فروش جزوه کنترل امنیت شرکت

 
اطلاعات در سازمان‌ها، مؤسسات پيشرفته و جوامع علمي، شاهرگ حياتي محسوب مي‌گردد.
 دستيابي به اطلاعات و عرضه مناسب و سريع آن، همواره مورد توجه سازمان‌هايي است که اطلاعات در آن‌ها داراي نقش محوري و سرنوشت‌ساز است.
سازمان‌ها و مؤسسات بايد يک زيرساخت مناسب اطلاعاتي براي خود ايجاد كنند و در جهت سازماندهی اطلاعات در سازمان خود حرکت نمايند.
 
تعريف لغوي سند
سند در لغت به معناي «تكيه گاه» و هر چيزي است كه بتوان به آن استناد جست.
 
تعریف سند
سند عبارت است از حقایق کتبی در خصوص وقایع و معاملات سازمان که ممکن است در فرمهای چاپی ،کارت ،اوراق،کاغذ یا کتاب منعکس شود. بنابراین هر شیءقابل استناد مثل نوارهای ضبط صوت ، فیلم، میکروفیلم و...مادام که قابل استناد باشند سند محسوب می شوند.
 
تعريف سند از نگاه قانون تاسيس سازمان اسناد و كتابخانه ملي
تبصره ماده اول قانون تاسيس: اسناد مذكور در اين ماده شامل كليه اوراق، مراسلات، دفاتر، پرونده ها، عكسها، نقشه ها، كليشه ها، نمودارها، فيلمها، ميكروفيلم ها، نوارهاي ضبط صوت و ساير اسنادي است كه در دستگاه دولت تهيه شده و يا به دستگاه دولت رسيده است.......
 
تعريف سند دولتي
هر اطلاعي كه در يك سازمان دولتي و يا وابسته به آن، در راستاي انجام وظايف اداري و يا ماموريتهاي سازماني و يا به موجب الزام قانوني توليد ، ارسال و يا دريافت گردد، سند دولتي ناميده مي شود.
 
تعريف اسناد الكترونيكي
اسناد الكترونيكي  اسنادي هستند كه به روش رايانه اي توليد(created) ، منتقل و مرتبط(communicated) و نگهداري(maintained) شده اند. آنها ممكن است به شيوه الكترونيكي متولد شده (born digital)و يا از شكل اصلي خود به فرم الكترونيكي در آمده باشند.( مثل اسكن از پرونده هاي كاغذي.)
 
تعريف مديريت اسناد
مديريت اسناد عبارت است از تهيه و تنظيم و اجراي برنامه ي لازم براي تسهيل و تسريع و دست يافتن به مكاتبات و اسناد و مدارك موردنياز از مرحله ايجاد تا امحاي اوراق زائد.
 
 
 
 
 
ارکان سند:
1-امضاء                     
2-تاریخ               
3-شماره
اعتبارهر سند به ترتیب اولویت در اکثر مواقع به وجود امضاء،تاریخ و شماره و در بعضی از اسناد به مهر سازمان بستگی دارد.
امضاء كننده نامه مسئول متن نامه است.
تاریخ هر نامه در بعضی از موارد اعتبار زمانی آن را تعیین می کند مانند تاریخ اجرای مفاد یک بخشنامه.
شماره نامه برای رعایت نظم و ترتیب و سهولت مراجعه ی به آن است.
 
اصول و روش طبقه بندي اسناد:
سند به چهار دسته به ترتیب زیر به منظور حفظ و جلوگیرى از افشا شدن ، طبقه بندى مى شود:
1 ـ بـکـلى سـرّى ؛ اسـنـادى اسـت کـه افشاى غیر مجاز آن ، باعث وارد آمدن ضربه هاى سنگین و اساسى و بروز خسارات و خطرات جبران ناپذیر به منابع کشور گردد.
2 ـ سـرّى ؛ اسـنـادى است که افشاى غیر مجاز آن ، زیان عمده اى به امنیت و سیستم دفاعى کشور مى رساند و یا پیروزى در حمله ها را به مخاطره افکند.
3 ـ خـیـلى مـحـرمـانـه ؛ اسـنـادى اسـت کـه افـشـاى غـیـر مـجـاز آن ، بـه مسائل امنیتى و دفاعى خسارت وارد سازد
4 ـ مـحـرمـانـه ؛ اسـنـادى اسـت کـه افـشـاى غـیـر مـجـاز آن در مـیـان مـردم آزاد نـیـسـت و فـقـط پرسنل متخصّص هر رده در رابطه با کار خود از آن آگاه مى شوند.
 
