Geekly articles weekly

استراتيجية أمن المعلومات: هل قررت كيفية المضي قدمًا؟

مرحبا اسمي أنطون أودوفيتشينكو ، أنا رئيس قسم تدقيق Infosecurity. بناءً على تجربتي ، قمت بإعداد إرشادات حول كيفية تطوير استراتيجية لأمن المعلومات في الشركة.


يبدو أن تطوير استراتيجية لأمن المعلومات (IS) للعديد من الشركات مهمة صعبة ، من وجهة نظر تنظيم عملية التطوير نفسها والتنفيذ العملي اللاحق للاستراتيجية. تقول بعض الشركات إن بإمكانها الاستغناء عن التخطيط الرسمي ، دون إضاعة الوقت والطاقة في وضع الخطط ، مبررة ذلك بالتغيرات السريعة في سوق التكنولوجيا التي تتخطى كل جهودها. بالنظر إلى وجود إجراءات فعالة ، يمكن أن يؤدي هذا النهج إلى بعض النجاح ، ومع ذلك ، فإنه لا يضمن النجاح في المستقبل فحسب ، بل يضعه أيضًا موضع شك كبير. يقلل التخطيط الرسمي بشكل كبير من مخاطر اتخاذ قرارات خاطئة ويعمل كأساس للسيطرة اللاحقة ، ويساعد أيضًا على زيادة الاستعداد لتغييرات السوق.

تنشأ الحاجة إلى استراتيجية لأمن المعلومات ، كقاعدة عامة ، للشركات التي تشعر بالفعل بالثقة الكافية في السوق لوضع خطط للأعوام المقبلة ، لكنها واجهت التحديات التالية:

  • عدم وجود علاقة بين الأهداف الاستراتيجية للشركة واتجاهات تطوير أمن المعلومات ؛
  • عدم كفاية مستوى أمن المعلومات في العمليات التجارية الرئيسية للشركة ؛
  • انخفاض العائد على الاستثمار في تطوير أمن المعلومات.

يجب اعتبار استراتيجية تطوير IS بمثابة نوع من الخريطة التي تحدد المعالم على الأرض وتوجه إلى الهدف. يسمح لك هذا بتحقيق الأهداف التي يمكن التحكم فيها عن طريق وضع حدود وأولويات القرارات التكتيكية لأولئك المسؤولين عن تطوير الشركة و / أو المجالات الفردية. تجدر الإشارة إلى أن استراتيجية أمن المعلومات لا ينبغي أن تكون ثابتة ، وبما أن عامل عدم اليقين يتناقص بمرور الوقت ، فيجب مراجعة الاستراتيجية وتعديلها ، عند الضرورة ، وتحديد أولويات جديدة للقرارات التكتيكية.

لمن هي استراتيجية أمن المعلومات ذات الاهتمام؟


يعتقد البعض عن طريق الخطأ أن استراتيجية IS مطلوبة فقط من قبل المسؤولين عن ضمان IS. في الواقع ، هناك الكثير من مستخدمي استراتيجية IS وكل شخص له مصلحته الخاصة ، أهمها:

إدارة الشركة:

  • فهم دور أمن المعلومات في تنفيذ المفهوم العام لتنمية الشركة ؛
  • ضمان الاتساق مع استراتيجية التنمية للشركة بأكملها ؛
  • فهم أهداف وحجم الاستثمار في أمن المعلومات ؛
  • التوزيع الرشيد للاستثمارات ؛
  • أدوات لرصد تحقيق الأهداف.

خدمة تكنولوجيا المعلومات:

  • فهم دور أمن المعلومات في تطوير شركة تكنولوجيا المعلومات ؛
  • فهم المتطلبات من جانب IS إلى بنية تكنولوجيا المعلومات الهدف.

خدمة أمن المعلومات:

  • وجود مبادئ موحدة لتطوير أمن المعلومات ؛
  • فهم الهيكل المستهدف لشركة أمن المعلومات ؛
  • توفر خطة عمل مفصلة (محفظة المشروع) ؛
  • فهم واضح للموارد المطلوبة ؛
  • الامتثال للتشريعات ومعايير الصناعة المتعلقة بأمن المعلومات ؛
  • أدوات لرصد تحقيق أهداف IS.

