روش اجرایی کنترل دسترسی در ایزو 27001
روش اجرایی کنترل دسترسی در ایزو 27001 چگونه است؟
چرا اخذ ایزو 27001 الزام اجرای روش اجرایی تخصصی آن را دارد؟
چند نوع روش اجرایی تخصصی در حوزه ایزو 27001 وجود دارد؟
کنترل دسترسی چیست؟
جهت بررسی روش اجرایی کنترل دسترسی در ایزو 27001 ، بایستی ابتدا در ارتباط با کنترل دسترسی اطلاعاتی دریافت کنیم.
هدف از تدوين اين آئين نامه :
تعيين حقوق دسترسي كاربران به خدمات و تجهيزات ICT
تبيين الزامات كنترل اين دسترسي ها (اعطا، تغيير و حذف دسترسي ها)
مطابق با نيازهاي شغلي و در راستاي خط مشي سيستم مديريت يكپارچه شرکت ميباشد.
تعاریفی که در این روش مورد استفاده است شامل موارد زیر است:
مكان هاي امن : محل هاي استقرار تجهيزات سرويس دهنده و پشتيباني ICT
تجهيزات ICT :
تجهيزات پردازش، ذخيره و انتقال اطلاعات شامل :
کامپيوترهاي شخصي (PC)
نوت بوک ها به همراه متعلقات آنها
تجهيزات جانبي از قبيل چاپگر
اسکنر و غيره
و تجهيزات ارتباطي مانند گوشي تلفن IP و فکس و انواع رسانه ها شامل CD، DVD، Flash Memoryو .External Hard Disk.
خدمات ICT :
سرويس ها و امکانات نرم افزاري و ارتباطي است که واحد ICT در جهت تسهيل انجام وظايف شغلي کارکنان به آنان ارائه مي دهد که شامل:
پست الکترونيک
اينترنت
سرويس تلفن IP
نرم افزارهاي تخصصي
اشتراک فايل
دوربين مدار بسته
پرتال و ساير نرم افزارهاي تحت شبکه (مانند تينا، MANUSYS و …)
مي باشد.
الزامات اطلاع رسانی در کنترل دسترسی ها
مديريت منابع انساني و پشتيباني موظف است:
در زمان استخدام
ترک يا پايان خدمت پرسنل
يا جابجايي پرسنل از واحدي به واحد ديگر
چه در مورد پرسنل تمام وقت، چه در مورد پرسنل پاره وقت، نام، نام خانوادگي، شماره پرسنلي، پست سازماني، زمان ورود يا جابجايي يا ترک شرکت و محل و واحد خدمت (در مورد جابه جايي پرسنل محل جديد و قديم افراد) را به واحد ICT اعلام نمايد.
در زمان ترک يا پايان خدمت پرسنل تامين کنندگان کالا و خدمات در واحدهاي سازماني مختلف، مدير واحد مربوطه موظف است نام پرسنل مربوطه را به همراه نام پيمانکار از طريق ايميل به اطلاع واحد ICT برساند.
الزامات ارائه درخواست دسترسي به خدمات و تجهيزات ICT چیست؟
در صورتيکه متقاضي استفاده از خدمات يا تجهيزات ICT، تامين کننده کالا يا خدمات باشد، درخواست بايد از طريق مدير ارشد
ميزبان به همراه مدت استفاده و مشخصات تامين کننده مورد نظر از طريق ايميل به واحد ICT ارسال شود.
کنترل دسترسی به خدمات
هر زمان که رياست واحد ICT تشخيص دهد :
اعطاي يک دسترسي يا اجراي درخواستي از سوي واحدهاي ديگر ممکن است باعث بروز يک مشکل يا رخنه در امنيت اطلاعات شرکت گردد، مجاز است جلوگیری کند.
برای جلوگیری میتواند از نماينده مديريت در سيستم مديريت امنيت اطلاعات درخواست تشکيل جلسه کميته اجرايي جهت بررسي موضوع را بنمايد.
در اين حالت برآورده ساختن درخواست مورد نظر مطابق تصميم نهايي اين کميته خواهد بود.
در زمان اعلام جابه جايي کارکنان از واحدي به واحد ديگر از طرف مديريت منابع انساني و پشتيباني، واحد ICT موظف است:
دسترسي هاي افراد به نرم افزارهاي تحت شبکه و سيستم اشتراک فايل را تا زماني که براي دسترسي هاي پست جديد مدير واحد مقصد مجدد درخواست ايجاد دسترسي نداده است حذف نمايد.
همچنین به تمام کارکنان شرکت بایستی رمز کاربری و عبور تعلق بگیرد.
تهیه و تدوین روش اجرایی تخصصی ایزو 27001
جهت تهیه و تدوین روش اجرای تخصصی در این حوزه میتوانید با کارشناسان هینا سرت در تماس باشید.
ما 24 ساعته پاسخ گوی شما هستیم.
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگوها شرکت کنید؟در گفتگو ها شرکت کنید.