده قرار گرفته اند، به طور امن حذف گردند.

پس از این عملیات، بازیابی اطلاعات توسط نرم افزارهای معمولی امكان پذیر نخواهد بود و برای بازیابی می بایست تكنیك های تخصصی به كار گرفته شوند. همچنین برای حذف اطلاعات می توان از روشهایی استفاده نمود كه بازیابی توسط تكنیك های تخصصی نیز امكان پذیر نباشد.

– تمامی اطلاعات سیستم های كامپیوتری و رسانه های مرتبط با آنها كه ممكن است حاوی اطلاعات حساس یا محرمانه باشند، می بایست پیش از استفاده مجدد و یا انهدام، پاك گردند.

– اطلاعات تمامی بستر های ذخیره سازی اطلاعات سیستم ها و قطعاتی كه در سازمان مجددا مورد استفاده قرار می گیرند، باید با یك نرم افزار مورد تایید پاك شوند. دربرخی از موارد باید از سیستم ها پیش از استفاده مجدد یك نسخه پشتیبان كامل تهیه گردد.

– تمامی بستر های ذخیره سازی سیستم ها و تجهیزاتی كه مورد استفاده مجدد قرار گرفته، فروخته و یا بخشیده می شوند. و یا حتی به عنوان وسایل غیر قابل استفاده به بیرون از سازمان منتقل می شوند، لازم است توسط نرم افزار مورد تایید پاك گردند.

– تمامی عملیات پاك كردن و یا انهدام تجهیزات می باید با اطلاعات زیر ثبت گردند:

– تاریخ و زمان عملیات

– نام، عنوان و امضاء كارشناس مربوطه

– شرح اقدامات انجام گرفته

5-18-11- میز پاك و صفحه پاك

برقراری استانداردهای امنیت فیزیكی ایستگاه های كاری و برای پیشگیری از سرقت ایستگاه های كاری تمامی كاركنان را كه مجاز به دسترسی به سیستم های اطلاعاتی سازمان شناخته اند، ضروری است.

– كاربران ایستگاه های كاری نباید هیچ دستگاه جانبی كه فاقد تاییدیه واحد انفورماتیك است را به ایستگاه های كاری متصل كنند.

– مانیتورهای ایستگاه های كاری می بایست به گونه ای قرار گیرند كه از دیده شدن اطلاعات حساس توسط افراد غیر مجاز جلوگیری گردد.

6- توزیع نسخ

مطابق با فرم فهرست اطلاعات مدون معتبر توزیع شده است.

7- مدارک پیوست

ندارد.

متن روش اجرایی محرمانگی اطلاعات – پایان

دانلود رایگان فایل WORD نمونه روش اجرایی محرمانگی داده های الکترونیکی

دستورالعمل محرمانگی داده های الکترونیکی

منظور از دستورالعمل محرمانگی داده های الکترونیکی همان روش اجرایی آن است. برخی با نام دستورالعمل و برخی با نام روش اجرایی از این سند نام می برند. در دستورالعمل محرمانگی داده های الکترونیکی  انجام اقدامات جهت محافظت از داده ها در برابر دسترسی های غیر مجاز تعریف میگردد.

از مزایای دیگر بکارگیری آیین نامه محرمانگی اطلاعات ، جلوگیری از تغییر ، دستکاری و از سوخت داده ها در تمام مدت چرخه حیات داده ها هست. در آئین نامه محرمانگی داده های الکترونیکی نکات مهمی وجود دارد که باعث ارتقای سطح امنیت اطلاعات میگردد.

با توجه به افزایش روز افزون داده ها ، نفش آئین نامه اجرایی محرمانگی داده ها یکی از روشها برای جلوگیری از به خظر افتادن اطلاعات است. توجه بفرمایید که نمونه دستورالعمل سرویس و نگهداری تجهیزات رایانه ای و ارتباطی می تواند از نظر سخت افزاری این موضوع را پوشش دهد.

محرمانگی داده های الکترونیکی چیست ؟

خیلی از افراد می پریند که مرحمانگی داده های الکترونیکی چیست ؟ محرمانگی یا confidentiality به معنی این هست که اطلاعات فقط در مواقع درخواست در دسترس کارکنانی قرار گیرد که مجوز دسترسی دارند. بنابراین اصل محرمانگی داده به معنای این است که دادها صرفا برای افراد مجاز و در زمان مورد نیاز در دسترس قرار گیرد. خیلی از شرکتها وسازمانها بدلیل عدم رعایت این اصل دچار خسارات فراوانی می گردند.

محرمانگی داده های الکترونیکی در لاتیم بمعنای Confidentiality of electronic data است.

محرمانگی اطلاعات الکترونیکی بعناون یک فرایند ویژه و غیر قابل اغماض در هر سازمانی وجود دارد. سطح سخت گیری و طبقه بندی محرمانگی اطلاعات به ماهیت کاری و فعالیت شرکت بستگی دارد.