الإجراء الخاص بوضع استراتيجية لأمن المعلومات


قبل أن تفكر في الخطوات الرئيسية لتطوير إستراتيجية ، تحتاج إلى تحديد معيار الجودة لاستراتيجية IS ، وبالتالي لتطويرها ، هذا هو الحصول على إجابات كاملة عن ثلاثة أسئلة:

  • ما هي الأهداف الإستراتيجية لتطوير أمن المعلومات ، كيف ترتبط هذه الأهداف بالأهداف الإستراتيجية للشركة؟
  • ما هو الوضع المستقبلي (الحالة) لشركة أمن المعلومات؟
  • ما الإجراءات التي يتعين اتخاذها لتحقيق الأهداف الاستراتيجية لتطوير أمن المعلومات؟

المرحلة 1. الإعداد. بادئ ذي بدء ، سوف نحدد معايير وترتيب إدارة المشروع.

المهام الرئيسية التي يتعين حلها:

  • إنشاء فريق مشروع وتحديد الأهداف ؛
  • تنسيق هيكل البيانات التي تم جمعها وتكييف القوالب ؛
  • تنسيق حدود المشروع وهيكل ومحتوى وثائق الإبلاغ ؛
  • تنسيق عملية إدارة المشروع
  • تحديد الإجراء الخاص بحل المشكلات الناشئة ؛
  • إعداد والموافقة على خطة العمل.

في هذه المرحلة ، في الواقع ، تحتاج إلى تحديد العوامل الرئيسية للنجاح وتحقيق النتائج المرجوة ، وهي:

  1. مشاركة الإدارة في المشروع: يجب أن تدعم إدارة الشركة ، في المقام الأول ، تطوير وتنفيذ استراتيجية أمن المعلومات ، والتي يجب أن تكون مسؤولة عن رصد التقدم المحرز في العمل ، وتخصيص الموارد اللازمة ، وكذلك الموافقة اللاحقة على الاستراتيجية المطورة.
  2. تشكيل فريق المشروع: يجب أن يشمل تكوينه أكثر الموظفين كفاءة ويظل دون تغيير خلال المشروع. تتميز الوحدات التنظيمية التالية في المشروع:
    • أمينة المشروع من المقاول ؛
    • أمينة المشروع من جانب العميل ؛
    • اللجنة التوجيهية
    • مدير المشروع من جانب المقاول ؛
    • رئيس مجموعة العمل من جانب العميل ؛
    • فريق مشروع المقاول ؛
    • المتخصصين الوظيفيين من جانب العميل.

  3. بيان واضح للأهداف والمتطلبات والقيود ، وكذلك معايير نجاح المشروع ، والتي سوف تلتزم بدقة بالاتجاه الصحيح وتلبية توقعات العميل.
  4. وضع إجراء لإدارة المشروع: تضمن عمليات الاتصال وصنع القرار الترابط والاعتماد المتبادل بين جميع وظائف الإدارة ، وبالتالي تحقيق نزاهة وفعالية عملية الإدارة. يجب أن ينص الإجراء على توزيع الصلاحيات والمسؤوليات ، وإجراءات تفاعل المشاركين ، وإجراءات تنسيق النتائج المتوسطة والنهائية ، وإجراءات إدارة المشكلات وإجراء تغييرات على المشروع.

يجب أن تكون نتيجة هذه المرحلة:

  • ميثاق المشروع ، والجدول الزمني للعمل ، والجدول الزمني للمقابلات اللازمة ؛
  • هيكل وثائق التقارير والقوالب لجمع البيانات / وثائق الإبلاغ.

المرحلة 2. تحليل الوضع الحالي لأمن المعلومات. والغرض من هذه المرحلة هو جمع وتحليل ترتيب وطرق معالجة المعلومات من وجهة نظر أمن المعلومات ، والحالة الراهنة لأمن المعلومات.

