نقش مديريت امنيت اطلاعات در كاهش ريسك عملياتی مؤسسات مالی

  • صفحه اصلی
  • نقش مديريت امنيت اطلاعات در كاهش ريسك عملياتی مؤسسات مالی
فصلنامه 5

نقش مديريت امنيت اطلاعات در كاهش ريسك عملياتی مؤسسات مالی

فعالیت بانک‏ها، و مؤسسات مالی و اعتباری در حوزه‏های مختلف فعالیت از جمله اعطای تسهیلات، سرمایه‏گذاری، صدور انواع اوراق قرضه، صدور انواع گواهی سپرده، صدور ضمانت‏نامه‏ها و گشایش انواع اعتبارات اسنادی و یا به عبارت دیگر، اقدام به ایفای نقش در بازارهای پول و سرمایه، آنها را در معرض مخاطرات و ریسک‏های خاص اینگونه فعالیت‏ها قرارداده است. از جمله ریسك‏های با اهمیت می‏توان به ریسك عملیاتی و اعتباری اشاره نمود.

نیاز روزافزون مؤسسات مالی و اعتباری به اطلاعات صحیح و به‏روز در تعاملات و رشد سریع فن‏آوری‏های نوین در عرصه اطلاعات و ارتباطات در عصر حاضر، ضرورت استقرار یك نظام مدیریت امنیت اطلاعات را در كاهش ریسك‏های احتمالی بیش از پیش نمایان می‏سازد. این نوشتار سعی دارد ضمن اشاره به برخی از ویژگی‏های این نظام مدیریتی به معرفی استانداردهای بین‌المللی موجود در این زمینه بپردازد.

مفهوم ریسك و مدیریت آن

یک سازمان ممکن است بوسیله یك یا مجموعه­ای از اتفاقات کوچک و بزرگ دچار آسیب شود. سوانح و خطرات، شرایطی هستند که به صور گوناگون، سازمان­ها را با قابلیت پذیرش ضرر و زیان در قبال آنها مواجه می­سازند. این ضررها ممکن است مربوط به سلامت کارکنان، ایمنی و عملكرد ماشین­آلات، تجهیزات یا کل تأسیسات یک کارخانه، محیط زیست، محصول، دارایی­های مالی و یا اطلاعات باشد و نیز می­تواند دارایی­های غیرمشهود یك سازمان مثل لطمه زدن به اعتبار و حیثیت آن را شامل شود.

ریسک، شامل ابعاد احتمالی قرار گرفتن در معرض یک سانحه، تکرار و طول مدت سانحه است و احتمالات حادث‏شدن یک واقعه را خواسته یا ناخواسته در نظر می­گیرد. از این‏رو ریسک را می‌توان به رویداد‌های غیر منتظره که معمولاً به صورت تغییر در ارزش دارایی‌‌ها یا بدهی‌‌ها می‌باشد، تعریف کرد.

مدیریت ریسک، فرایندی است که هدف آن کاهش آثار زیان‏آور یک فعالیت از طریق اقدام آگاهانه برای پیش‏بینی حوادث ناخواسته و برنامه‏ریزی برای اجتناب از آنها می‏باشد. بایستی توجه داشت كه:

  • ریسك قابل حذف نیست.
  • هدف از برنامه‏های مدیریت ریسك، رسانیدن ریسك به حدود قابل قبول است، نه حذف کامل ریسك.
  • و از نظر عملی، ریسك صفر وجود ندارد.

 

انواع ریسک‏:

مخاطرات و ریسک‏هایی كه سازمان‏ها با آن روبرو هستند به‏لحاظ نوع فعالیتی كه آنها انجام می‏دهند، می‏توانند متفاوت باشند. مهمترین مخاطرات و ریسک‏هایی که مؤسسات مالی و اعتباری با آن مواجه خواهند بود، عبارتنداز:

  • 1- ریسك اعتباری: ریسک مربوط به زیان‏های ناشی از عدم بازپرداخت یا بازپرداخت با تأخیر اصل یا فرع وام از طرف مشتری.
  • 2- ریسک بازار: ریسک مربوط به زیان‏های محتمل بر دارایی‏های مؤسسه براساس تغییرات و نوسانات عوامل بازار (مانند نرخ ارز، نرخ بهره، قیمت سهام و … )
  • 3- ریسک عملیاتی: عموماً ناشی از اشتباهات انسانی یا اتفاقات و خطای تکنیکی تعریف می‏شود. این ریسک شامل تقلب (موقعیتی که معامله‏گرها اطلاعات غلط می‏دهند)، اشتباهات مدیریتی و فرایندهای ناکافی یا ناصحیح داخل سازمان می‏باشد. خطای تکنیکی ممکن است ناشی از نقص در اطلاعات، پردازش معاملات، یا به طور کلی هر مشکل دیگری كه در سطح سازمان روی می‏دهد، باشد. ریسک‏های عملیاتی ممکن است منجر به ریسک‏های اعتباری و بازار شوند.
  • 4- ریسک قانونی: زمانی مطرح می‏شود که یک معامله از نظر قانونی قابل انجام نباشد. ریسک قانونی در کل با ریسک اعتباری مرتبط است زیرا طرفین معامله در صورت زیان در یک معامله به دنبال بستر قانونی برای زیر سؤال بردن اعتبار معامله می‏گردند.
  • 5- ریسک کفایت سرمایه: عموماً ابعاد مختلف ریسك در شركت‏های مالی به طور مستقیم یا غیر مستقیم تحت تأثیر هزینه سرمایه و میزان سرمایه است. سرمایه یكی از عوامل كلیدی در تعیین میزان امنیت بانک‏ها و مؤسسات مالی و اعتباری است. سرمایه كافی در شركت‏های مالی به عنوان یك ابزار امنیتی برای سایر ابعاد ریسك در طول دوره فعالیت تجاری بانک و مؤسسه است. سرمایه، نقاط ضعف محتمل در سایر ابعاد مالی شركت را جذب می‏كند. لذا، سرمایه مبنایی برای حفظ تأمین‏كنندگان منابع مالی شركت به‏حساب می‏آید.
  • 6- ریسک نرخ بازده: ریسك نرخ بازده عبارت است از تغییری كه در ارزش اوراق قرضه ناشی از تغییر در نرخ بازده آن اتفاق می‏افتد. از طرف دیگر احتمال تغییر در دریافت‏های آتی حاصل از فروش یك اوراق بهادار و همچنین عدم توان پرداخت سود در آن به ریسك بازده اشاره دارد. توان تولید شركت، تغییر در تقاضا و شرایط رقابتی، تغییر در ریسك ملی و ساختار اقتصادی، ریسك سیاسی، همه و همه می‏تواند سود شركت‏ها و به تبع آن توان پرداخت سود بیشتر به اوراق بهادار را تحت تأثیر قرار دهد. به نوعی كه تمامی تغییرات احتمالی در وقایع بازرگانی، در نهایت تأثیر خود را در ریسك سهام به جا می‏گذارد.
  • 7- ریسک نقدینگی: ریسک نقدینگی دارایی، که با نام ریسک نقدینگی بازار محصول هم شناخته می‏شود، زمانی ظاهر می‏شود که معامله با قیمت پیش‏بینی‏شده قابل انجام نباشد (به دلیل تغییر وضعیت نسبت به زمان معامله عادی). این ریسک در بین گونه‏های دارایی‏ها و در زمان وابسته به شرایط بازار تغییر می‏کند. بعضی دارایی‏ها مانند ارزهای اصلی یا اوراق قرضه، بازارهای عمیقی دارند و در اغلب مواقع به راحتی با نوسان کمی در قیمت، نقد می‏شوند اما این امر در مورد همه دارایی‏ها صادق نیست. در مورد بانک‏ها، ریسک نقدینگی به دلیل کمبود و عدم اطمینان در میزان نقدینگی بانک ایجاد می‏شود. حالت دیگری که باعث افزایش ریسک نقدینگی می‏شود این است که بازارهایی که منابع بانک در آنها قرار دارد دچار کمبود نقدینگی شوند. ریسک نقدینگی با سایر ریسک‏های مالی مختلط است و به همین دلیل سنجش و کنترل آن با دشواری روبرو است.
  • 8- ریسک پول یا نرخ ارز: ریسك نرخ ارز عبارت است از احتمال از دست دادن اصل و فرع سرمایه به دلیل كاهش قدرت خرید پول. تورم از طرف دیگر نرخ بهره را نیز افزایش می‏دهد. این امر به‏نوبه خود موجب كاهش ارزش اوراق بهادار خواهد شد.

