سازماندهی امنیت و ضرورت وجود واحد و مدیر امنیت اطلاعات (CISO)

  • نویسنده: میلاد یداللهی
  • تاریخ انتشار: سه‌شنبه ، ۰۲ خرداد ماه ۹۶
  • تعداد بازدید: 2523
  • تعداد نظرها: 4
  • دسته بندی: سیستم مدیریت امنیت اطلاعات

سازماندهی و ساختاردهی به عنوان یکی از وظایف اساسی مدیر همواره در پیاده سازی و استقرار سیستم های مدیریتی در  سازمان ها از اهمیت خاصی برخوردار بوده است. در خصوص سیستم مدیریت امنیت اطلاعات (ISMS) نیز این موضوع به صورت خاص در نسخه های مختلف استاندارد ISO 27001 مشهود است. برای کسب اطلاعات بیشتر در خصوص استانداردهای این حوزه به مقاله معرفی خانواده استانداردهای سیستم مدیریت امنیت اطلاعات رجوع شود. چنانكه در استاندارد ISO17799:2005/ISO 27001:2005 هم در بخش الزامات استاندارد و هم در بخش پیوست الف مربوط به کنترل های امنیتی، به مسئوليت و وظايف مديريت­­ ارشد در ارتباط با امنيت اطلاعات و ضرورت ایجاد ساختار امنیت اطلاعات اشاره شده است. در نسخه 2013 استاندارد نیز می بینیم که این موضوع حتی پررنگ‌تر مورد تاکید قرار گرفته است. اما سوال اینجاست که آیا سازمان می بایست برای تشکیلات فوق افراد اختصاصی با جایگاه های تبیین شده در چارت سازمانی در نظر بگیرد و یا می توان این تشکیلات را به صورت فرابخشی و ساختار معین بر روی ساختار سازمانی موجود فرض نمود.

نگاه به موضوع امنیت اطلاعات به شکل یک واحد و بخش در ساختارها و جایگاه‌های سازمانی، به عنوان یکی از مهم‌ترین مسائل در ساختاردهی مسئولیت‌ها و وظایف در حوزه فناوری اطلاعات (سازماندهی امنیتی) و در سطحی بالاتر، در کل سازمان مطرح می‌باشد. سازمان‌ها و شرکت‌های مختلف با توجه به اندازه، نوع، گستره عملکرد و بلوغ سازمانی خود، ساختارها و مکانیزم‌های مختلفی را در رابطه با ساختاردهی امنیت اطلاعات در نظر می‌گیرند. این مکانیزم ها و شکل های ساختاردهی بسیار متنوع و گوناگون مطرح می‌شوند که می توان آنها را در گروه های زیر تقسیم بندی نمود:

  • واحد امنیت اطلاعات به صورت یک بخش مستقل زیر مجموعه واحد IT

این نوع ساختار که بسیار متداول است، امنیت اطلاعات را زیرمجموعه واحد فناوری اطلاعات فرض می نماید.

واحد امنیت اطلاعات به صورت یک بخش مستقل زیر مجموعه واحد IT

  • واحد امنیت اطلاعات به صورت یک واحد مستقل کنار دیگر واحدها نظیر واحدIT

در این نوع ساختاردهی، امنیت اطلاعات از جایگاه بالاتر سازمانی برخوردار است و همچون دیگر واحدهای سازمانی به صورت مستقیم از سوی مدیریت ارشد هدایت می گردد.

 واحد امنیت اطلاعات به صورت یک واحد مستقل کنار دیگر واحدها نظیر واحدIT

  • واحد امنیت اطلاعات به صورت معین

در این نوع ساختار، که معمولا برای شرکت های کوچک تر پیشنهاد می شود، واحد امنیت اطلاعات به صورت یک واحد مستقل در چارت دیده نمی شود و به صورت معین در نظر گرفته می شود.

واحد امنیت اطلاعات به صورت معین

  • واحد امنیت اطلاعات به صورت نماینده/واحدی و کمیته راهبری

در این نوع ساختاردهی، سعی می شود یک جایگاه سازمانی (معمولا با اختیارات زیاد و موقعیت سازمانی بالا) به عنوان هماهنگ‌کننده در نظر گرفته شود و هر واحد نیز نماینده‌ای را به این امر اختصاص دهد.

واحد امنیت اطلاعات به صورت نماینده/واحدی و کمیته راهبری

  • ساختارهای تلفیقی

با توجه به نیاز سازمان می توان هر کدام از 4 شکل سازمانی معرفی شده به صورت تلفیقی  با یکدیگر مورد توجه قرار گیرند.

