روش اجرایی فعالیتهای ICT

روش اجرایی فعالیتهای ICT
5/5 - (110 امتیاز)

 روش اجرایی فعالیتهای ICT

سند روش اجرایی فعالیتهای ICT برای سازمان ها و شرکت ها ضروری است. همه ما از اهمیت اطلاعات و ارتباطات در زندگی روزمره با خبر هستیم. تقریبا همه سازمان ها و شرکت ها به نوعی از فناوری اطلاعات و ارتباطات برای پیشبرد اهداف سازمانی استفاده می کنند. همانطور که می دانیم سیستم مدیریت امنیت اطلاعات یک مبنا برای اجرا و رعایت استاندارهای امنیتی فراهم می کند. همچنین تهدیدات احتمالی مربوط به امنیت اطلاعات شناسایی و آنالیز می کنند. پس بنابراین خطرات احتمالی کاهش و قابل کنترل می گردد.

راهکارهای فن آوری اطلاعات و ارتباطات در مدیریت و تعامل بیشتر با کاربران و تامین کنندگان و . . . باعث شده تا سازمان و تمامی کسب و کارها خدمات بهتری ارائه نمایند. همچنین تمامی سازمان ها و شرکت ها از طریق فنآوری اطلاعات و ارتباطات به کارکنان و تامین کنندگان و . . .  خود دسترسی دارند.

دریافت گواهینامه ایزو 27001 برای سازمان ها و شرکتها ضروری است. شرکت هایی که روش اجرایی فعالیت های فن آوری اطلاعات و ارتباطات رو اجرا می نماید اخذ گواهینامه ISO/IEC 27001 جزو موارد ضروری است.

مرکز سیستم کاران با تلفن تماس 79165-021 بصورت 24 ساعته آماده ارائه مشاوره رایگان است. شما عزیزان می توانید با مشاوره کارشناسان مرکز ما جهت اخذ گواهینامه ایزو 27001 در کمترین زمان و کمترین هزینه اقدام نمایید. برای دریافت مستندات ایزو جهت الگوبرداری می توانید، منوی دانلود رایگان مستندات ایزو را کلیک نمایید.

نمونه روش اجرایی فعالیتهای ICT

در این مقاله نمونه روش اجرایی فعالیتهای فن آوری اطلاعات و ارتباطات بصورت فایل WORD نیز موجود است. روش اجرایی فعالیت های ICT بصورت دانلود رایگان قرار دارد.

نمونه دستورالعمل فعالیت های فنآوری اطلاعات و ارتباطات در این سایت فقط جنبه الگو برداری دارد. لذا شما می توانید پس از مطالعه و دانلود رایگان روش اجرایی فعالیتهایICT، آنرا متناسب با نیاز سازمان ویرایش و اصلاح نمایید.

نمونه دستورالعمل فعالیتهای ICT

1- هدف:

روش اجرایی فعالیتهای ICT به مدیران و کارکنان کمک می کند تا در تشریح فعالیت های ICT حوزه سیستم مدیریت امنیت اطلاعات سریعتر و دقیق تر تصمیم گیری نمایند.

2- دامنه كاربرد:

این روش اجرایی در برگیرنده فعالیتهای ICT در سطح شرکت است.

3- مسئولیت نظارت و اجرا :

نظارت : مدیر فنآوری اطلاعات
اجرا : واحد فنآوری اطلاعات

4- شرح :

4-1- مدیریت کنترل دسترسی

اتصالات از راه دور به شبکه داخلی تنها از طریق کانال های ارتباطی امن مانند VPN و با تصویب کمیته ICT صورت می گیرد.

کاربران راهبر شبکه دارای نام ­های کاربری مجزا و رمزهای عبوری با حداقل 8 کاراکتر و ترکیبی از حروف (کوچک و بزرگ)، اعداد و کاراکتر های ویژه هستند.

کاربران راهبران شبکه باید رمز عبور خود را هر 100 روز یکبار یا بطور فصلی تغییر دهند. نسخه­ كاغذی فهرست های رمز عبورهای سازمان از قبیل رمز عبور كاربران راهبرشبکه، راهبران محلی، آنتی ویروس، وب­ سایت و همچنین لیست امتیاز دارایی های ICT در گاوصندوق واحد ICT نگهداری می گردد. این لیست ها باید بصورت فصلی یا 100 روز یکبار بروز رسانی گردد.

امکان انتخاب مجدد رمز عبور شبکه تا 2 رمز قبلی غیر فعال بوده و درصورتی که کاربران رمز عبور خود را به اشتباه بیش از 5 بار وارد نمایند، نام کاربری آنها برای مدت 15 دقیقه غیر فعال می گردد.

کلیه رمزهای عبور کاربران عمومی شبکه و سیستم های اطلاعاتی حداقل 8 کاراکتر و ترکیبی از حروف (کوچک و بزرگ)، اعداد و کاراکتر های ویژه باشد.

کاربران موظفند در اولین ورود خود به سیستم رمز عبور خود را تغییر دهند.

جهت حفظ امنیت کلیدهای رمزگذاری ارتباطات، موارد زیر رعایت می گردد:

تمامی کلیدها و Certificate های مورد استفاده كه توسط CA ها صادر گردیده است، به صورت امن نگهداری و تنها در اختیار افراد مجاز باشند.

