حسابرسی فناوری اطلاعات

ریسک محرمانگی، خطر افشای غیر مجاز اطلاعات

محرمانگی به معنای محافظت از داده های سازمان در مقابل دسترسی های غیر مجاز است. ریسک محرمانگی نیز خطر دسترسی غیرمجاز به داده های سازمان است. داده های سازمان به مثابه بخش مهمی از دارایی های غیرملموس آن به شمار می روند از این رو محافظت از آنها در مقابل با ریسک محرمانگی ضروری است.

ریسک محرمانگی در اغلب موارد بواسطه عدم درک مناسب از اهمیت داده های سازمان و بکارگیری کنترل های لازم برای محافظت از آنها رخ می دهد. ریسک محرمانگی با ریسک افشای غیرمجاز اطلاعات نیز در ارتباط است چرا که در صورت دسترسی غیرمجاز افراد به داده ها، امکان افشای آنها نیز افزایش می یابد.

در اغلب سازمان ها هنوز داده های سازمان شناسایی و احصاء نشده اند و طبقه بندی مناسبی در خصوص سطوح محرمانگی داده ها انجام نشده است. تمامی داده ها به صورت یکسان در معرض ریسک محرمانگی نیستند. تنها داده هایی حائز اهمیت هستند که در طبقه های محرمانه، فوق محرمانه یا سری دسته بندی شده اند.

پس از طبقه بندی داده ها باید براساس میزان محرمانگی در خصوص شرایط نگهداری و ذخیره سازی و همچنین روش های کنترل دسترسی به داده ها تصمیم گیری نمود. سیاست ها و ساز و کارهای کنترل دسترسی، مهمترین راهکارهای کنترلی برای کاهش ریسک محرمانگی می باشند.

سیاست های کنترل دسترسی مشخص می سازند که چه افرادی در سازمان به چه داده هایی براساس سطوح محرمانگی آنها دسترسی دارند. ساز و کارهای کنترل دسترسی نیز ابزاری برای اعمال این سیاست ها می باشند. در نوشتار الفبای کنترل دسترسی، مفاهیم کلیدی مرتبط با کنترل دسترسی برای حسابرسان داخلی ارائه شده است.

در تعیین کنترل دسترسی تنها افراد درون سازمان مورد ملاحظه قرار نمی گیرند و تمامی افراد در بیرون از سازمان از جمله پیمانکاران، مشتریان و شرکای کاری همچنین سازمان های دولتی نیز بررسی شده و سطوح دسترسی آنها مشخص می گردد.

نظر دهید