الأسئلة الرئيسية التي يجب الإجابة عليها:

  • ما هو دور أمن المعلومات في الشركة؟
  • ما هي المتطلبات الأساسية لعمل شركة أمن المعلومات؟
  • ما هو الوضع الحالي لعمليات الأمن IS؟
  • ما هي أدوات حماية المعلومات المستخدمة ، إيجابياتهم وسلبياتهم؟
  • ما هي متطلبات العمل لتوفير أمن المعلومات؟

يحدد إنشاء دور أمن المعلومات في الشركة السياق العام لتطوير الإستراتيجية ويتم تنفيذه على جميع المستويات: الإدارة ورؤساء الإدارات والموظفون.

يتم جمع المعلومات في المجالات التالية:

  • مستوى ثقافة أمن المعلومات في الشركة ؛
  • هي الأولوية فيما يتعلق بعمليات الأعمال ؛
  • تأثير أمن المعلومات على العمليات التجارية للشركة ؛
  • إدراك الإدارة للحاجة إلى أمن المعلومات ؛
  • درجة مشاركة ووعي الموظفين بشأن قضايا أمن المعلومات.

الخطوة التالية هي تحديد المتطلبات التي تلتزم الشركة باتباعها أو التي قررت طوعًا التركيز عليها. المتطلبات ، في جوهرها ، هي أساس عمل أمن المعلومات ؛ وتشمل هذه: التشريعات ، ومعايير الصناعة ، والمعايير الوطنية والدولية لأمن المعلومات ، وسياسات مجموعة من الشركات ، إلخ.

تعتبر خطوة فحص وتحليل عمليات أمن المعلومات هي المفتاح ، حيث تحدد إلى حد كبير نتائج المشروع بأكمله. يكمن تعقيدها في الحاجة إلى الحصول على معلومات موثوقة وموضوعية تكفي لتشكيل المعلومات الشخصية المستقبلية لأمن المعلومات ، كقاعدة عامة ، لفترة زمنية محدودة للغاية. يمكن تمييز ثلاثة مناهج مفاهيمية: أساسية ومفصلة ومجتمعة (خبير).

النهج الأساسي

يتضمن النهج تحليل حالة أمن المعلومات للامتثال لبعض المستوى الأساسي من الأمن. المستوى الأساسي هو مجموعة معيارية معينة من التدابير الوقائية ، كقاعدة عامة ، هي سمة من سمات الشركات العاملة في نفس المجال ، لحماية جميع أنظمة المعلومات الفردية أو. يتم تشكيل مجموعة نموذجية من التدابير الوقائية على أساس احتياجات الشركات لاستخدام بعض التدابير القياسية ، على سبيل المثال ، للامتثال للمتطلبات القانونية ، وكذلك للحماية من التهديدات الأكثر شيوعا.

يسمح لك النهج الأساسي بإدارة الحد الأدنى من الموارد أثناء التحليل ، ويمكن تنفيذه حتى في شكل قوائم تدقيق تتضمن أسئلة تتعلق بتوفر بعض التدابير ومعايير تنفيذها. يتمثل عيب كبير في هذا النهج في عدم دقة وقيود المعلومات التي يتم جمعها ، حيث أن المستوى الأساسي لا يمكن أن يتوافق دائمًا مع أهمية المعلومات التي تتم معالجتها ، وخصوصية أنظمة المعلومات والعمليات التجارية الخاصة به. قد تتميز أنظمة منفصلة للشركة بدرجات متفاوتة من الحساسية ، وأحجام مختلفة وقيمة المعلومات ؛ واستخدام تدابير الحماية العامة في هذه الحالة سيكون غير صحيح منطقيا.

نهج مفصل

يتضمن النهج المفصل دراسة استقصائية شاملة لعمليات معالجة المعلومات وضمان أمن معلومات الشركة. يتضمن هذا النهج تحديد وتقييم أصول المعلومات ، وتقييم مخاطر انتهاك IS ، وتقييم نضج عمليات IS ، وتحليل إحصائيات الحوادث ، وتحليل المراجعات العامة والتقارير التنظيمية.