کلیدهای دارای زمان انقضا مشخص ­اند و کلیه سوابق آنها نگهداری می­ گردند.

رمزهای عبور پیش فرض تجهیزات ICT قبل از نصب در محیط عملیاتی حذف شده و رمزهای عبور جدید جایگزین آنها می گردد.

قاعده ­ی تعیین نام كاربری (User name) به ترتیب زیر اجرا می گردد:

نام كاربری ایمیل با استفاده از “نام . نام­ خانوادگی” تعیین می گردد.

نام كاربری برای سایر خدمات شبكه با استفاده از “نام­ خانوادگی” تعریف می گردد. اگر نام خانوادگی فرد تكراری باشد از روش “حرف اول نام _ نام­ خانوادگی” استفاده می گردد. همچنین اگر حرف اول نام نیز تكراری باشد از روش “حرف دوم  حرف اول نام _ نام ­خانوادگی” استفاده می گردد و نام گذاری به  همین روال ادامه می یابد.

4-2- مدیریت دارایی­های اطلاعاتی

4-2-1- ثبت و نگهداری اطلاعات دارایی­های ICT

لیست دارایی­های اطلاعاتی موجود ICT در فرم “لیست تجهیزات IT” به شماره F-97-00-01 ثبت و نگهداری می گردد. در هر بار افزودن تجهیزات جدید یا از سرویس خارج كردن آنها این لیست بروز رسانی می­گردد. ضمنا لیست مذکور براساس بازه ­های تعیین شده در فرم” فعالیت­های دوره­ای ICT ” به شماره F-97-00-02 بازبینی می­ گردد.

همچنین كنترل انطباق تعداد تجهیزات ICT موجود و آنچه كه در نرم افزارها یا سرویس های مدیریت شبکه مانند Active Directory مشخص می گردد، برای اطمینان از عدم انطباق طبق فرم “فعالیت­های دوره­ای ICT” به شماره  F-97-00-02  انجام می گردد.

4-2-2- امحاء اطلاعات رسانه ذخیره سازی

در موارد زیر اطلاعات روی تجهیزات و رسانه­ های ذخیره­ سازی اطلاعات ، اعم از داده­ ها ، فایل­های پیکربندی و … به ­صورت کامل حذف و تنظیمات آنها به حالت پیش فرض تغییر می کند.

تغییر ماهیت کاربری تجهیزات

جابجایی کامپیوترها یا رسانه های ذخیره سازی اطلاعات بین کاربران

خارج کردن تجهیزات به منظور سرویس یا تعمیر (درصورتی که امکان حذف اطلاعات از روی تجهیزات و یا خارج نمودن هارد دیسک ­های آنها وجود نداشته باشد تعمیرات و سرویس در محل شرکت انجام می گردد.)

فروش تجهیزات و یا انتقال آنها به انبار

سوابق امحاء اطلاعات رسانه‌های ذخیره سازی (شامل دیسک سخت کامپیوتر کاربران) در فرم “امحاء اطلاعات رسانه­ ها” به شماره F-97-00-03  ثبت و نگهداری ‌می گردد.

جهت امحاء مستندات، CD و DVD ها از دستگاه خردکن و جهت رسانه های مغناطیسی روش Format  امن می گردد.

4-2-3- تعمیرات و نگهداری تجهیزات و مکان های امن

تنها افرادی که از طرف رئیس واحد ICT مجاز برای تغییرات تعیین گردیده اند مجاز به ورود به مکان های امن هستند و این افراد موظف اند نوع خرابی، علت و اقدامات تعمیراتی خود را در فرم “درخواست تغییرات” به شماره F-97-00-04 مدون نمایند.

مواردی كه لازم است تجهیزات به منظور سرویس یا تعمیر به خارج از شركت منتقل گردند،سابقه خروج و وضعیت تعمیر تجهیزات باید در فرم “ردیابی تعمیرات ICT ارسالی به خارج شرکت” به شماره F-97-00-05 ثبت گردد. همچنین در صورتی که تعمیرات به صورت موردی و بدون قرارداد تعمیر و نگهداری پیشین انجام گردد، به تشخیص رئیس واحدICT به امضای متصدی تعمیر برسد.

قبل از انجام تعمیرات با توجه به حساسیت دستگاه­ ها در صورت لزوم دستگاه دیگری به عنوان جایگزین تهیه و نصب گردد.

4-2-3-1- تجهیزات زیر ساخت و مکان های امن

از مكان­ های امن و تجهیزات زیر ساختی خارج از این مکان ­ها، مطابق مدت زمان مشخص در فرم “فعالیت­ های دوره ­ای ICT” به شماره F-97-00-02 و بر اساس چک لیست “بازدیدهای ادواری تجهیزات و مکان های امن” به شماره F-97-00-06 بازدید بعمل ­می ­آید. موارد عدم انطباق های پیدا شده در این بازدیدها به عنوان وقایع امنیت اطلاعات گزارش می گردند.

4-2-3-2- کامپیوترهای مورد استفاده کاربران

بازبینی و سرویس کامپیوتری کاربران بنا به درخواست آنها انجام می گردد و پس از انجام تعمیرات احتمالی و قبل از تحویل، کامپیوتر کاربر مورد آزمایش قرار می­ گیرد تا از صحت تعمیرات انجام گردیده اطمینان حاصل نمایند.