شكل 1، ریسک‏هایی كه بانك‏ها و مؤسسات مالی و اعتباری با آن مواجه هستند را نشان می‏دهد. همانطور كه در این شكل مشاهده می‏شود، یكی از عمده مخاطرات ناشی از ریسك عملیاتی، ریسك فناوری است كه در این مقاله محور اصلی بحث می‏باشد.

شكل 1- نمودار ریسك‏های احتمالی بانك‏هاو مؤسسات مالی

مدیریت ریسک‌های عملیاتی با مدیریت ریسک‌های اعتباری و بازار متفاوت است.  مؤسسات مالی و اعتباری می‌توانند برای ارزش‌گذاری ریسک عملیاتی گزینه‌هایی را انتخاب کنند و از طریق یکی از رویکردهای زیر آن را ارزیابی کنند:

  • رویکرد شاخص مبنا: سرمایه با استفاده از یک شاخص نماینده (مانند درآمد خالص) برای ارائه ریسک عملیاتی کلی، تخصیص داده می‌شود.
  • رویکرد استانداردشده : سازمان به خطوط کاری خاص تقسیم می‌شود. هرکدام از این تقسیمات یک شاخص برای خود دارند (مثلاً متوسط سالانه دارایی‌ها، درآمد خالص یا نرخ خطا). این روش نیازمند ردیابی و ردگیری داده‌های ضررها و ارزیابی مدیریت است.
  • رویکرد ارزیابی درونی: در این روش از تحلیل‌های ریسک کمی استفاده می‌نماید. سازمان‌های ارائه‏‌دهنده خدمات مالی نیاز خواهند داشت با توجه به تأثیر سوانح تبادلات بر روی کسب و کار، آنها را دسته‌بندی نمایند. پایگاه داده‌های «ضررها» برای محاسبه احتمال و شدت خسارت مورد انتظار در هرکدام از خطوط کسب و کار مورد استفاده قرار می‌گیرد. هزینه سرمایه بر مبنای تجربه خسارت‌های عملیاتی در یک چارچوب ارزیابی شارژ می‌شوند.

فن‏آورى اطلاعات و مدیریت مخاطرات ناشی از آن:

عصر كنونی را بایستی بدون شک عصر اطلاعات و ارتباطات نامید. گسترش روزافزون فن‏آوری ارتباطات و اطلاعات و همگراشدن آنها، ظهور اینترنت و رسانه‏های مرتبط گواهی بر این مدعاست. تفاوت این عصر با سایر اعصار را بایستی در سرعت تغییرات فن‏آوری‏ها، و رشد سریع و چشمگیر علوم دانست كه همه این‏ها در سایه ارتباطات وسیع و دسترسی همگانی به اطلاعات میسر گردیده‏است. فن‏آورى اطلاعات، به نحو فزاینده‏اى بر چگونگى عملكرد و نحوه كارآیى سازمان‏ها و شركت‏ها اعم از دولتى و خصوصى اثرگذاشته است، و نقش سیستم‏هاى مبتنى بر فن‏آورى اطلاعات در انجام كارآمد امور ادارى و تجارى انكار ناشدنى است.

در حال حاضر، اطلاعات مهمترین گنجینه برای سازمان‏ها و اشخاص به حساب می‏آید و از بین رفتن و حتی آسیب‏دیدن آن منجر به صرف زمان، هزینه و نیروی کار غیر قابل تصوری جهت دستیابی به آنها می‏شود و در برخی موارد اصول کاری و موجودیت یک سازمان را مورد تهدید قرار می‏دهد. فن‏آوری اطلاعات همانند سكه می‏تواند دو رو داشته باشد، هم فرصت و هم تهدید! اگر به همان اندازه‏ای که به فكر توسعه و فراگیری آن هستیم، به ایمن‏سازی آن توجه نکنیم، می‏تواند به سادگی تبدیل به یک تهدید و مصیبت بزرگ شود. تجسم مسائل زیر می‏تواند ما را در درك بهتر موضوع یاری رساند:

  • مبالغ حساب‏ها با هك شدن اطلاعات حساب‏های بانکی، کلمات عبور کارت‏های بانکی و … جا به جا شود.
  • اطلاعات موجود در ثبت اسناد و املاک جا به جا شده، تغییر یابد و یا حذف شود.
  • دانش فنی یک کارخانه که با یک فرمولاسیون خاص دارای برند خوبی است، به سرقت رود.
  • تمامی اطلاعات دانشجویان یك دانشگاه دستكاری شده و یا تغییر یابد و یا امكان دستیابی در نتایج آزمون‏های ورودی به دانشگاه‏ها فراهم شود.
  • و نظایر آن …

بنابراینIT به همان اندازه که باعث رفاه و افزایش توانمندی‏های ما می‏شود، می‏تواند خطرناک باشد و سازمان و حتی کشور را فلج نماید. لذا جهت حفظ اطلاعات و مدیریت آنها و جلوگیری از هر گونه سوء استفاده می‏بایست بر اساس آخرین دستاوردهای روز دنیا و استانداردهای مربوطه نسبت به ایمن‏سازی آن اقدام كرد.

همان‏طور كه سیستم‏هاى مبتنى بر ICT و IT امروزه به عنوان اصلى‏ترین عامل مؤثر در تعیین برنامه‏ها و تصمیم‏گیرى‏های سازمان شناخته می‏شود، بهره‏گیرى از فن‏آورى اطلاعات در مدیریت ریسك و به تبع آن بكارگیرى تكنیك‏هاى مدیریت ریسك در فن‏آوری اطلاعات می‏تواند تأثیرى شگرف بر چگونگى سر و سامان دادن به فعالیت‏هاى سازمان‏ها و مدیریت سیستم‏هاى مكانیزه داشته باشد.

اطلاعات و مدیریت امنیت آن:

اطلاعات، به‏لحاظ معنایی طیف متنوعی را از كاربرد روزمره تا محیط‏های فنی دارد. اطلاعات مجموعه‏ای از آگاهی‏هاست، اطلاعات چی، كجا، چطوری یك موضوع است و به معنای جزئیاتی است كه در موضوعی به آن نیاز داریم. در علوم رایانه اطلاعات، داده‏های پردازش شده است كه دارای ارزش و اعتبار می‏باشد. همان‏طور كه در بخش‏های گذشته به آن اشاره شد، نیاز روزافزون به اطلاعات و استفاده از فن‏آوری‏های اطلاعات و ارتباطات در تمامی سازمان‏ها و بنگاه‏های اقتصادی و بخصوص بانك‏ها و مؤسسات مالی و اعتباری و تهدیدات ناشی از بكارگیری آن، ضرورت داشتن یك نظام مدیریت امنیت اطلاعات را بیش از پیش بر ما نمایان می‌سازد.

همانگونه كه اشاره شد، ریسك‏هایی كه هر سازمان با آن مواجه است، بسته به زمینه فعالیت آن متفاوت است (گرچه ریسك‏های مشتركی نیز در این میان وجود دارد). شكل 2 میزان نسبی مخاطره‏پذیری سیستم‏های اطلاعاتی را بسته به نوع فعالیت آن سازمان نشان می‏دهد.

شكل 2- میزان نسبی در معرض ریسک بودن یک سیستم اطلاعاتی در بخش‌های مختلف

واضح است كه عدم توجه به تأمین امنیت فضای تبادل اطلاعات و برخورد نادرست با این مقوله، مانعی بر سر راه گسترش فضای مذكور در جامعه و جلب اعتماد مدیران در بكارگیری روش‏های نوین نظارتی و اطلاع‌رسانی خواهد شد. به همین جهت است كه ضرورت ایجاد یك نظام منسجم در سطح ملی در خصوص فضای تبادل اطلاعات و ایجاد امنیت آن با در نظر گرفتن ویژگی‏های خاصی كه دارد، بیش از پیش مشخص می‏شود. برخی از این ویژگی‏ها عبارتند از اینكه:

  • امنیت فضای تبادل اطلاعات، مفهومی كلان و مبتنی بر حوزه‌های مختلف دانش است.
  • امنیت، با توجه به هزینه و كارایی تعریف می‌شود و مقوله‌ای نسبی است.
  • امنیت، متأثر از مجموعه آداب، سنن و اخلاقیات حاكم بر جامعه است.
  • امنیت در فضای تبادل اطلاعات، از روند تغییرات سریع فن‏آوری‏های مرتبط تأثیرپذیر است.

امنیت اطلاعات به مفهوم حفاظت و مراقبت از اطلاعات و سیستم‏های اطلاعاتی در مقابل هرگونه مخاطره و تهدید است. مخاطرات و تهدیدهای این حوزه شامل دسترسی، كاربرد، افشاء، قطع، تغییر یا انهدام غیر مجاز اطلاعات است. استاندارد ISO 27001 ، امنیت اطلاعات را حفظ محرمانگی، جامعیت یا صحت، و در دسترس بودن اطلاعات در مقابل مخاطرات، تهدیدها و آسیب‏پذیری‏ها تعریف می‏كند. جامعیت اطلاعات به مفهوم تأمین نمودن درستی و تمامیت اطلاعات و روش‏های پردازش است به عبارت دیگر اطلاعات فقط توسط افراد مجاز قابل تغییر باشد. محرمانگی بیان می‏دارد اطلاعات فقط در دسترس افرادی است كه مجاز به دسترسی به آنها هستند و در دسترس بودن به معنای دسترسی به اطلاعات توسط كاربر مجازاست، زمانی‏كه نیازمند آن اطلاعات است. علاوه براین‌ها سایر ویژگی‌ها از قبیل اصالت، قابلیت جوابگویی و اعتبار، انکارناپذیری، و قابلیت اطمینان اطلاعات نیز می‌توانند مشمول این حفاظت باشند.

در این راستا، امنیت اطلاعات از طریق اجرای مجموعه‌ای از كنترل‏ها كه شامل سیاست‏ها، عملیات، رویه‌ها، ساختارهای سازمانی و فعالیت‏های نرم‌افزاری است، حاصل می‌شود. این كنترل‌ها باید به‌منظور اطمینان از تحقق اهداف امنیتی مشخص هر سازمان برقرار شوند.

نظام مدیریت امنیت اطلاعات

بیشتر سازمان‌ها در مواجهه با تهدیدات امنیتی، سیاست خرید محصولات امنیتی مانند دیواره آتش و برنامه‌های ضد ‌ویروس و بکارگیری آنها در سیستم‌های رایانه‏ای را دنبال می‏كنند. اما استفاده از گران‏قیمت‌ترین محصولات امنیتی بدون شناخت و تحلیل دقیق نیازهای امنیتی، و استفاده از رویه‏های استاندارد در بکارگیری و کنترل سیستم‏های امنیتی و به‏روزرسانی مداوم این سیستم‌ها به تنهایی كارساز نخواهند بود.

نظام مدیریت امنیت اطلاعات (ISMS)، در مجموع یك رویكرد نظام‌مند به مدیریت اطلاعات حساس بمنظور محافظت از آنهاست. نظام مدیریتی مذكور باید شامل روش‏های ارزیابی، محافظت، مستند‌سازی و بازنگری باشد، كه این مراحل در قالب یك چرخه بهبود مستمر (PDCA) تحقق‏پذیر است. (چرخه یادشده كه به چرخه دمینگ نیز معروف است، نقش محوری در تشریح و تحقق استانداردهایISO  دارد‌.)