معتبر بودن سند
•         اطمينان از چهار ويژگي قابليت استناد به سند را تضمين مي كند:
•         اصالت Authenticity  ( بازنماي واقعي از محتوا، توليد كننده و زمان ايجاد و يا ارسال باشد)
•         اعتبار  Reliability (از منبع مسئولي صادر شده باشد)
•         يك پارچگي  Integrity (مخدوش نشده باشد)
•         قابليت استفاده Usability  (بتوان به آن دسترسي يافت)
•          
تعریف پرونده
پرونده عبارت است از مجموعه ای از اسناد و مدارک مربوط به یک موضوع ،شخص یا سازمان که بترتیب خاصی در یک پوشه یا کلاسور نگهداری شده است.
 
تعریف آرشیو
آرشیو عبارت است از محل نگهداری دائمی اسناد و مدارک گران بهایی که از نظر اداری، حقوقی، مالی، علمی، تاریخی و فرهنگی ارزش نگهداری دائمی را دارند.
 
تعریف بایگانی
بایگانی عبارت است از فن اداره ، نظارت وحفاظت اسناد و مدارک سازمان به منظور نگهداری و مراجعه.
 
وظیفه بایگانی
وظیفه بایگانی در هر سازمان طبقه بندی اسناد ،ثبت و ضبط و کنترل آنهاست و این وظیفه از مرحله دریافت سند آغاز و تا زمانی که به علت سلب ارزش و برطبق مقررات از بین می رود و یا به علت ارزش استثنایی در محل معینی برای همیشه نگهداری می شود دوام خواهد یافت.
 
اصول بایگانی و حفاظت اسناد
•         1- آسان بودن
•         2- قابلیت اجرا
•         3- قابلیت انعطاف
•         4- دقت و سرعت
•         5- افراد با صلاحیت
•         6- نظم اصولی و منطقی
•          
اصل آسان بودن
به موجب این اصل سیستم بایگانی و نحوه تنظیم مدارک و پرونده ها بایستی آسان و قابل درک بوده و با صرف اندکی وقت مفهوم گردد.
 
اصل قابلیت اجرا
براساس این اصل سیستم مورد استفاده بایستی با توجه به نوع و ماهیت کار و امکانات در دسترس و در عمل قابل پیاده شدن باشد.
 
اصل قابلیت انعطاف
به موجب این اصل سیستم بایگانی باید قابلیت تطابق با تغییرات و تحولات را داشته باشد و در این زمینه نیز پیش بینی لازم را انجام داده باشد.
 
اصل دقت و سرعت
سیستم بایگانی و روشهای مورد عمل بایستی به نحوی باشند که در عین دقت و صحت ،امکان تسریع در عمل را نیز میسر سازند.
 
اصل افراد با صلاحیت
کارکنان بایگانی بایستی دارای شرایط لازم برای احراز این شغل بوده و مهارت و تجربه کافی را در این زمینه داشته باشند.
 
اصل نظم اصولی و منطقی
•         در تشکیل پرونده ها و تنظیم مطالب آنها ،بایستی از یک نظام اصولی و منطقی پیروی شود.رعایت نکات زیر توصیه می شود :
•         الف- وجود ارتباط منطقی بین عنوان پرونده و موضوع نامه های مندرج در آن
•         ب- رعایت تقدم و تأخر در شماره و تاریخ نامه ها
•         ج- حفظ یک نسخه از هر نامه و حذف نسخه های اضافی
•         د- رعایت حد متعادل برای قطر هر پرونده
 