4-2-4- مدیریت ورود و خروج اطلاعات و تجهیزات آن

کلیه نوت بوک­ هایی که جهت انجام ماموریت­های خارج از شرکت به کاربران تحویل می گردد مورد بازرسی قرار می­گیرند تا از سلامت سخت افزاری و بروز بودن نرم افزارهای امنیتی آنها اطمینان حاصل گردد.

در تبادل اطلاعات و نرم افزارها با شرکت­های دیگر، پیش از تبادل، در صورت لزوم بر سر مواردی از قبیل فرمت اطلاعات، نحوه تبادل، مسئولیت­های حمل و نقل اطلاعات، روش­های رمزگذاری احتمالی، نحوه بسته بندی و بازکردن بسته بندی­ها، اخذ تأییدیه از گیرنده، اعلام به موقع فرستنده نسبت به ارسال، استفاده از یک علامت مشخصه برای تعیین سطح سند، تعیین مالک اطلاعات و استانداردهای فنی برای ضبط یا خواندن اطلاعات،  توافق صورت می­گیرد.

4-3- مدیریت تغییرات

اعمال تغییرات تعریفی زیر می توانند کیفیت یا دسترس‌پذیری یک سرویس ICT را برای گروهی از کاربران تحت تاثیر قرار دهند یا وجهه شرکت را از طریق اطلاعات منتشر شده تضعیف نمایند، فرایند نیازسنجی تغییرات، تست، اخذ مجوز و تهیه برنامه برگشت تغییرات، بر اساس فرم “درخواست تغییرات” به شماره  F-97-00-04 ثبت و ضبط می گردد.

راه اندازی UPS ها، سرورها یا سوئیچ ها و روترهای مرکزی شبکه به صورت موازی تجهیزات جاری به منظور Load Balancing  یا Redundancy

 تغییر در سیستم های عامل تجهیزات شبکه و سرورها

ارتقاء یا جابه­ جایی سخت افزاری سرورها و تجهیزات شبکه

ارتقاء یا نصب بسته های نرم افزارهای تحت شبکه (نظیر تینا و پرتال)

انجام تست های آسیب پذیری فنی

راه اندازی سرویس و سرور ICT جدید

تغییر در محل ذخیره سازی اطلاعات سرورها

اعمال هرگونه سیاست جدید که بر چگونگی دسترسی کاربران به سرویس‌های ICT تاثیرگذار باشد. (نظیر اعمالGroup Policy ها در Active Directory، تغییر جداول روتینگ، تغییر VLan بندی‌ها، تغییر ساعت سیستم ها).

نكات زیر پیش از اعمال هرگونه تغییرات مد نظر قرار می گیرد:

تغییرات در قالب فرم “درخواست تغییرات” به شماره F-97-00-04 و تنها با مجوز رئیس واحد ICT انجام می پذیرد.

اعمال تغییرات در زمان­ هایی صورت می پذیرد که کمترین خلل در امور کاربران را داشته باشد.

چنانچه احتمال بروز خللی در سرویس های کاربران بر اثر تغییرات وجود داشته باشد، پیش از اعمال تغییرات این موضوع به اطلاع کاربران می رسد.

سوابق کلیه تغییرات انجام شده در فرم “ثبت سوابق تغییرات”به شماره  F-97-00-07 ثبت و نگهداری می گردد.

هنگامی که بنابر هر دلیلی نیاز به بازگشت به حالت قبل از تغییر وجود داشت، وضعیت تغییر در فرم “ثبت سوابق تغییرات” به “بازگشت به حالت اولیه” تغییر می یابد.

کارشناسان در تهیه نمونه روش اجرایی تهیه نسخ پشتیبان معمولا روش ها و شیوه های مختلفی بکار می برند. برخی از کارشناسان از این روش تحت عنوان دستورالعمل تهیه نسخ پشتیبان یاد می کنند. در این نمونه روش اجرایی تهیه نسخ پشتیبان ما فایل WORD با قابلیت دانلود رایگان جهت الگوبرداری قرار دادیم.

4-4- مکان های امن

1-4-4- مشاوره ساخت مکانهای امن

مشاوره­ در زمینه­ ی رعایت الزامات امنیت اطلاعات در ساخت و بازسازی مکان های امن براساس فرم “الزامات امنیت اطلاعات در ساخت و بازسازی مكان­های امن به شماره F-97-00-08  انجام می­گردد.

4-4-2- کار در مکان های امن

نحوه تردد به این مکان ها براساس کنترل دسترسی و افراد در زمان حضور در مکان های امن موارد زیر را رعایت می نمایند:

از خوردن، آشامیدن و استعمال دخانیات در این مکان ها خودداری می نمایند.

پس از خروج، از قفل بودن در ورودی اطمینان حاصل می نمایند.

از تجهیزات تصویر برداری بدون مجوز قبلی استفاده نمی نمایند.

پس از پایان تعمیرات و پیش از خروج، اطمینان حاصل می‌نمایند که ابزاری را در محل برجای نگذاشته باشند.