تتيح نتائج التحليل التفصيلي اتخاذ خيار مدروس جيدًا لتدابير الحماية عند تشكيل صورة مستقبلية لأمن المعلومات ، ومع ذلك ، فإن تنفيذ هذا النهج يتطلب قدراً كبيراً من المال والوقت والعمالة الماهرة. بالإضافة إلى ذلك ، هناك احتمال تقادم نتائج الاستطلاع ، لأن هذا النهج قد يتطلب وقتًا طويلاً.

الجمع (الخبراء) النهج

يحتوي تطبيق كل من الطرق الموضحة أعلاه على قيود كبيرة ولا يسمح دائمًا بجمع معلومات كافية لفترة مقبولة لتطوير استراتيجية لأمن المعلومات بشكل معقول وتشكيل مجموعة من المشاريع. لذلك ، في الممارسة العملية ، يتم استخدام مجموعات مختلفة من هذه الأساليب ، بما في ذلك كل من الأساليب الرسمية للتحليل والخبرة العملية للمتخصصين. كقاعدة عامة ، يستند هذا النهج إلى تحليل أولي لإجراء تقييم رفيع المستوى للمخاطر لانتهاكات أمن المعلومات ، مع مراعاة أهمية المعلومات (السرية) وتدفق المعلومات وأهمية نظم المعلومات. في المستقبل ، يتم إجراء تحليل مفصل لأنظمة المعلومات المعرضة لمخاطر عالية ، وبالنسبة لآخرين قد يكون محدودا بسبب النهج الأساسي. بالإضافة إلى ذلك ، يتم إجراء تحليل تفصيلي ووصف لعمليات أمن المعلومات الرئيسية ، بالإضافة إلى تقييم الأدوات والأساليب المستخدمة لحماية المعلومات وإيجابياتها وسلبياتها.

يسمح هذا النهج ، مع الحد الأدنى من الوقت والجهد المبذول في تحديد الحالة الحالية ، بالحصول على البيانات اللازمة لتشكيل الملف الشخصي المستقبلي لأمن المعلومات. تجدر الإشارة إلى أن موضوعية وجودة نتائج المسح في هذا النهج سيتم تحديدها من خلال جودة منهجية المسح وتجربة استخدامه من قبل المتخصصين.

بالإضافة إلى ذلك ، تجدر الإشارة إلى أن اختيار طرق المسح ودرجة مشاركة الموظفين سيتم تحديدها من خلال النهج المستخدم ومنهجية المسح. على سبيل المثال ، قد يقتصر النهج الأساسي على تحليل المستندات الداخلية والاستجواب مع عدد معين من المقابلات مع الموظفين الرئيسيين ، في حين أن النهجين الآخرين ينطويان على عدد أكبر من الموظفين ومجموعة واسعة من الأدوات:

  • تحليل الوثائق الداخلية ؛
  • استجواب
  • مقابلة
  • التفتيش البصري ؛
  • الفحص باستخدام الوسائل الفنية المتخصصة.

في نهاية هذه المرحلة ، بغض النظر عن الطريقة المختارة ، يجب أن تتوقع:

  • رأي خبير في مستوى تطوير شركة أمن المعلومات ؛
  • تقييم متكامل للحالة الراهنة لأمن المعلومات ؛
  • وصف لمتطلبات العمل لأمن المعلومات ؛
  • تقرير وعرض على نتائج المرحلة.

المرحلة 3. تطوير الملف الشخصي المستهدف لأمن المعلومات. في هذه المرحلة ، يتم حل المهام الرئيسية التالية:

  • ضمان العلاقة بين الأهداف الإستراتيجية للشركة واتجاهات تطوير أمن المعلومات ؛
  • صياغة المبادئ الأساسية لاستراتيجية أمن المعلومات ؛
  • تحديد الملف المستقبلي لشركة أمن المعلومات.