گواهینامه ایزو ۲۷۰۰۱

مدرک ایزو 27001 یا گواهینامه ایزو ۲۷۰۰۱ یک استاندارد بین المللی است که کمک می کند امنیت و صحت دارایی های سازمان حفظ گردد. گواهینامه ISO 27001 یک چارچوب مدیریتی برای اجرای مدیریت امنیت اطلاعات برای حصول امنیت ، صحت و در دسترس بودن داده های سازمان است.

گواهینامه ایزو 27001 در جهان به رسمیت می شناسند تا اعلام نماید که سازمان شما با بهترین روش امنیت اطلاعات هماهنگ و مطابق است.

اخذ گواهینامه ایزو ۲۷۰۰۱ بصورت فوری و ارزان از طریق مرکز سیستم کاران به شماره تلفن 79165-021 مقدور است. جهت دریافت گواهینامه ایزو ۲۷۰۰۱ با کارشناسان مرکز سیستم کاران مشورت نمایید. س\س با توجه به اهداف خود بهترین اعتبار را جهت صدور گواهینامه ISO 27001  اقدام نمایید.

شرح وظایف مدیر امنیت اطلاعات

معمولا مدیران و کارشناسان واحد انفورماتیک بدنبال نمونه فرم استاندارد شرح وظایف مدیر IT هستند. شرح وظایف مدیر امنیت اطلاعات گاهی در متن روش اجرایی محرمانگی داده های الکترونیکی قرار دارد.

شرح وظایف مدیر فرایند محرمانگی اطلاعات یا داده های الکترونیکی

در هر شرکتی متفاوت است. ما در زیر نمونه هایی از شرح شغل مدیر امنیت اطلاعات آوردیم.

– تامین امنیت داده های سازمان ( شبکه ها ، سیستم ها ، سطوح دسترسی کاربران و …)

– اجرای دستور العمل و آئین نامه اجرایی محرمانگی داده های الکترونیکی

– تهیه نسخ آنتی ویروس معبر برای تمامی سیستم ها

– نظارت دقیق و مستمر بر کلیه امور واحد انفورماتیک جهت جلوگیری از دسترسی غیر مجاز

– پشتیبانی و نگهداری از سیستم ها و سرویسهای سازمان

– نظارت و اجرا بر واحدهای مرتبط سازمان

– دریافت گواهینامه ایزو در روش اجرایی محرمانگی داده های الکترونیکی

برای تهیه و تدوین شرح شغل و یا شرح وظایف واحد IT می توانید از نمونه فرم شرح وظایف ( شناسنامه شغل ) الگو گیری بفرمایید.

متن استاندارد ایزو 27001

نمونه روش اجرایی محرمانگی داده های الکترونیکی بر اساس استاندارد ایزو 27001 تدوین می گردد. دانلود رایگان متن استاندارد ISO/IEC 27001:2013 می توانید مقاله تخصصی متن فارسی استاندارد ایزو 27001:2013 ( متن فارسی استاندارد ISO/IEC27001:2013 ) سیستم مدیریت امنیت اطلاعات را بخوانید. البته این متن برای استاندارد ایزو 27001 برای سال 2013 است. در حالیکه الان ویرایش جدید 2022 منتشر گردید. برای ملاحظه ویرایش جدید استاندراد 27001 فعلا از طریق سایت رسمی استاندارد جهانی ایزو اقدام نمایید.

کارشناسان مرکز سیستم کاران در حال تهیه و تدوین ویرایش جدید سال 2022 برای این استاندارد هستند. اما تا زمان انتشار متن فارسی استاندارد ایزو 27001:2022 می توانید از سایت استاندارد جهانی متن انگلیسی را دانلود نمایید. برای ملاحظه متن انگلیسی، لینک مستقیم استاندارد ISO/IEC 27001:2022 را کلیک بفرمایید.

سئوالات متداول در مورد محرمانگی اطلاعات

فرق امنیت اطلاعات با حفاظت اطلاعات چیست؟
منظور از امنیت اطلاعات ، امنیت داده های الکترونیکی موجود در سازمان است. اما حفاظت اطلاعات به تعبیر عام ، فرآیندی جهت حفظ و نگهداری و مراقبت از کلیه اطلاعات الکترونیکی و غیر الکترونیکی در سازمان است.

امنیت اطلاعات کامپیوتر چیست؟

امنیت اطلاعات کامپیوتر در واقع همان محرمانگی داده های الکترونیکی است. در جامعه این اصطلاح محرمانگی اطلاعات با عنوان امنیت اطلاعات کامپیوتر مطرح میگردد. روش اجرایی محرمانگی داده های الکترونیکی می تواند همان روش اجرایی امنیت اطلاعات رایانه هست.