فرمت هاي هفت گانه حفاظت اسناد و مدارك
1 ـ دقـت در ارسـال اسـنـاد طـبـقـه بـنـدى شـده ؛ در حـمـل یـا ارسـال اسـنـاد طـبـقـه بـنـدى شـده بـا تـوجـه بـه نـوع طـبـقـه بـنـدى نـکـات زیـر قابل توجه است :
2 ـ اسـنـاد در پـاکـتـهـاى لاک و مـهـر شـده قـرار داده شـود و هـمـراه فـردى صـلاحـیـتـدار و مـطـمـئن ارسال شود. البته گاه لازم است با اسکورت مسلّح انجام گیرد.
3 ـ ارسال مدارک مطابق آیین نامه مربوطه صورت گیرد.
4 ـ بـراى حـمـل اسـنـاد طـبـقـه بـنـدى شـده ، حـتـمـاً از کـیـفـهـاى سـامـسـونـت رمـزى و یـا قفل دار محکم استفاده شود و از پوشه و پاکت به تنهایى استفاده نگردد.
5 ـ اسـنـاد بـا درخـواسـت تـلفـنـى افـراد نـبـایـد ارسـال شـود، بـلکـه فـرسـتـنـده مـدارک ، از قبل با کسى که اسناد به دست او خواهد رسید، تماس گرفته و او را در جریان قرار خواهد داد.
6 ـ از حمل بى مورد اسناد و مدارک به مکانهاى عمومى پرهیز شود.
7 ـ در حمل اسناد با موتور، کیف حامل اسناد را در جلوى موتور در معرض دید قرار دهید.
چرا اسناد کاغذی خود را به داده های الکترونیکی تبدیل كنيد؟  کاهش هزینه های ذخیره سازی  کاهش هزینه های مدیریت داده ها  بازیابی اطلاعات و دسترسی سریعتر  جلوگيري از گم شدن يا جابجا شدن اسناد   مدیریت و كاتلوگ كردن اطلاعات بطور موثرتر  تطابق با الزامات قانونی  به اشتراك گذاشتن اطلاعات با شركا، ادارات متعدد و مشتریان  آمادگی برای مدیریت ریسک و تهيه نسخه پشتيبان (back up)  پیشگیری از آسیب  ديدن مدارك  آرشیو اسناد حساس یا با ارزش  حفظ و نگهداری اسناد  کشف حقوقی
 
ریسک و مدیریت ریسک
بررسي عوامل و تشخیص نقاط حادثه خيز و خطرآفرين در واحدهاي اطلاعاتي سازمانها به منظور پيشگيري از بروز حوادث، از اهميت ويژه اي برخوردار است.
 
ریسک چیست؟
   احتمال ضرر و زیانی که متوجه یک دارایی سازمان (دارایی شامل سخت افزار، نرم افزار، اطلاعات ، ارتباطات و کاربران) است.  تاثير منفى ناشى از يك آسيب پذيرى و در نظر گرفتن احتمال وقوع و اثر آن در فرآيندهاى يك سيستم.  امكان وقوع يك خسارت و زيان اعم از مالى و يا غير مالى در نتيجه انجام يك كار.  هر عامل که در پيشامدهاي ممکن آینده انحراف ایجاد کند.  
 
          نکته: وجه مشترک در مفهوم ریسک،عدم قطعیت ناشی از مقیاس ناپذیری است. با این وجود این عدم قطعیت به معنای غیر قابل محاسبه بودن این ریسک ها نیست.
 
مدیریت ریسک چیست؟
 
•          مديريت ريسك ، يك مديريت مهم و ضرورى محسوب مى شود كه تصميم گيرى دقيقى را بر اساس ميزان ريسك و خطر ميسر مى سازد و در اكثر نقاط دنيا توسط پرسنل اجرايى IT مورد بهره بردارى قرار مى گيرد.
•          مدیریت ریسک یعنی شناسایی؛ ارزیابی ؛ تجزیه و تحلیل ؛ چگونگی رفتار و اداره کردن ریسک.
 
      مديريت ريسك بعنوان يك وظيفه مديريتي
 
اهداف کلی که یک سازمان در مدیریت ریسک به دنبال آن می باشد عبارتند از:
 
•          بقاء سازمان و کاهش ضرر و زیان وارده به سازمان.
•          عدم توقف فعالیت های جاری یا  عمليات و يا ايجاد حداقل تاخيرات.
•          واكنش سريع به رويدادهای امنیتی ایجاد شده.
•          
تحلیل مخاطرات: تعیین مخاطرات که لیست مخاطرات موجود و ممکن را تولید می ند. تخمین مخاطرات که به هر مخاطره ارزشی(عددی، کیفیتی و...) تخصیص می‌دهد. ارزیابی مخاطرات که بر مبنای ارزش مخاطره، احتمال رخداد و عواقب آن، مخاطرات را به شکل عددی محاسبه می‌کند.
با ارزیابی ریسک‌ها، تاثیر احتمال رخداد آن تهدیدات در برابر میزان ارزش آن دارایی تعیین می شود و می توان اولویت ریسک‌ها و تهدیداتی که برای داراییهای سازمان وجود دارد را تعیین کرد.
 
