حسابرسی فناوری اطلاعات

کنترل های داخلی در حوزه امنیت اموال

یكی از حوزه های تمركز امنیت اطلاعات در زمینه امنیت اموال است. اموال بخشی از تجهیزات و منابع در اختیار سازمان هستند كه سازمان برای انجام عملیات خود از آنها بهره می گیرد. به دلیل اینكه سازمان در انجام عملیات خود به اموال وابسته است و همچنین اموال در سازمان دارای ارزش می باشند، محافظت از آنها ضروری است.

در سازمان‌ها اموال تنها اموال فیزیكی نیستند بلكه تمامی منابع اطلاعاتی سازمان از جمله داده‌ها، سیستم‌ها و اجزای زیرساختی نیز در زمره اموال محسوب می‌شوند. آسیب‌پذیری اموال غیرفیزیكی و ناملموس حتی نسبت به اموال ملموس نیز بالاتر است.

در حوزه مدیریت امنیت اموال طبقه‌بندی اموال و اطلاعات بسیار حائز اهمیت است. تمامی اموال سازمان از لحاظ امنیت دارای اهمیت یكسان نیستند. حفظ امنیت تمامی اموال نیازمند سرمایه‌گذاری گسترده است از این رو باید اموالی كه دارای ارزش بالاتر بوده شناسایی شده و ساز و كارهای خاصی برای حفظ امنیت آنها به كار گرفته شود. اهمیت اموال می تواند براساس معیارهای مختلفی از جمله میزان حساسیت آنها در كسب و كار سازمان و وابستگی عملیات سازمان بدان ها ارزیابی و تعیین شود. به عبارت دیگر اموالی كه موفقیت عملیات سازمان در گرو آنها است در زمره اموال حیاتی سازمان بوده و ضروری است تا ساز و كارهای كنترلی بیشتری برای حفاظت از آنها به كار گرفه شود

در بحث اموال موضوع مالكیت نیز مطرح می‌شود. در صورتی‌ می‌توان امنیت اموال را به نحوی موثر تضمین نمود كه مالك مشخص با مسئولیت‌ها و پاسخگویی‌های شفاف برای هریك از اموال خصوصاً اموال كلیدی و حیاتی سازمان تعیین گردد. هر یك از اموال سازمان باید دارای مالك مشخصی باشد. این فرد مال مورد نظر را در اختیار گرفته و محافظت از مال و حصول اطمینان از بكارگیری ساز و كارهای حفاظتی نیز بر عهده وی است. فرد همچنین در زمینه باید در قبال بهره برداری و محافظت از مال نیز پاسخگو باشد. مالكیت و سرپرستی در خصوص اموال فیزیكی در سازمان ها به صورت یك نظام رسمی استقرار یافته است. لیكن در خصوص اموال غیرملموس مانند داده ها هنوز چنین نظامی در بسیاری از سازمان ها عملیاتی نشده است. همانطور كه اشاره شد اهمیت اموال غیرملموس از اموال ملموس كمتر نیست از این رو ضروری است تا موضوع مالكیت و سرپرستی داده ها نیز در سازمان ها مورد توجه جدی قرار گیرد تا فرد یا نقش مشخصی مسئولیت نگهداری از یك گروه مشخص از داده ها را بر عهده گیرد. این موضوع در مقوله حاكمیت داده دنبال می شود. یكی از ابعاد كلیدی حاكمیت داده مشخص بودن مسئولیت ها و پاسخگویی ها در خصوص داده ها است.

اموال همچنین باید تحت كنترل باشند. اولین قدم در كنترل اموال شناسایی و ثبت آنها است. اموال باید كدگذاری و شناسه‌گذاری شوند. به صورت فیزیكی و مجازی انبارش شده و مورد كنترل‌های مستمر طی چرخه عمرشان قرار گیرند. كنترل‌های امنیت اطلاعات باید در تمامی مراحل چرخه عمر اموال تعریف و اجرایی شوند. در این حوزه موضوعات اصلی زیر مطرح می‌شوند:

  • طبقه‌بندی اموال و اطلاعات
  • مالكیت از جمله مالكیت داده و مالكیت سیستم
  • محافظت از محرمانگی
  • نگهداشت مطلوب
  • كنترل‌های امنیت داده
  • الزامات بهره‌برداری مانند شماره‌گذاری، برچسب‌زنی، اموال‌داری و انبارش

 

نظر دهید