در بسیاری از شکل های معرفی شده امنیت اطلاعات، جایگاهی با عنوان مدیر امنیت اطلاعات (CISO) در نظر گرفته می شود. معمولاً مدیر امنیت اطلاعات در سازمان متولی ارائه گزارشات و آمارهای امنیتی در مورد تجهیزات، عملیات‌ها، سیستم‌های اطلاعاتی و مواردی از این قبیل به سطوح بالاتر سازمان می‌باشد. در نهایت (و قانوناً) هیئت مدیره مسئول حفاظت از دارایی‌های سازمان می‌باشد، ولی وجود فرد و جایگاهی برای مطلع ساختن هیئت مدیره از تهدیدات و آسیب پذیری ها و به طور کلی مخاطراتی که سازمان پیش روی خود دارد، ضروری است. متأسفانه معمولاً این ارتباط به خوبی انجام نمی‌گیرد و دلیل اصلی آن مناسب نبودن جایگاه و عدم اختیارات کافی برای این سمت می‌باشد. معمولاً این جایگاه در رده‌های پایینی قرار می‌گیرد که باعث می‌شود بسیاری از اطلاعات و پیام‌ها در مسیر رده‌های سازمانی بالاتر، با فیلترهای مختلفی روبرو شوند و این اطلاعات به خوبی به رده‌های بالایی سازمان انتقال پیدا نکنند.

به این ترتیب معمولاً جایگاه امنیت اطلاعات به سطح سوم و یا چهارم ساختار سازمانی تنزل پیدا می‌کند و تقریباً سازمان‌ها مسئله امنیت را خیلی جدی قلمداد نمی‌کنند و تلاشی برای ارتقا این جایگاه از خود نشان نمی‌دهند. به نظر می‌رسد که مهم‌ترین عامل در این خصوص مسئله فرهنگ و بلوغ سازمانی می‌باشد، ولی دیگر عوامل مانند نوع صنعت و همچنین اندازه سازمان نیز تأثیر گذار می‌باشند.

در بسیاری از شرکت ها و سازمان ها، معمولاً مدیریت فناوری اطلاعات مسئولیت امنیت اطلاعات را نیز بر عهده می‌گیرد. در شرکت های بزرگتر، بمنظور افزایش بهره‌وری این وظیفه می‌تواند از سوی مدیر فناوری اطلاعات به فرد دیگری (که دارای سطح اختیارات کافی باشد) انتقال یابد، ولی باید توجه داشت که مسئولیت امنیت اطلاعات همچنان بر عهده مدیریت فناوری اطلاعات باقی خواهد ماند. همان طور که در بالا اشاره شد، دلیل اصلی عدم تفویض این مسئولیت، جلوگیری از فیلتر شدن برخی اطلاعات و مسایل امنیتی و ارتباط هر چه مستقیم‌تر میان هیئت مدیره و این جایگاه می‌باشد.

باید توجه داشت که تنزل جایگاه امنیت اطلاعات و به طور کلی تشکیلات امنیت اطلاعات پیشنهاد نمی‌شود. زیرا با توجه به مفهوم امنیت و گسترده بودن آن در بطن تمامی فعالیت‌های مربوط به فناوری اطلاعات و حتی فعالیت‌هایی که در این حوزه قرار نمی‌گیرند، این امر باعث می‌شود تا ارتباط این ماهیت با دیگر المان‌های فناوری اطلاعات (سیستم‌های اطلاعاتی، زیرساخت ارتباطی، شبکه و سخت افزار) با مشکل روبرو شود و کنترل و مدیریت همه جانبه و نظام‌مند بر روی امنیت به صورت کامل انجام نپذیرد.

موضوعی که می‌بایست از آن پیشگیری نمود، تقسیم و ناهمگونی وظایف امنیت اطلاعات می‌باشد که معمولاً در بعضی ساختارها به چشم می‌خورد. هدف اصلی از ایجاد ساختار و واحد امنیت اطلاعات، اختصاص یک متولی خاص برای مباحث امنیت فناوری اطلاعات، عملیات، خطمشی ها و رویه‌ها، انطباق با قوانین، مدیریت مخاطرات و ممیزی می‌باشد.