4-5- ارزیابی مخاطرات و تاثیر سرویس های ICT بر کسب و کار

4-5-1- ارزیابی و تحلیل مخاطرات امنیت اطلاعات

ارزیابی مخاطرات امنیت اطلاعات وارد بر دارایی های ICT بر اساس روش اجرایی مدیریت مخاطرات امنیت اطلاعات انجام می­ گردد. مراحل انجام ارزیابی مخاطرات امنیت اطلاعات بر اساس فرم “فعالیت های دوره ای ICT” به شماره F-97-00-02  مشخص می گردد.

4-5-2- تاثیر سرویس های ICT بر کسب و کار

ارزیابی تاثیر سرویس­های ICT بر کسب و کار شرکت با هدف تعیین پارامترهای RTO و RPO جهت مدیریت تداوم سرویس های ICT و تهیه نسخه های پشتیبان، مطابق روش اجرایی ارزیابی تاثیر سرویس هایICT (BIA) انجام می­ گردد.

مراحل انجام BIA بر اساس فرم “فعالیت های دوره ای ICT” به شماره F-97-00-02 مشخص می گردد.

4-6- آموزش

متولیان ICT بصورت پیوسته در خصوص الزامات عمومی سیستم مدیریت امنیت اطلاعات شامل الزامات استفاده از خدمات و تجهیزات ICT، اخبار جدید در حوزه امنیت اطلاعات و … به كاربران اطلاع رسانی عمومی می­نماید.

متولیان ICT به منظور ارتقاء سطح دانش و مهارت پرسنل خود، سالانه اقدام به نیاز سنجی آموزشی ایشان نموده و دوره های لازم را از طریق روش اجرایی آموزش درخواست می نماید. همچنین به منظور کسب تجارب برتر در حوزه امنیت اطلاعات در راستای بروز نگهداشتن اطلاعات و دانش پرسنل خود اقدام به برقراری ارتباط با انجمن های تخصصی، شرکت در همایش ها و نمایشگاه های مرتبط و عقد قرارداد با شرکت های مشاور در این حوزه می نماید.

جهت آشنایی کاربران تازه استخدام با روش های اجرایی، آیین نامه ها و روش های اجرایی حوزه سیستم مدیریت امنیت اطلاعات، به هنگام تحویل تجهیزات، یک نسخه از جدول “فهرست اطلاعات مدون معتبر ” را نیز در اختیار ایشان قرار می دهند.

4-7- تهیه نسخ پشتیبان

عملیات پشتیبان گیری و نگهداری نسخه های پشتیبان براساس روش اجرایی  تهیه نسخه های پشتیبان با کد P-98 انجام می­ گردد.

4-8- مدیریت وقایع امنیت اطلاعات

مدیریت وقایع بر اساس روش اجرایی مدیریت وقایع امنیت اطلاعات انجام می­گردد. گزارش جامع وقایع امنیت اطلاعات بر اساس زمان بندی ارائه شده در فرم “فعالیت های دوره ای ICT” به شماره F-97-00-02 ارائه می گردد.

در صورت مشاهده حوادث غیر مترقبه نظیر آتش­ سوزی، نشت آب با واحد HSE، مشاهده خرابی تجهیزات پشتیبانی ICT نظیر UPS و کولر با واحد تعمیر و نگهداری، مشاهده قطع خطوط مخابراتی با مرکز مخابرات منطقه، در موارد قطع خطوط اینترنت یا مشاهده حملات اینترنتی با ISP مربوطه و در موارد سرقت و خرابکاری با واحد حفاظت براساس فرم “تماس­های اضطراری ICT” به شماره F-97-00-09  تماس می گیرند.

4-9- تفکیک وظایف و مسئولیت ها

تفکیک وظایف و مسئولیت های ICT در دامنه سیستم مدیریت امنیت اطلاعات مطابق فرم “تفکیک وظایف و مسئولیت های ICT در امنیت اطلاعات” به شماره F-97-00-10 است.

4-10- به روز رسانی قوانین مرتبط با امنیت اطلاعات

متولیان ICT جهت شناسایی قوانین جدید داخلی مصوب كه مرتبط با حوزه امنیت اطلاعات است از مشاوره حقوقی تخصصی در این زمینه بهره مند و از طریق مکاتبه، مراجعه حضوری و یا منابع منتشرشده، مفاد قانونی در این حوزه را براساس زمانبندی ارائه شده در فرم “فعالیت های دوره ای ICT” به شماره  F-97-00-02 بروز رسانی می نماید.

4-11-  پایش تجهیزات، سرویس های ICT و خدمات شخص ثالث

4-11-1- پایش تجهیزات و سرویس­های ICT

پایش­های دائمی :

همواره فعال یا غیر فعال بودن تجهیزات در شبکه و لینک‌های ارتباطی متصل به آنها به همراه پهنای باند جاری هریک پایش می گردد.

متوسط ظرفیت کاری هارد دیسک، CPU، RAM و سایر منابع تجهیزات زیر ساخت و سرویس دهنده­ ها به صورت دائم پایش می گردد. براساس فرم فعالیت­های دوره­ ای ICT به شماره
F-97-00-02 در دوره های مشخص گزارشی از تحلیل ظرفیت های مصرفی تجهیزات تهیه و متناسب با آن در صورت نیاز برای افزایش ظرفیت ها برنامه ­ریزی صورت می­ گیرد.

وضعیت سلامت تجهیزات متصل به شبکه نظیر پرینترها و سرورها به صورت دائم پایش می گردد. در دسترس بودن سرویس های حساس ICT نظیر پست الکترونیک و … به صورت دائم پایش می گردد.