استانداردهای BS7799 و ISO 27001  استانداردهای بین‌المللی برای استقرار و بهبود سیستم مدیریت امنیت اطلاعات در سازمان‏ها به شمار می‌آیند. تاریخچه ورود این استانداردها با BS7799 شروع شده است كه در دوره خود كامل‏ترین و معروف‏ترین استاندارد در این زمینه بوده است. این استاندارد در سال 1987 توسط مؤسسه CCSC تدوین گردید، سپس با توجه به گذشت زمان و تجارب مختلف از سنجش میزان امنیت اطلاعات توسط CCSC و مرکز محاسبات بین‏المللی NCC و یک کنسرسیوم از کاربران، یک نسخه استاندارد امنیت با عنوان مستندات راهبری PD003 در انگلستان منتشر شد و نسخه بازنگری شده این استاندارد در سال 1995 با عنوان استاندارد ISO  ثبت گردید.

در فوریه سال 1998 نسخه دوم استاندارد BS7799 تحت عنوان سیستم مدیریت امنیت اطلاعات ISMS)) منتشر شد. در سال 2000 با افزودن الحاقیه‏ای به استاندارد BS7799  که به‏عنوان ISO  ثبت شده بود این استاندارد تحت عنوان راهنمای اجرای استاندارد امنیت اطلاعات ISO/IEC17799 به ثبت رسید. استاندارد BS7799 در سال 2002 مجدداٌ مورد بازنگری قرار گرفت و در نهایت آخرین نگارش استاندارد ISMS در 28 ژوئن سال 2005 تحت عنوانISO/IEC FDIS 27001:2005 (Draft BS7799-2:2005) توسط کمیته IST/33 سازمان بین‏المللی استاندارد ISO  منتشر شد.

استقرار و اجرای  سیستم مدیریت امنیت اطلاعات

فعالیت‌های مربوط به پیاده‌سازی سیستم مدیریت امنیت اطلاعات بر اساس چرخه دمینگ به همراه گروهای ذینفع و روابط آنها با یکدیگر در شکل 3 و جدول ذیل آن نشان داده شده‌است.

شكل 3- مدل سیستم مدیریت امنیت اطلاعات

فعالیت‌هایی که در هر مرحله از استقرار سیستم اجرا می‌شوند عبارتند از:

همانند نظام‏های مدیریت كیفیت، نظام مدیریت امنیت اطلاعات نیز در دو بخش فرایندها و محصولات مطرح است. بخش فرایندها بر طراحی و اجرای دستورالعمل‏های مدیریتی به‌منظور برقراری و حفظ امنیت اطلاعات استوار است و بخش محصولات، یك نظام مدیریتی است كه سازمان به‌منظور بكارگیری محصولات نرم‌افزاری معتبر در زیرساخت‏های فناوری اطلاعات خود برای برقراری و حفظ امنیت اطلاعات خویش از آن بهره می‌گیرد. چیزی كه این دو بخش را به هم پیوند می‌دهد میزان انطباق با بخش‏های استاندارد است كه در یكی از چهار رده حفاظت ناكافی، حفاظت حداقل، حفاظت قابل قبول و حفاظت كافی قرار می‌گیرد.

پیاده‌سازی ISMS در یك سازمان مراحل ذیل را در بر می‌گیرد:

  • آماده‏سازی اولیه: حصول اطمینان از همراهی مدیریت ارشد سازمان، انتخاب و آموزش اعضای تیم راه‌انداز.
  • تعریف نظام مدیریت امنیت اطلاعات‌: شامل تعریف چشم‌انداز و چهارچوب نظام در سازمان است.
  • ایجاد سند سیاست امنیت اطلاعات: شامل مجموعه‌ای از عبارات اجرایی در جهت پیشبرد اهداف امنیتی سازمان.
  • ارزیابی مخاطرات: شناسایی و ارزیابی سرمایه‌هایی كه نیاز به محافظت دارند و تعیین میزان آسیب‌پذیری اطلاعات و سرمایه‌های فیزیكی مرتبط.
  • آموزش و آگاهی‌بخشی‌: كاهش آسیب‌پذیری كاركنان مؤثر در حلقه امنیت اطلاعات از طریق آموزش.
  • آمادگی برای ممیزی: آگاهی از نحوه ارزیابی چارچوب مدیریتی سازمان و فراهم نمودن آمادگی برای انجام ممیزی.
  • ممیزی: شناسایی شرایط لازم برای اخذ گواهینامه در سازمان.
  • كنترل و بهبود مستمر: كنترل و ارتقاء اثر‌بخشی نظام مدیریتی پیاده‏سازی شده، مطابق مدل به‌رسمیت شناخته شده.