تتمثل إحدى العقبات الرئيسية في تطوير استراتيجية لأمن المعلومات فيما يتعلق بإدارة التوقعات بأن الإدارة العليا في عدم وجود شروط أولية واضحة ، وهي استراتيجية تطوير الشركة مع وصف واضح لجميع الجوانب بعبارات مفهومة. في الممارسة العملية ، كقاعدة عامة ، هناك إما عدم وجود استراتيجية تطوير للشركة على هذا النحو ، أو أنها ليست رسمية ويمكن ، في أحسن الأحوال ، أن تصاغ بالكلمات.

يتم حل مشكلة عدم وجود استراتيجية تطوير للشركة من خلال الجهود المشتركة لممثلي قطاع الأعمال وتكنولوجيا المعلومات ومجتمع المعلومات في تطوير رؤية مشتركة لمهام نظم المعلومات ، مع مراعاة العوامل التالية:

  • ما هي المبادرات المخطط لها في جميع أنحاء الشركة ، بما في ذلك التغييرات التنظيمية ، وتطوير السوق والتكنولوجيا ؛
  • ما هي التغييرات المخطط لها في الأعمال التجارية وعمليات تكنولوجيا المعلومات ؛
  • ما هي القرارات المهمة التي تعتمد على موثوقية أو سلامة أو توفر المعلومات أو على استلامها في الوقت المناسب ؛
  • ما هي أنواع المعلومات السرية التي تتطلب الحماية ؛
  • ما هي العواقب التي قد تحدث للشركة بعد وقوع حادث أمن المعلومات ؛
  • ما هي التغييرات التي يمكن توقعها في البيئة الخارجية ، بما في ذلك تصرفات المنافسين ، والتغييرات في التشريعات ، إلخ.

يمكن أن تساعد الإجابات على هذه الأسئلة في صياغة أهداف توفير أمن المعلومات في الشركة. بدوره ، يجب أن يؤخذ في الاعتبار أنه بالنسبة لكل مبادرة أو إجراء مقترح ، ينبغي تقييم النتائج المحتملة أو المرجوة ، ومخاطر تنفيذها ، وكذلك المخاطر في حالة رفض التنفيذ.

تحدد المبادئ الأساسية لاستراتيجية نظم المعلومات ، في الواقع ، مجموعة القواعد العالمية التي يجب اتباعها عند بنائها ، وكذلك عند اختيار الحلول وتنفيذها. تتم صياغة المبادئ وفقًا للأهداف الاستراتيجية وعمليات الشركة وفرص الاستثمار وما إلى ذلك ، وبالتالي فهي عادة ما تكون فردية للشركة. نسلط الضوء على بعض المبادئ العالمية:

  • سلامة النظام: يجب أن يتم الاتفاق بين الطرفين على حلول البرامج والأجهزة القابلة للتطبيق ، وكذلك التدابير التنظيمية ، وتوفير مستوى معين من الأمن ؛
  • التقييس والتوحيد: ينبغي تقليل مجموعة التكنولوجيات المستخدمة إلى الحد الأدنى من أجل تقليل تكلفة الحفاظ على الخبرة والقرارات وتنسيقها وتكاملها وترخيصها وصيانتها ؛
  • سهولة الاستخدام: لا ينبغي أن تؤدي الطرق والوسائل المستخدمة لتوفير أمن المعلومات إلى زيادة في عدد الأفعال الخاطئة للأفراد ، في حين أن هذا المبدأ لا يعني بساطة الهندسة المعمارية أو انخفاض في الأداء الوظيفي ؛
  • الحد الأدنى من الامتيازات: جوهر المبدأ هو تخصيص الحقوق الأقل ، والتي يجب ألا تؤدي إلى انتهاك عمل المستخدم ؛
  • الكفاءة الاقتصادية: يجب أن تسعى الحلول المطبقة إلى خفض التكلفة الإجمالية للملكية وزيادة نسبة العائد على الاستثمار وتحسين المؤشرات الأخرى لتقييم الكفاءة الاقتصادية للاستثمارات.