پایش­های دوره ­ای :

موارد زیر بر اساس زمانبندی فرم فعالیت­های دوره ای ICT به شماره  F-97-00-02 مورد بررسی و تحلیل قرار می گیرند:

ترافیک عبوری از Server VLan به تفکیک پروتکل ­های عبوری

ترافیک عبوری از خطوط ارتباطی شبکه WAN و اینترنت به تفکیک پروتکل ها

4-11-2- مدیریت Log ها

جهت ثبت سوابق فعالیت های شبکه و کاربران آن از موارد زیر Log  دریافت می گردد:

سرورها

IAS

Firewall

ثبت سوابق بازبینی Log فایل ها با استفاده از فرم “ثبت سوابق بازبینی Log ها” به شماره F-97-00-11 بر اساس زمانبندی مشخص در جدول “فعالیت­های دوره ای ICT” به شماره F-97-00-02  انجام می گیرد.

محدوده عملیات مدیریت Log ها شامل کاربران سرویس های ICT و همچنین راهبران شبکه خواهد بود. به عبارت دیگر Admin log بر روی تجهیزات ICT فعال خواهد بود.

4-11-3- پایش تجهیزات و خدمات شخص ثالث

قبل از عقد هرگونه قرارداد دریافت خدمات ICT، سطوح مورد انتظار کیفیت و امنیت خدمات ICT (SLA) از ارائه کننده خدمات، تعریف و پس از انجام توافقات در متن قرارداد گنجانده می گردد. این موارد عمدتا از منظر تخصصی و اضافه بر موارد مطرحی ثبت می گردد.

براساس بازه های زمانی مشخص در قرارداد، سطوح مورد انتظار کیفیت و امنیت خدمات ICT و موارد تحویلی از طرف شخص ثالث پایش و سوابق آن ثبت می گردد.

همچنین در زمان تحویل اقلام و تجهیزات توسط تامین كنندگان،  واحد ICT موظف است، موارد تحویلی را بررسی و قابلیت های از پیش تعیینی در مورد تجهیزات را كنترل نماید. سوابق این امر نیز ثبت و نگهداری می­گردد.

4-12- مقابله با کدهای مخرب

بر روی سرویس دهنده­ ها نرم افزارهای ویروس کش نصب گردیده ­است. این نرم افزارها در دوره­ های زمانی مشخص در فرم “فعالیت­های دوره ای ICT” به شماره F-97-00-02 ، سرویس دهنده ها را اسکن و بروز بودن آنها کنترل می گردد.

تنظیمات ویروس­ كش ­ها به­ گونه ای صورت می­ گیرد که هنگام مواجهه با کدهای مخرب فایل مشکوک را قرنطینه (Quarantine) نماید.

در مرورگرهای  IE سمت کاربران سطح امنیتی (Security Level) Medium انتخاب می­ گردد.

امکان دانلود خودکار و اجرای کدهای سیار مانندActiveX ها بر روی مرورگرها بدون کسب مجوز از کاربر غیر فعال است. همچنین امکان اجرای خودكار کدهای سیار از قبیل Macro ها و  Script ها بر روی برنامه های کاربردی نظیر MS Office ، Acrobat Reader و …. غیرفعال می­گردد.

تا حد امکان از نصب نرم ­افزارهای قفل شکسته و آن­ دسته از نرم افزارها که دارای مرجع تولیدکننده مشخصی نیستند پرهیز می ­گردد.

در صورت کشف هر گونه کد مخرب بر روی سیستم­ ها که منجر به توزیع آلودگی در میان سیستم ­های دیگر است، سیستم آلوده از شبکه خارج و سایر سیستم ها ایزوله می گردد.

در زمان اطلاع از یک کد مخرب جدید موارد مربوط به نشانه ها، نحوه شناسایی و مقابله با آن به اطلاع کلیه کاربران می­ رسد.

امکان Real Time Protection بر روی ویروس کش ­ها فعال است.

4-13- تست­ های آسیب پذیری و مدیریت وصله ­های امنیتی

به منظور شناسایی آسیب پذیری­ های امنیتی سیستم­ های عامل، بانک ­های اطلاعاتی، برنامه ­های کاربردی، پیکربندی تجهیزات، و اطمینان از بروز بودن وصله های امنیتی آنها تست آسیب پذیری امنیتی صورت می گیرد. توالی انجام این فعالیت در جدول “فعالیت های دوره ای ICT” به شماره F-97-00-02 قرار دارد.

نرم افزار های تست آسیب پذیری های امنیتی بر روی یک سیستم ایزوله نصب می گردد و دسترسی به سیستم مذکور صرفا با مجوز رئیس ICT امکان پذیر است. به عبارت دیگر دسترسی به نرم افزارهای تست آسیب پذیری و گزارش­های خروجی این نرم افزارها بسیار کنترل می گردد.

سیستم های عامل، برنامه های کاربردی، پیکربندی نرم افزاری تجهیزات زیر ساخت و بطورخلاصه تمام موارد قابل بروز شدن (اعم از تجهیزات سمت کاربران و یا سرویس دهنده) تا حد امکان در قالب یک سیستم مرکزی مدیریت وصله های امنیتی مانند WSUS به صورت خودکار بروز می گردند و مواردی که قابلیت بروز شدن از طریق سیستم مرکزی را ندارند به صورت دستی بروز رسانی می گردند.