با توجه به اینکه مسئله امنیت به عنوان یکی از بخش‌های جدانشدنی فرآیندهای مختلف امروزی فناوری اطلاعات مطرح می‌باشد، طبیعی است که بسیاری از این فعالیت‌ها و راه حل‌ها، حتی بدون ایجاد واحد امنیت اطلاعات در واحدهای مختلف تخصصی فناوری اطلاعات شرکت اعمال می‌گردند. اما نکته قابل توجه این است که هر یک از این واحدها در بهترین حالت، تنها موارد امنیتی در حوزه تخصصی خود را در نظر می‌گیرند، در حالی که با توجه به رهنمودهای ارائه شده در استانداردها، مراجع و الگوهای سرآمدی امنیت اطلاعات، نگاه خرد و پراکنده به امنیت اطلاعات مناسب تلقی نشده و به منظور تأمین امنیت اطلاعات، نیازمند نگاهی کلی نگر، نظاممند و همه جانبه می‌باشیم. از طرفی همان طور که اشاره گردید، بسیاری از فعالیت‌های امنیت اطلاعات جزو وظایف تخصصی واحدها محسوب نمی‌شوند و در ساختارهای پراکنده ممکن است از یاد برده شده و یا توجه و تاکید مناسبی را از سوی شرکت دریافت ننمایند. از این قبیل فعالیت‌ها می‌توان به فرآیند مدیریت مخاطرات اشاره نمود که می‌توان از آن به عنوان یکی از مهم‌ترین و اساسی‌ترین عناصر امنیت اطلاعات در رویکردهای جدید یاد کرد و با توجه به ماهیت همه جانبه نگر آن، نیازمند نگاهی جامع به فناوری اطلاعات داشته و حتی در بسیاری از موضوعات پا را فراتر از فناوری اطلاعات گذاشته و مواردی همچون منابع انسانی، محیطی و فیزیکی را هم در خود جای می‌دهد. این ویژگی در دیگر عناصر اساسی در فناوری اطلاعات، نظیر تداوم کسب و کار و بازیابی از حوادث نیز به چشم می‌خورد.

در این مقاله کوتاه سعی شد تا به اهمیت ساختاردهی امنیت اطلاعات اشاره شده و مروری اجمالی بر روی انواع تشکیلات امنیت اطلاعات صورت پذیرد. موضوعات تخصصی و جزئی تر در این خصوص در قسمت کامنت ها قابل مطرح شدن است.

نظرات کاربران

سینا بختیاری

شنبه ، ۲۸ اردیبهشت ماه ۹۸

با عرض سلام و احترام

با وجود جستجو فراوان این مطلب تنها مطلبی بود که جایگاه قرار دادن امنیت در سازمان را به خوبی توصیف کرده بود. بسیار سپاس گذارم. اما بنده برای استفاده از این مطلب نیاز به ذکر یک منبع رسمی دارم مانند استاندارد یا کتاب معتبری که که این سازماندهی امنیت را تایید کند. لذا از حضورتان خواهشمندم که منبعی معتبر برای ارائه انواع سازماندهی امنیت به بنده معرفی نمایید. سپاس فراوان

میلاد یداللهی

دوشنبه ، ۳۰ اردیبهشت ماه ۹۸

سلام آقای بختیاری،

تشکر میکنم از لطف شما. این مقاله کاملا دست اول بوده و دارای مرجع استانداردی یا کتاب نیست. در واقع این مقاله بر حسب تجربه و تلفیق آن با مفاهیم سازماندهی در علم مدیریت توسط بنده نگارش شده است. برای ارجاع دهی می توانید به این وبلاگ تخصصی ارجاع نمایید.

میثم ارجمندفر

جمعه ، ۰۶ مرداد ماه ۹۶

با سلام، مقاله بسیار مفید بود و مطالب بسیار مهمی در آن بیان شده است. لذا به نظر بنده لازم است که به چند نکته دیگر نیز توجه شود:

1- نکته ای که در این مقاله به چشم می خورد این است که هرچه امنیت اطلاعات از جایگاه بالاتری در ساختار سازمانی برخوردار باشد این بدان معنا است که به سیاست گذاری و برنامه های بلند مدت در حوزه امنیت اطلاعت توجه بیشتری می شود اما در صورتیکه که امنیت اطلاعات در جایگاه پایین تری در ساختار سازمانی برخوردار باشد بیشتر به معنای نگاه به برنامه های عملیاتی کوتاه مدت و مقطعی است.

2- نکته دیگر در خصوص ارتباط بین ساختار سازمانی امنیت در سیستم مدیریت امنیت اطلاعات با محدوده پیاده سازی سیستم مدیریت امنیت اطلاعات است. لذا باید توجه شود که "محدوده امنیت اطلاعات" با "محدوده پیاده سازی سیستم مدیریت امنیت اطلاعات" دو مقوله مجزا می باشند. لذا با توجه به اینکه محدوده امنیت اطلاعات حداقل شامل کل محدوده سازمان و حتی ممکن است فراتر از آن باشد بسیار مهم است که در ساختار سازمانی به کل محدوده امنیت اطلاعات توجه شود.

3- در کنار توجه به ساختار سیاست گذاری در امنیت اطلاعات که به صورت کلان می باشد می بایست به ساختار عملیاتی در سطوح پایین تر نیز توجه گردد. افزایش مسئولیت پذیری و تفکیک وظایف کارکنان در انجام فعالیت ها و پروژه ها امنیتی به صورت ساختاری و نظام مند می تواند در دستیابی به اهداف امنیت اطلاعات بسیار مفید باشد.

علی علیان

چهارشنبه ، ۰۳ خرداد ماه ۹۶

سلام - متشکرم