41 ص
شاید بیشترین بخش بیتمایلی اطلاعات امنیتی شغل حرفهای مربوط به سایت آن است. گسترش سیاست به دانش فنی کمی نیاز دارد و بنابراین برای بسیاری از حرفهایها که تمایل به دانستن بیشتری در مورد سیستمها طرز کارشان را دارند درخواست نمیشود. اغلب این شغل بیهودهای است که تعداد کمی از مردم در یک سازمان دوست داشته باشند که کارشان نتیجه بدهد سیاست قوانینی را حکم فرما میکند. سیاست مردم را وادار به انجام کارهایی میکند که تمایلی برای انجام آن ندارند. اما سیاست برای یک سازمان بسیار مهم است ممکن است بتواند قسمت اطلاعاتی امنیتی یک سازمان از اکثر شغلهای مهم را کامل کند.
سیاست مهم است: سیاست قوانینی را آسان می کند که دولت چطور سیستمها را باید آرایش دهد و این که چطور کارمندان یک سازمان باید در شرایط عادی عمل کنند سازمان باشد. سیاست هر کسی را در سطح یکسانی قرار می دهد به طوری که هر کس متوجه آن چه از او انتظار می رود باشد.
تعیین کردن این که چگونه سیاست چگونه باید باشد سیاست تعین میکند که امنیت چگونه باید تحقق یابد . این مساله شامل آرایش به موقع روی سیستمهای کامپیوتر و شبکه به همان خوبی میزان است فیزیکی می شود. مکانیسم به موقعی را تعیین خواهد کرد که برای حفاظت اطلاعات و سیستم ها استفاده میشود به هر حال جنبههای فنی امنیت تنها چیزهایی که توسط سیاست تعیین شوند، نیستند. سیاست تعیین میکند که کارمندان چطور باید به طور مطمئن وظایف مربوط به امنیت را اجرا کنند مانند استفاده کنندگان اداره کل این مسئله اغلب تعیین میکند که کارمندان چگونه انتظار داشته باشند که درست رفتار کنند هنگامی که از سیستمهای کامپیوتر متعلق به سازمان استفاده میکنند در پایان سیاست تعیین میکند که سازمان چگونه باید هنگامی که مواردی طبق انتظار عمل نمیکنند، واکنش نشان دهد. هنگامی که یک حادثه امنیتی اتفاق میافتد یا سیستمها از کار میافتد سیاستها و شیوههای عمل سازمان آن چه را که باید انجام دهد و ان چه را که سازمان در طول حادثه هستند تعیین میکند.
قرار دادن هر کسی روی سطح یکسان قوانین عظیمند و داشتن آن ها برای قسمت برنامه امنیتی مداوم یک سازمان ضروری است. به هر حال این مسئله فقط بدین اندازه مهم است که همه با هم برای نگهداری امنیت سازمان کار کنند. سیاست چهار چوب را برای کارمندان سازمان که با هم کار میکنند را فراهم میآورد. سیاست و شیوه عمل سازمان اهداف و منظورهای برنامه امنیتی را تعیین میکند هنگامی که این اهداف و منظورها به طور مطلوبی به کارکنان سازمان گفته میشود آن ها چهار چوبی برای کار گروهی امنیتی فراهم میکنند.
انواع سیاست: بسیاری از انواع سیاستها و شیوههای عملی وجود دارد که میتواند برای سازمان قابل استفاده باشد تا تعیین کند که چگونه امنیت باید در بین آن سازمان عملی شود بخشهای زیرین زمینههای نهفتهای برای بیشتر قسمتهایی که استفاده میشوند برای این سیاستها و شیوههای عمل مفید هستند را تعیین میکند. هیچ دلیلی وجود ندارد که مفاهیم این سیاست ها و روش ها نتوانند در راههای مختلف به عنوان بهترین شایستگی بین یک سازمان معین ترکیب شوند . برای هر کدام از سیاستهای تعیین شده هر عنوان عمدهای از سیاست مشخص و توضیح داده شده است سه بخش از هر سیاست که معمولی هستند و در این جا بحث خواهند شد، وجود دارد:
هدف: هنر سیاست و شیوه عمل باید یک هدف خوب تعیین شده را داشته باشد، بخش هدف مدرک باید آشکارا بیان کند که چرا سیاست و شیوه عمل خلق شده است و این که چه منفعتی سازمان انتظار میرود که از آن حسب کند. محدوده: هر سیاست و شیوه عمل باید بخش تعیین کننده قابلیت اجرایش را داشته باشد، برای مثال سیاست امنیت یا شیوه عمل مشخص می کند که چه کسی پاسخگویی به اجرای شایسته مدرک را نگهداری خواهد کرد هر کسی که به عنوان دارنده مسئولیت برای سیاست یا شیوه محمل مشخص شود باید به طور شایسته تربیت شود و از نیازهای مدرک آگاهی داشته باشد.
سیاست اطلاعات : سیاست اطلاعات تعیین میکند که چه اطلاعاتی حساس در بین سازمان وجود دارد و این که چطور آن اطلاعات باید حفاظت شوند. این سیاست باید پوشش برای تمام اطلاعات میان سازمان ایجاد کند . هر کارمندی برای حفاظت اطلاعات حساس که در تصرف وی قرار می گیرد مسئولیت دارد.
شناسایی اطلاعات حساس: اطلاعاتی که در سازمان حساس مطرح میشوند، با آن چیزهایی که به تجارب سازمان معتقدند تفاوت خواهند داشت. اطلاعات حساس ممکن است شامل ثبتهای تجارت، طرحهای تولیدات، اطلاعات آشکار ،دفترچه تلفن شرکت و غیره شود. برخی اطلاعات وجود دارند که در همه سازمانها حساس خواهند بود. این مورد شامل اطلاعات لیست حقوقی، آدرس منزل و شماره تلفنهای کارکنان، اطلاعات بیمه درمانی و هر اطلاعات مالی قبل از ایده که آن ها به طور علنی برای عموم آشکار شوند خواهد شد. این مسئله مهم است که به خاطر بیاوریم تمام اطلاعات موجود در سازمان در همه زمانها حساس نیستند. برگزیدن این که چه اطلاعاتی حساسند باید به دقت در سیاست بیان شود و به کارکنان ابلاغ شود.
فهرست مطالب
استفاده قابل قبول از کامپیوترها 13
Procedures مدیریت استفاده کننده. 16
Employee procedure انتقال یافته. 17
تغییر بدهید Procedure کنترل.. 25
تعیین کردن رفتار قابل قبول.. 32
استفاده از سیاست تاثیر گذار. 36
به وجود آوردن سیستم ها و پروژه ها 37