4-14- فعالیت های مرتبط با توسعه نرم افزارها

4-14-1- الزامات مرحله توسعه نرم افزار

فرآیند توسعه نرم­ افزار منطبق بر استانداردها و به نحوی صورت می­گیرد كه خطاهای عمدی یا اتفاقی نرم افزار به حداقل برسد. بدین منظور :

از افراد مختلف در توسعه نرم افزار با هدف آموزش نیروها جایگزین می گردد.

استفاده از الزامات مستند سازی در تولید نرم افزار (برای مثال استفاده از متدهای مبتنی بر RUP، RAD، XP و …)

بازنگری کد به منظور حصول اطمینان از عاری بودن کد برنامه از حفره های امنیتی (مانند Buffer Overflow)

ذخیره رمزهای عبور نرم افزار به صورت رمزگذاری و غیر قابل رویت حتی برای راهبر نرم افزار

روالی برای دسترسی به Source Code های برنامه ها توسط افراد مجاز وجود دارد. ( با استفاده از Visual Source Safe, SharePoint) استفاده از ابزارهای توسعه که بتوانند به هر نحوی الزامات کنترل های دیگر را Bypass نماید، در محیط توسعه به ­شدت کنترل می­ گردد.

در توسعه نرم افزارها جهت اعتبار سنجی اطلاعات ورودی موارد زیر را باید در نظر گرفت:

طول داده ورودی

رنج قابل قبول داده ورودی

قالب داده ورودی

کاراکترهای قابل قبول داده ورودی

سازگاری داده ورودی با داده سایر فیلدهای ورودی

 اطمینان از خالی نماندن فیلدهای ورودی اجباری

سیستم توانایی ارائه پیغام/گزارش خطا در هنگام ورود داده غیرسازگار را دارد.

در توسعه نرم افزار، گزارش­های خروجی نرم افزار جهت اطمینان از صحت پردازش اطلاعات با استفاده از روش ممیزی تصادفی از داده های خروجی مورد اعتبار سنجی قرار می گیرد.

در توسعه نرم افزار، قالب گزارش های خروجی به گونه ای برنامه نویسی می گردد که امکان درج سطح سند (برچسب طبقه بندی) بر روی گزارش خروجی مانند روش اجرایی طبقه بندی مستندات وجود دارد.

4-14-2- الزامات مرحله تست

محیط توسعه و تست نرم افزار از محیط عملیات جدا می گردد. (استفاده از کامپیوتر و شبکه مجزا)

از اطلاعات شخصی (واقعی) افراد به عنوان داده تست نرم افزارها استفاده نمی گردد و در صورت لزوم نام و هر گونه مشخصه شناسایی افراد واقعی مرتبط جهت تست نرم افزارها تغییر پیدا می کند.

ملاحظات دسترسی به داده ها یا بخش های مختلف نرم افزار در محیط تست مشابه الزامات محیط عملیاتی طراحی می گردد.

هرگاه نیاز به استفاده از اطلاعات محیط عملیاتی به عنوان داده محیط تست باشد، این اقدام با اخذ مجوز از مدیر مربوطه صورت می­گیرد.

به محض اتمام فرآیند تست، تمام اطلاعات محیط عملیاتی از محیط تست پاک می­ گردد.

4-14-3-  الزامات مرحله عملیات

سوابق تغییرات در کد برنامه ها ثبت و نگهداری می گردد. به عبارت دیگر نسخه کد برنامه قبل و بعد از هرگونه تغییر تاثیرگذار ذخیره می گردد. همچنین رسانه های حاوی کدهای نرم افزارها به همراه لایسنس های نرم افزارهای خریداری، در گاوصندوقی به صورت امن نگهداری می گردد.

استفاده از کامپایلرها در محیط عملیاتی کاملا تحت کنترل قرار می گیرد.

4-14-4-  الزامات خرید نرم افزار

در خرید نرم افزارها موارد حائز اهمیت است:

تا حدامکان از خرید نرم افزارهای قفل شکسته پرهیز گردد.

نرم افزارها از منابع مورد اطمینان خریداری ­گردد.

تا حد امکان نرم افزارهایی خریداری ­گردد که دارای گواهی تست امنیتی از مراجع معتبر صدور گواهی امنیتی باشند.

قبل از خرید قطعی نرم افزار، نسخه آزمایشی آن مورد تست آسیب پذیری امنیتی قرار گیرد.

تعهدات فروشنده مبنی بر ارائه وصله ­های امنیتی یا ارتقاء نسخه نرم افزار خریداری شده تا مدت زمان مشخص مورد توافق قرار گیرد.

نرم افزارهایی خریداری گردد که ذخیره رمزهای عبور در آن ها به صورت رمزگذاری و غیر قابل مشاهده حتی برای راهبر نرم افزار باشد.

4-14-5-  الزامات برون سپاری توسعه نرم افزار

در برون سپاری توسعه نرم افزارها به فراخور مورد برون سپاری موارد زیر لحاظ می گردد:

حقوق مالکیت فکری/معنوی

الزام انواع گواهینامه کیفیت نرم افزار (در صورت لزوم)

مشخص نمودن وظایف/تعهدات پیمانکار هنگامی که پیمانکار به هر نحوی نتواند خدمات خود ادامه دهد.