تشكيل التشكيل الجانبي المستقبلي لأمن المعلومات هو الحل للعديد من المهام المتضاربة جزئيًا:

  • الامتثال لمتطلبات أمن المعلومات (التشريعات ، الهيئات التنظيمية ، الشركات المصنعة ، الشركاء ، إلخ) ؛
  • تقليل مخاطر خرق IS ؛
  • ضمان الامتثال لأهداف العمل ، مع مراعاة التغييرات المتوقعة في العمليات التجارية وتكنولوجيا المعلومات
  • توفير جاذبية الاستثمار لأمن المعلومات.

هناك العديد من المعايير ، الدولية (ISO ، COBIT ، NIST ، إلخ) والروسية (STO BR ، GOST ، وما إلى ذلك) ، والتي يمكن اعتمادها عند تشكيل الملف الشخصي المستقبلي لأمن المعلومات. ومع ذلك ، من المهم أن نتذكر هنا أنه لا يوجد معيار يمكن تطبيقه بالكامل على جميع الشركات. لذلك ، يجب أن لا تقوم بتطوير إستراتيجية تعتمد فقط على معيار واحد أو أن تفعل كل شيء تحت نسخة الكربون. في التحليل النهائي ، يجب أن تتوافق جميع مكونات عملية أمن المعلومات بشكل عضوي مع منطق تطوير الأعمال: من ناحية ، لا تقيد التطوير أكثر من اللازم ، ومن ناحية أخرى ، تبقي المخاطر ضمن الحدود المحددة.

من القضايا الهامة التي يجب أيضًا اعتبارها جزءًا من استراتيجية IS هو عدد ومؤهلات الموظفين ، وهو أمر ضروري لضمان الوفاء بالوظائف الأساسية. يجب تطوير نموذج الكفاءة على الأقل ، والذي بالإضافة إلى مسؤوليات الوظيفة ، سيحدد المعرفة والمهارات التنظيمية والصناعية التي يحتاجها الموظفون. عند وضع استراتيجية لأمن المعلومات ، من الأفضل أن تقدم فقط تلك الحلول التي تتطلب كفاءات متاحة لاحقًا للشركة ، أو على الأقل الكفاءات التي يمكن الحصول عليها بأقل جهد ممكن.

مسألة أخرى تستحق النظر هي الاستعانة بمصادر خارجية. يمكن أن تكون أداة جيدة تسرع من تنفيذ العديد من وظائف أمن المعلومات ، فضلاً عن توفير الدعم التشغيلي لها. عند اتخاذ قرار بشأن الاستعانة بمصادر خارجية ، من الضروري مراعاة المخاطر ذات الصلة ، لأن استخدام شركات خارجية لتوفير IS لا يعني دائمًا نقل المسؤولية إلى عملائها والمنظمين ، بالإضافة إلى ذلك ، في حالة وقوع حوادث ، لا يهتم العملاء في الغالب بمن تسبب في الفشل. في هذه الحالة ، لا ينبغي الاستعانة بمصادر خارجية في إدارة ومراقبة أمن المعلومات بشكل كامل.

ستكون نتيجة هذه المرحلة:

  • الأهداف والغايات ، مبادئ تطوير أمن المعلومات ؛
  • وصف لتكوين ووظائف نظام أمن المعلومات المستهدف ؛
  • وصف لعمليات إدارة أمن المعلومات المستهدفة ؛
  • تقرير وعرض على نتائج المرحلة.

المرحلة 4. تشكيل محفظة مشاريع أمن المعلومات. في المرحلة النهائية ، يتم حل مشكلة كفاءة الاستثمار في تطوير أمن المعلومات. لهذا الغرض ، يتم تشكيل مجموعة من مشاريع أمن المعلومات ، بما في ذلك تقييم المشاريع المحتملة واختيارها ، وتحديد أولوياتها ووضع معايير لصلاحيتها.

