Download
1 / 24
240 likes | 487 Views
حاکمیت امنیت اطلاعات در بانکداری. دانشگاه صنعتی امـــیرکبیر دانشکده مهندسی کامپیوتر و فناوری اطلاعات. سحر سلیمانی 90186568. رئوس مطالب. امنیت اطلاعات حاکمیت امنیت اطلاعات حاکمیت امنیت اطلاعات در بانکداری چارچوب حاکمیت امنیت اطلاعات در بانکداری. امنیت اطلاعات.
E N D
حاکمیت امنیت اطلاعات در بانکداری دانشگاه صنعتی امـــیرکبیردانشکده مهندسی کامپیوتر و فناوری اطلاعات سحر سلیمانی 90186568
رئوس مطالب • امنیت اطلاعات • حاکمیت امنیت اطلاعات • حاکمیت امنیت اطلاعات در بانکداری • چارچوب حاکمیت امنیت اطلاعات در بانکداری
امنیت اطلاعات ضرورت امنیت اطلاعات • محرمانگی • جامعیت • در دسترس بودن • عدم انکار • از دست دادن کسب و کار • سازمان ها بزرگترین خسارت دیدگان
حاکمیت امنیت اطلاعات Von Solmsو (2006) Rastogi: • « حاکمیت امنیت اطلاعات شامل چارچوب هایی برای تصمیم سازی و اندازه گیری کارایی است که اعضای هیئت مدیره و مدیران اجرایی برای تحقق مسئولیت های نظارتی، به منظور حفاظت از منافع سهامداران آن را پیاده سازی می کنند.»
حاکمیت امنیت اطلاعات ویژگی های حاکمیت امنیت اطلاعات • همراستایی با اهداف استراتژیک سازمان • مدیریت ریسک • ارائه ارزش • تعیین کننده نقش ها، مسئولیت ها و ساختار سازمانی
مؤلفه های حاکمیت امنیت اطلاعات • دستورات و قوانین • نامه ها و بخش نامه ها • برنامه ریزی استراتژیک • معماری سازمانی • نقش ها و مسئولیت ها • ساختار سازمانی • سیاست ها و رهنمودها • پیاده سازی
مؤلفه های حاکمیت امنیت اطلاعات اجرایی و قانون گذاری (دستورات و قوانین) (نامهها و بخشنامهها) حاکمیت برنامهریزی استراتژیک ساختار سازمانی نقشها و مسئولیتها معماری سازمانی نظارت مستمر سیاستها و رهنمودها پیادهسازی
حاکمیت امنیت اطلاعات در بانکداری تهدیدات اصلی • تخریب فیزیکی ساختمان • تخریب غیرعمد یا آسیب به سیستم ها • سوء استفاده کارکنان • تحریف اسناد • حملات خارجی
حاکمیت امنیت اطلاعات در بانکداری هدف : حفاظت از با ارزشترین دارایی های سازمان دارایی های اطلاعاتی 1- اطلاعات مشتری 2- اطلاعات خودی ( سازمانی) 3- اطلاعات شماره حساب 4- اطلاعات تراکنش
حاکمیت امنیت اطلاعات در بانکداری مجریان حاکمیت امنیت طلاعات • هیئت مدیره • مدیران اجرایی • حسابرس امنیت اطلاعات
چارچوب حاکمیت امنیت اطلاعات Rastogi و Solms (2006) • حاکمیت امنیت اطلاعات متشکل از ساختارها، روابط و فرایندها میباشد.
چارچوب حاکمیت امنیت اطلاعات FFIEC • شورای بررسی موسسات مالی فدرال • در سال 1979 تاسیس شد • اصول یکسان، استاندارها و فرمهای گزارش یکنواخت • " کتاب راهنمای امنیت اطلاعات” • تایید هویت در محیط بانکداری اینترنتی( اکتبر 2005)
چارچوب حاکمیت امنیت اطلاعات COBIT • بنیاد حسابرسی و کنترل سیستمهای اطلاعاتی (ISACAF) • اهداف کنترلی برای اطلاعات و فناوری مربوط به آن (COBIT) • کمک به درک و مدیریت ریسک های مرتبط با فناوری اطلاعات • برنامه ریزی و سازماندهی، پیاده سازی، تحویل و پشتیبانی، نظارت و ارزیابی
چارچوب حاکمیت امنیت اطلاعات ISO 27002 • بزرگترین ناشر و توسعه دهنده ی استاندارهای بین المللی (ISO) • تعیین ضوابط معیار عمل برای فرایندهای امنیت اطلاعات • 11مکانیسم کنترلی و 130 کنترل امنیتی • دستورالعمل ها و اصول کلی برای "شروع، اجرا، نگهداری و بهبود امنیت اطلاعات در یک سازمان"
چارچوب حاکمیت امنیت اطلاعات PCI • استاندارد امنیت دادهها (PCI) • مجموعهایی از الزامات جامع امنیت دادههای پرداخت صورتحساب • برندهای تجاری پرداخت : امریکن اکسپرس، ارائه خدمات مالی اعتباری، JCB بینالمللی، مسترکارت جهانی و شرکت ویزا • استاندارد امنیتی چند وجهی ،شامل: الزامات مورد نیاز برای مدیریت امنیت، سیاستها، آییننامهها، معماری شبکه، طراحی نرمافزار و ...
چارچوب حاکمیت امنیت اطلاعات مقایسهی رویکردهای حاکمیت امنیت اطلاعات
چارچوب حاکمیت امنیت اطلاعات چارچوب پیشنهادی • سطح راهبردی • سطح تاکتیکی و عملیاتی • سطح فنی
چارچوب حاکمیت امنیت اطلاعات سطح راهبردی • هیئت مدیره و مدیران اجرایی ارشد • تدوین استراتژی امنیت اطلاعات • پیوند با راهبردهای سازمان و فناوری اطلاعات • تضمین برآورده شدن اهداف سازمان در کوتاهمدت و بلندمدت • معیارهای اندازهگیری برای شناسایی میزان اثربخشی برنامه کنونی حاکمیت امنیت اطلاعات
چارچوب حاکمیت امنیت اطلاعات سطح تاکتیکی و عملیاتی • مدیران ارشد و مدیران عملیاتی • آگاهی کاربران، آموزش • رفتار اخلاقی، اعتماد و حفظ حریم خصوصی، اعتماد
چارچوب حاکمیت امنیت اطلاعات سطح فنی • تمامی کارکنان • حفاظت از مکانیسمهای پیادهسازی فیزیکی و فنی برای ایمنسازی محیط فناوری اطلاعات • امنیت شبکه، و محیط فیزیکی • کنترلهای تداوم کسبوکار و مدیریت کاربر میباشد.