نتیجه‏گیری

متأسفانه مقوله امنیت در ایران چندان جدی گرفته نشده و حداکثر محدود به فروش و نصب دیواره آتش و آنتی‏ویروس است. اما در چند سال اخیر سازمان‏های معدودی اقدام به پیاده‏سازی راهكارهای امنیتی و استقرار استاندارد مدیریت امنیت اطلاعات نموده‏اند. امید است این استاندارد به كوشش سازمان‏ها و نهادهای وابسته و صاحب‏نظران حوزه فن‏آوری اطلاعات و سیستم‏های مدیریتی به شكل مؤثرتری بررسی و كاربردی شود.

هر چند بكارگیری نظام مدیریت امنیت اطلاعات و اخذ گواهینامه‏های مربوطه به‏تنهایی نشان‏دهنده برقراری امنیت كامل در یك سازمان نیست، اما استقرار این نظام مزایایی دارد.

  • در سطح سازمانی، تضمینی است برای التزام به اثربخشی تلاش‏های امنیتی در همه سطوح و نمایشی از تلاش‏های مدیران و كاركنان سازمان در این زمینه است‌.
  • در سطح قانونی، اخذ گواهینامه به اولیای امور ثابت می‌كند كه سازمان تمامی قوانین و قواعد اجرایی در این زمینه را رعایت می‌كند‌.
  • در سطح اجرایی، استقرار این نظام باعث اطلاع دقیق‏تر از سیستم‏های اطلاعاتی و ضعف و قوت آنها می‌شود. علاوه‌بر این چنین سیستمی استفاده مطمئن‌تر از سخت‌افزار و نرم‌افزار را تضمین می‌كند.
  • در سطح تجاری، تلاش‏های مؤثر سازمان به منظور حفاظت از اطلاعات، اطمینان خاطر بیشتری را در شركا و مشتریان فراهم می‌آورد.
  • در سطح مالی، این اقدام باعث كاهش هزینه‌های مرتبط با مسائل امنیتی و كاهش احتمالی حق بیمه‌های مرتبط می‌شود.
  • در سطح پرسنلی، افزایش آگاهی ایشان از نتایج برقراری امنیت اطلاعات و مسئولیت‏های آنها در مقابل سازمان از مزایای بكارگیری چنین نظامی است.

 

منابع

  • 1- جورج سادوسکای و دیگران، راهنمای امنیت فناوری اطلاعات، گروه مترجمین مهدی میردامادی، زهرا شجاعی، محمدجواد صمدی، دبیرخانه شورای عالی اطلاع‏رسانی، چاپ اول، 1384
  • 2- دشتی، افسانه، ” استانداردهای امنیت‌، آشنایی با استاندارد BS7799″، ماهنامه شبکه، شماره 54، خرداد ۱۳۸۴
  • 3- ذاکری، اسلامیان، “نگاهی اجمالی بر مدیریت ریسک در سیستم بانکی”، اداره آمار و برنامه‏ریزی بانک سینا، فروردین ماه 1388
  • 4- محمدى نوده، عبدالرحمن، ” نقش فن‏آورى اطلاعات در مدیریت ریسك”، itiran.com
  • 5- “نظام مدیریت امنیت اطلاعات (ISMS)”، شركت بهبود صنعت مهرگان behboudsanat.com
  • 6- شبكه اطلاع‏رسانی قاصدك، ghasedak.com
  • 7- سلیمانی، محسن، “مدیریت ریسك در مبادلات الكترونیك”، راهكار مدیریت، mgtsolution.com
  • 8- پورمند، علی، ” استانداردی برای مدیریت امنیت اطلاعات”، خبرگزاری فارس
  • 9- نوده فراهانی، محمدرضا، “مدیریت ریسك‏های استراتژیك لیزینگ”، روزنامه سرمایه، شماره 902، سال 1387
  • 10- نوده فراهانی، محمدرضا، “پیمان بین‏المللی نظارت بر امور بانكی (بازل)”، فصلنامه تخصصی داخلی ره‏آورد لیزینگ، شماره 4، سال 1389