هناك عدد كبير من الطرق لتقييم المشاريع المحتملة لإدراجها في الحافظة: الاقتصادية-الرياضية ، والخبير التحليلي ، الرسم. من بينها ، الأساليب التحليلية للخبراء ، على وجه الخصوص ، طريقة المعايير المرجحة المتعددة ، والتي تسمح بالتقييم على أساس كل من المعايير الكمية والنوعية ، مع إعطاء الأولوية للمشاريع مع مراعاة خصوصيتها وسهولة استخدامها ، تستخدم على نطاق واسع فيما يتعلق بمشروعات تكنولوجيا المعلومات / IS. جوهر الطريقة هو إعطاء وزن محدد لكل معيار ، والذي يتم تحديده بالنسبة لأهميته لتحقيق الأهداف الاستراتيجية. مجموعة من المعايير وخطورتها المحددة هي فردية لكل شركة ويتم تحديدها حسب نوعيتها وحجم نشاطها. في الممارسة العملية ، يتم استخدام مجموعات المعايير في الغالب: المعايير المالية ، معايير العمل ، معايير المخاطر. إجراء التقييم باستخدام هذه الطريقة بسيط ويتضمن الخطوات التالية:

  • تحديد مجموعة من المعايير وخطورتها الخاصة ؛
  • تقييم كل مشروع محتمل وفقًا لمجموعة من المعايير ؛
  • حساب التقييم المتكامل لكل مشروع محتمل ؛
  • ترتيب المشاريع المحتملة على أساس تقييم متكامل.

الخطوة التالية بعد تقييم المشاريع هي تشكيل مجموعة مثالية من المشاريع التي تضمن تحقيق الأهداف الاستراتيجية للشركة على أفضل وجه ، مع مراعاة القيود الحالية. في هذه الخطوة ، يتم تحديد تباينات كبيرة بين مؤشرات المشروع وتنعيمها مع مراعاة ترابطها. المبادئ التوجيهية الرئيسية لإيجاد أفضل الحلول ، كقاعدة عامة ، هي:

  • التأثير الأقصى من تنفيذ المشاريع في أقرب وقت ممكن ، مع مراعاة القيود المالية ؛
  • تأثير تنفيذ سلسلة من المشاريع المترابطة.

والسؤال الأخير الذي يجب الإجابة عليه عند وضع استراتيجية لأمن المعلومات هو كيف ، في عملية تنفيذها اللاحقة ، لمعرفة ما إذا كنا نتحرك في الاتجاه الصحيح وكم تقدمنا. لتقييم فعالية تنفيذ إستراتيجية IS ، تم وضع مجموعة من المقاييس. يجب أن تكون المقاييس متوافقة مع أهداف الشركة ، وبالتالي ، عند تطوير المقاييس ، من المهم أولاً تحديد فائدة العمل الفعلية من توفير أمن المعلومات ، ثم المعايير التي يمكن استخدامها لتقييم تحقيق هذه الفائدة. وكقاعدة عامة ، تتصور إدارة الشركة كمقياس مؤشرات من الناحية النقدية أو درجة التأثير على العمليات التجارية. من الخيارات الجيدة أيضًا استخدام نموذج نضج العملية ، فهو يقدم تقييمًا مرئيًا لدرجة تنفيذ عمليات IS.

ستكون نتيجة هذه المرحلة:

  • الحافظة المستهدفة لمشاريع أمن المعلومات ؛
  • "خارطة الطريق" لتطوير أمن المعلومات ؛
  • المخاطر والعوامل الرئيسية لنجاح تنفيذ نظم المعلومات ؛
  • مقاييس ومعايير لتنفيذ استراتيجية IS ؛
  • تقرير وعرض على نتائج المرحلة.

مخاطر تنفيذ مشروع تطوير إستراتيجية IS




مشروع تطوير إستراتيجية IS معقد للغاية وقد يتطلب جهود عدد كبير من الناس ، وبالتالي فإن المخاطر لا مفر منها والتي يجب أن تؤخذ في الاعتبار في بداية المشروع.

عدم مشاركة الموظف في فريق المشروع.