اخذ مجوز ممیزی امنیتی و کیفی نرم افزار از پیمانکار (در صورت لزوم)

4-15- نگهداری و محافظت از مستندات سیستمی

دسترسی به هر گونه نرم افزار تست آسیب پذیری فنی، مدیریت، پایش و ارزیابی مخاطرات زیر ساخت و تجهیزات ICT و همچنین خروجی ­های مستخرج از این گونه نرم افزارها بسیار کنترلی خواهد بود.

هر گونه دسترسی یا تغییر در پیکر­بندی و گزارش­های خروجی نرم افزارهای مذکور در بند بالا صرفاً با مجوز قبلی رئیس ICT  امکان پذیر است.

لیست آن دسته از گزارش­های خروجی نرم افزارهای مذکور در بند بالا که مشمول سیاست نگهداری مدت دار سوابق می ­گردند مانند Log ها، گزارش مدیریت مخاطرات ثبت و نگهداری می گردد.

دسترسی به هر گونه گزارشی که بیانگر پیکر­بندی و تنظیمات آن در سرویس ­ها، زیرساخت و تجهیزات ICT باشد بر اساس سطح محرمانگی بسیار کنترلی خواهد بود. بدیهی است دسترسی به نرم افزارهای تولید کننده گزارش های فوق نیز صرفا با مجوز قبلی رئیس ICT  امکان پذیر است.

5- توزیع نسخ :

مطابق با فرم فهرست اطلاعات مدون معتبر توزیع شده است.

6- مدارک پیوست :

ردیف نام کد
6-1 لیست تجهیزات IT F-97-00-01
6-2 فرم فعالیتهای دوره ای ICT F-97-00-02
6-3 فرم امحاء اطلاعات رسانه­ ها F-97-00-03
6-4 فرم درخواست تغییرات F-97-00-04
6-5 فرم ردیابی تعمیرات ICT ارسالی به خارج شرکت F-97-00-05
6-6 فرم بازدیدهای ادواری تجهیزات و مکان های امن F-97-00-06
6-7 فرم ثبت سوابق تغییرات F-97-00-07
6-8 فرم الزامات امنیت اطلاعات درساخت و بازسازی مكان­های امن F-97-00-08
6-9 فرم تماس های اضطراری ICT F-97-00-09
6-10 فرم تفکیک وظایف ومسئولیت های ICT در امنیت اطلاعات F-97-00-10
6-11 فرم  ثبت سوابق بازبینی log ها F-97-00-11
فناوری اطلاعات و ارتباطات
اطلاعات فناوری در واقع کاربرد روش اجرایی فعالیتهای ICT، مدیریت و نگهداری زیر ساخت های مربوطه، درجهت ارائه خدمات بهتر، دقیق تر و سریع تر به واحد های سازمانی است

کاربرد فناوری اطلاعات و ارتیاطات در سازمان ها

فناوری اطلاعات و ارتباطات در زمینه های مختلقی مانند آموزش، حمل و نقل، محاسبات سریع داده های مالی، پرداخت صورتحساب ها ، بانک های اطلاعاتی، مدیریت سیستم های امنیتی و . . . در سازمان ها و شرکت ها استفاده می گردد.

سیستم ICT به مدیران و کارکنان کمک می کند تا سریعتر و دقیق تر تصمیم گیری نمایند. مدیریت عملیات و فعالیت های روزمره نیز سریع تر و با دقت بیشتری انجام می گیرد. همچنین فرصت ها و تهدید های احتمالی بطور دقیق و سریع پیش بینی می گردند.

فرآیند های اطلاعات و ارتباطات مزایای زیادی برای سازمان ها، شرکت ها در جهت تولید، طراحی، توسعه و تحقیق در زمینه های مختلف ارائه می نماید.

بهینه سازی فرآیندهای سازمانی با ICT

بهینه سازی فرآیند های سازمانی و افزایش بهره وری فرآیند های آنها از موارد مهم و ضروری است. بکارگیری فن آوری اطلاعات و ارتباطات برای بهینه سازی امور می تواند بسیار موثر واقع شود.

پیاده سازی اولیه فناوری اطلاعات و ارتباطات در ابتدا شاید پر هزینه بنظر برسد. اما ساده سازی و مدیریت موثر در فرآیند های کاری سازمان با بکارگیری روش فوق می تواند برای سازمان ها و شرکت ها بسیار موثر واقع گردد. همچنین اجرای ICT قادر است امور سازمان یا شرکت را با حداقل ترین هزینه و بالاترین دقت و کیفیت به اتمام برساند.

دانلود رایگان روش اجرایی فعالیتهای ICT – فایل word

ارتقا استراتژی و سیاست های سازمان

برای ارتقا استراتژی ها و سیاست ها و خط مشی های سازمان و شرکت ها می توانید با بکارگیری فناوری اطلاعات و ارتباطات در واحد های مختلف سازمان در جهت رشد فعالیت های شرکت اقدام نمایید.

در واقع کاربرد فعالیت های ICT ، مدیریت و نگهداری زیر ساخت های مربوطه، درجهت ارائه خدمات بهتر، دقیق تر و سریع تر به واحد های سازمانی است. این فعالیت ها شامل انجام فعالیت های روزانه، مراحل اجرای سیستم های مبتنی بر وب، فرآیندهای واحد فنآوری اطلاعات و . . . است.