امنيت اطلاعات (Information Security)
امنيت اطلاعات به معني محافظت از سيستم هاي اطلاعاتي در مقابل تلاش هاي افراد غير مجاز براي دسترسي به اطلاعات يا دستكاري اطلاعات مي باشد.
امنیت اطلاعات مشكل عمومی اكثر مؤسسات دولتی و غیردولتی، بانك‌ها و... جهان بود و هیچ‌كس نمی‌تواند ادعا كند كه دستگاه‌ها و كاربران زیردست و زیرمجموعه او از نظر اهمیت و خسارت مصون می‌باشد. با توجه به رشد روزن افزون فناوری اطلاعات و فنون كامپیوتری نشان داده كه مدعیان چنین امنیتی، بیشتر از دیگران مورد تعرض قرار نگرفته‌اند. اطلاعات می‌تواند در بخش‌های ذخیره، انتقال، به اشتراك‌گذاری و پردازش مورد تهدید واقع شوند عدم وجود امنیت برای اطلاعات در هر صورتی كه ذخیره ,منتقل ویا پردازش شوند عواقبی مانند عدم اعتماد كاربران به استفاده از سیستم‌های اطلاعاتی به خصوص در تعاملات مالی، امكان عملی شدن نیات و تهدیدات خرابكارانه داخلی و خارجی به دارایی‌های اطلاعاتی سازمان ازجمله، تسهیلات پردازش اطلاعات و تجهیزات اطلاعاتی و بروز ضررهای مالی ناشی از حملات را درپی‌دارد.
بخش قابل توجهی از وضعیت نامطلوب امنیت اطلاعات در سازمان‌ها، به‌واسطه فقدان یك سیستم مدیریتی امنیت اطلاعات و زیرساخت‌های آن از قبیل نظام ارزیابی و مدیریت مخاطرات یا ریسك‌های امنیتی، و سایر زیرساخت‌های مرتبط با امنیت اطلاعات سازمان می‌باشد. عدم توجه به امنیت، از یك سو موجب بروز اخلال در عملیات و عملكرد صحیح سازمان شده و باعث كاهش اعتبار و بهره‌وری آن خواهد گردید و از بعد دیگر موجب اتلاف سرمایه‌های سازمان خواهدشد. پس اهمیت امنیت اطلاعات را باید به عنوان یكی از مؤلفه‌های ساز و كار كلی توانمندسازی سازمانی به حساب آورد.
 
اهمیت امنیت اطلاعات اهمیت امنیت در زندگی روزمره : آرامش در زندگی، بدون امنیت امکانپذیر نیست. اهمیت امنیت در سازمانها: گسترش استفاده از سیستم  های کامپیوتری در سازمان ها و نیزنقش اطلاعات به عنوان کالایی با ارزش در تجارت امروز. امنیت از دیرباز یکی از اجزای اصلی زیرساختهای فناوری اطلاعات به شمار می‌رفته است
 
سطوح امنيت: سطوح اصلي امنيت    ( فردي – اجتماعي – ملي – منطقه اي - بين المللي)     سطوح فرعي امنيت    ( شغلي – كودكان – زنان-جاده ها- تغذيه – پارك ها- فرهنگي – اقتصادي- نظامي)  
امنیت اطلاعات اصولاً در صورت رعایت سه خصیصه زیر تامین می‌شود : محرمانه بودن اطلاعات: یعنی اطمینان از اینكه اطلاعات می‌توانند تنها در دسترس كسانی باشند كه مجوز دارند.
  صحت اطلاعات: یعنی حفاظت از دقت و صحت اطلاعات و راههای مناسب پردازش آن اطلاعات.
  در دسترس بودن اطلاعات: اطمینان از اینكه كاربران مجاز در هر زمان كه نیاز داشته باشند، امكان دسترسی به اطلاعات و تجهیزات وابسته به آنها را دارند.
 
 
اقدامات انجام شده در سیستم مدیریت امنیت اطلاعات
ازمهمترین اقدامات انجام گرفته شده در سیستم مدیریت امنیت اطلاعات می توان به موارد ذیل اشاره کرد: تعیین و ارزش گذاری سرمایه های اطلاعاتی موجود در سازمان شناسايي، ارزيابي و درجه بندي مخاطرات و آسيب پذيري هاي دارايي هاي اطلاعاتي. ارائه طرح مديريت و کنترل مخاطرات با توجه به ارزش و اهميت دارايي هاي اطلاعاتي پياده سازي راه کار عملي به منظور کاهش يا جبران مخاطرات.
 