قد لا ينظر المشاركون إلى عملية وضع استراتيجية على أنها "عمل حقيقي" ، لأنها ليست جزءًا من مسؤولياتهم اليومية التي يدفعون مقابلها. بالإضافة إلى ذلك ، تعني المشاركة في عملية التخطيط في كثير من الأحيان عدم وجود مسؤوليات ، وفرص ضئيلة للتنفيذ العملي للخطط وغياب عدد كبير من الناس في التبعية - كل هذه الصفات التي يرتبط بها مفهوم "الوضع". يمكن التخفيف من هذا الخطر إلى حد ما من خلال تشكيل تكوين موسع لفريق المشروع ، وتعيين تركيبة اللجنة التوجيهية من خلال تحديد مسؤوليات المشروع ، وتنسيق خطة مشاركة الموظفين مع حجز وقت المشاركة في المشروع.

تغيير الأعضاء الرئيسيين في فريق المشروع.

يعد تغيير أي من المشاركين الرئيسيين عملية مؤلمة إلى حد ما ، حيث يمكن أن تؤدي إلى فقدان بعض الكفاءة ، وإعادة توزيع المسؤوليات داخل الفريق و (أو) تكلفة الموارد الإضافية لغمر شخص جديد في التفاصيل. يمكن أن يكون لهذا الحدث تأثير سلبي على التوقيت والجودة. من المستحيل التخلص من هذا الخطر تمامًا ، ولكن يمكن التقليل منه نظرًا للدعاية للمشروع داخل الشركة ، بالإضافة إلى توفر معلومات ووثائق شفافة حول المشروع.

فهم غير صحيح للعمليات أو تفسير غير صحيح للعملية من قبل المقاول.

يتطلب تطوير استراتيجية لأمن المعلومات أن يركز اختصاصيو المقاول على المناطق غير المألوفة ، وفهم حتى الأشياء البسيطة مثل المصطلحات التي يمكن أن تخلق مشاكل. كقاعدة عامة ، يتم تقليل هذا الخطر إلى الحد الأدنى من خلال العروض الدورية ومناقشة النتائج المؤقتة والقضايا الخلافية في مجموعات العمل.

تضارب توقعات العملاء ونتائج المشروع.

إن الفهم الأولي غير الواضح بشكل كاف وصياغة أهداف وغايات تطوير إستراتيجية IS من جانب العميل يمكن أن يؤثر بشكل كبير على الجودة والتوقيت. تسمح محاذاة هذه المشكلة بتنسيق أهداف المشروع وأهدافه وقيوده ، وكذلك تنسيقات وقوالب نتائج المخرجات في المرحلة الأولية من العمل.

لتقليل المواقف السلبية ، يتم لعب دور مهم من خلال وجود عملية لإدارة المشكلات ، يتم خلالها تحديد المشكلات وتسجيلها وحلها. تحقيقًا لهذه الغاية ، يمكن عقد اجتماعات اللجنة التوجيهية واجتماعات مجموعات العمل والتقارير حول النتائج المؤقتة للمشروع بشكل منتظم.

الخاتمة


أود أن أشير إلى أن استراتيجية IS يجب أن تعتبر على وجه التحديد أداة لإدارة تطوير IS للشركة تهدف إلى تحقيق أهداف العمل وتقليل مخاطر خرق IS. تحدد هذه الأداة حدود أهداف تطوير أمن المعلومات وتحدد أولويات القرارات التكتيكية ، مما يجعل تحقيق الهدف مهمة يمكن إدارتها ومجدية بالنسبة لأولئك المسؤولين عن ذلك. ومثل أي أداة ، يمكن تحسين استراتيجية IS للعمل الشاق أو الدقيق مع جميع المزايا والعيوب التالية ، وبالتالي ، عند تطويرها ، يجب أن تسترشد بمبدأ أساسي - يجب أن تكون استراتيجية IS متسقة مع العمل ويجب أن تكون هناك فرص لتنفيذها.

Source: https://habr.com/ru/post/ar441920/

More articles:


All Articles