تفاوت IT و ICT

عبارت IT همان تکنولوژی اطلاعات، به معنای مدیریت اطلاعات با بکارگیری تجهیزاتی مانند سیستم ها، شبکه ها و نرم افزارهای مرتبط انجام می گردد.

عبارت ICT همان تکنولوژی اطلاعات و ارتباطات، به معنای کمک به کاربران برای استفاده از اطلاعات دیجیتالی مانند سیستم ها، نرم افزارها، پست الکترونکی و . . . انجام می گردد.

فعالیت های مهم واحد فناوری اطلاعات و ارتباطات

بروز رسانی و ارتقا سیستم های موجود

تجهیز، تکمیل و راه اندازی شبکه های مورد نیاز سازمان

ایجاد بانک های نرم افزاری و سخت افزاری

آموزش فناوری اطلاعات و ارتباطات به پرسنل شرکت در چارچوب مهارت های مورد نیاز هر واحد

سازماندهی تمامی فعالیت های سازمانی در راستای بهبود اهداف سازمان

نظارت بر نصب، راه اندازی و پشتیبانی تمامی تجهیزات سخت افزاری و نرم افزاری مورد نیاز سازمان

تهیه و تدوین دستورالعمل های لازم در زمینه بهره برداری و نگهداری از کلیه تجهیزات به منظور بازدهی بهتر

همکاری با واحدهای مختلف سازمان در زمینه تسریع در امور جاری سازمان

ضرورت اخذ ایزو 27001

برای دریافت گواهینامه ایزو 27001  اجرای دستورالعمل روش اجرایی فعالیتهای ICT ضروری است. سیستم مدیریت امنیت اطلاعات یا همان گواهینامه ایزو 27001 استاندارد تدوین شده برای اخذ گواهینامه ISO/IEC 27001 است. رشد روزافزون تغییرات در فناوری اطلاعات باعث رشد وسیع خدمات کنترلی اطلاعات سازمان است. برای مقابله با تهدید های احتمالی و الزامات پیشگیرانه برای مقابله با آنها اهمیت دارد.

سازمان فناوری اطلاعات ایران بر اساس اسنادهای ملی و قوانین مصوب در کشور و برنامه ریزی بکارگیری بهینه ظرفیت های ملی و ساماندهی شرکت های توانمند در ارایه خدمات افتا اقدام به ارزیابی و صدور گواهینامه می نماید.

اخذ گواهینامه ایزو 27001

یکی از اسناد مهم در ایزو 27001 روش اجرایی فعالیت های ICT هست. امروزه فعالیتهای حوزه ICT از اهمیت بالایی برخوردار است. روش های مختلفی در قالب روش اجرایی فعالیت های فناوری اطلاعات و ارتباطات وجود دارد.

روش اجرایی فعالیت های ICT توسط کارشناسان و مشاوران ایزو 27001 با همکاری کارشناسان متخصص IT تدوین می گردد. معمولا کارشناسان پس از بازدید وضعیت واحد فناوری اطلاعات و ارتباطات و شرکت از نظر تهدیدات داخلی و خارجی بررسی می کنند. سپس با توجه به شکافهای موجود روش اجرایی فعالیت های فن آوری اطلاعات و ارتباطات را تهیه و تدوین می کنند.

دریافت گواهینامه معتبر ایزو

مرکز سیستم کاران با تجربه ای نزدیک به دو دهه پیشرو در ارائه خدمات استاندارد سازی و ایزو هست. شما می توانید با مراجعه به آدرس سایت مرکز سیستم کاران از بخش دانلود رایگان مستندات ایزو الگو برداری نمایید.

همچنین می توانید جهت دریافت گواهینامه های ایزو 27001 معتبر IAF در کوتاهترین زمان و با کمترین هزینه اقدام نمایید. مرکز سیستم کاران با تجربه ای نزدیک به دو دهه پیشرو در ارائه خدمات استاندارد سازی و ایزو هست. شما می توانید با مراجعه به آدرس سایت مرکز سیستم کاران از بخش دانلود رایگان مستندات ایزو الگو برداری نمایید.

گواهینامه ایزو معتبر و قابل استعلام
اخذ گواهینامه ایزو ISO معتبر و قابل استعلام در کمترین زمان و پایین ترین قیمت

سر فصلهای مهم

مطالب مهمی که متقاضیان بدنبال آن هستند.

مطالب فنی و کاربردی مورد نیاز کارشناسان و علاقمندان به ایزو ISO

2 Responses

  1. روش اجرایی فعالیتهای ICT جزو مراحل ایزوست. برای اجرای فعالیتهای ICT مستندات مورد نیازمون از،سایت شما دانلود کردیم و الگو برداری کردیم خیلی جامع و کامل بود. زمان دریافت گواهینامه ایزو خیلی بدردمون خورد.

  2. فایل روش اجرایی فعالیتعای ICT رو از سایت شما دانلود کردیم توضیحات کامل و کاربردی داشت برای فعالیتهای کاری واحد فناوری اطلاعاتمون ازش الگو گرفتیم. روش اجرایی جزو استاندارد ایزو ۲۷۰۰۱ برامون کاربردی بود

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

لینکهای مفید و مرتبط
enemad-logo