راه‌كارهای ایجـاد امنیت اطلاعات سازمان ایجاد سیستم مدیریت امنیت اطلاعات 1- ایجاد چارچوب مدیریتی برای اطلاعات. 2- شناسایی و ارزیابی مخاطرات امنیتی. 3- انتخاب و پیاده‌سازی كنترل‌های امنیت.
 
امنيت اطلاعات ويروسهاي اينترنتي افراد مزاحم(Hackers)
 
هکرها چه کسانی هستند؟
هكر به معناي نفوذگر. به شخصي که هدف اصلي او نشان دادن قدرت خود به کامپيوتر و ساير ماشين ها است وارد شدن به سيستم و يا شکست دادن محاسبات , کنجکاوي در اطلاعات محرمانه از خصوصيات يک هکر است. هکر يک برنامه نويس کنجکاو است که صدمه اي وارد نمي کند و حتي باعث تحکيم انتقالات مي شود.
 
خصوصیات هکرها     
•          وارد شدن به سیستم
•          شکست دادن محاسبات
•          کنجکاوی در اطلاعات محرمانه
 
هکر ها به چند گروه تقصيم مي شوند :
 
1 - گروه نفوذگران کلاه سفيد ( White Hat Hacker Group ) اين گروه از هکرها در واقع همان دانشجويان و اساتيد هستند که هدفشان نشان دادن ضعف سيستم هاي امنيتي شبکه هاي کامپيوتري مي باشند اين گروه به نام هکرهاي خوب معروف هستند. اين دسته نه تنها مضر نيستند بلکه در تحکيم دايواره حفاظتي شبکه ها نقش اساسي دارند کلاه سفيد ها داري خلاقيت عجيبي هستند معمولا هر بار با روش جديدي از ديواره امنيتي عبور مي کنند.
 
2 - گروه نفوذگران کلاه سياه ( Black Hat Hacker Group ) نام ديگر اين گروه Cracker است. کراکر شخصی که دارای دانش وسیع و پیشرفته در زمینه علوم کامپیوتر بوده و از مهارت های نفوذگری خود فقط در جهت تخریب ، سرقت اطلاعات ، مزاحمت و عملیات غیر قانونی استفاده می نمايد. هميشه هويت اصلي اين گروه پنهان است.
 
3 - گروه نفوذگران کلاه خاکستري ( Gray Hat Hacker Group ) نام ديگر اين گروه Whacker مي باشد هدف اصلي واکر استفاده از اطلاعات ساير کامپيوترها به مقصود مختلف مي باشد و صدمه اي به کامپيوتر ها وارد نمي کنند. اين گروه کدهاي ورود به سيستم هاي امنيتي را پيدا کرده و به داخل آن نفوذ مي کنند اما سرقت و خراب کاري جز کارهاي کلاه خاکستري نيست. بلکه اطلاعات را در اختيار عموم مردم قرار مي دهند. در سال ۱۹۹۴ يک هکر ژاپني به سايت Nasa امريکا نفوذ پيدا کرد و تمامي اسناد محرمانـه متعلق به اين سازمان را ربود و به طور رايگان بر روي اينترنت در اختيار عموم قرار داد.
 
4 - گروه نفوذگران کلاه صورتي ( Pink Hat Hacker Group ) نام ديگر اين گروه Booter مي باشد. بوتر ها افرادي لوس و بي سودي هستند که فقط قادرند در سيستمها اخلال بوجود آورند و يا مزاحم ساير کاربران در سالنهاي چت شوند. کلاه صورتي ها اغلب جوانان عصباني و جسوري هستند که ازنرم افزارهاي ديگران استفاده مي کنند و خود سواد برنامه نويسي ندارند. ولي در بعضي مواقع همين هکرهاي کم سواد مي توانند خطرهاي جدي براي امنيت باشند.... بسياري از هکرها انسانهاي هستند که خود را بسيار آزاد مي داند و قصد دارند خود را در دنياي ديگر بر تر سازند.
هيچ کس نمي تواند قدرت هکرها را در نفوذ به سيستمها ناديده بگيرد...
 
 
Spies:  شخصی که دارای مدارک دانشگاهی و پیشرفته در زمینه علوم کامپیوتر بوده و فقط در صورت دریافت پول اقدام به نفوذ و هک یک سازمان و یا سرقت اطلاعات اشخاص حقیقی و حقوقی می نماید و به هیچ عنوان به صورت تصادفی یک سایت را هک نمی نماید.