چک لیست کنترل های کلیدی فناوری اطلاعات براساس FISCAM

دیدگاه‌ خود را بنویسید / چک لیست های حسابرسی, کنترل های امنیت اطلاعات

FISCAM چارچوبی است که توسط دولت آمریکا برای حسابرسی سیستم های اطلاعاتی ارائه شده است. این چارچوب، ابعاد، معیارها، متدولوژی و چک لیست های مشخصی را برای ارزیابی اثربخشی کنترل های حاکم بر سیستم های اطلاعاتی ارائه می کند. مخاطبان اصلی این چارچوب سازمان های حکومتی و دولتی آمریکا هستند. در این چارچوب 5 حوزه اصلی به عنوان حوزه های کنترلی تعریف شده است. به ازای هر حوزه نیز مولفه هایی تعیین شده که انتظار می رود کنترل های کلیدی فناوری اطلاعات در این حوزه ها طراحی، پیاده سازی و ارزیابی شوند. در ادامه هریک از حوزه های کلیدی FISCAM و ابعاد مرتبط با آنها معرفی شده است.

 

مدیریت امنیت

  • برنامه مدیریت امنیت
  • ارزیابی دوره ای و اعتباربخشی ریسک
  • سیاست ها و رویه های کنترل های امنیتی
  • فرهنگ سازی و اطلاع رسانی امنیت اطلاعات و سایر موضوعات مرتبط با کارکنان
  • آزمون و ارزیابی دوره ای اثربخشی کنترل های امنیت اطلاعات و سیاست ها و رویه های آن
  • جبران ضعف های امنیت اطلاعات
  • اعمال امنیت بر روی فعالیت های انجام شده توسط نهادهای بیرونی مانند تامین کنندگان

 

کنترل دسترسی

  • محافظت از مرزهای سیستم های اطلاعاتی
  • اعمال ساز و کارهای شناسایی و احراز هویت
  • کنترل های اعطای دسترسی
  • محافظت از منابع اطلاعاتی حساس
  • قابلیت های پایش و نظارت از جمله مدیریت رخدادها
  • کنترل های حفاظت فیزیکی

 

مدیریت پیکره بندی

  • سیاست ها، برنامه ها و رویه های مدیریت پیکره بندی
  • مدیریت اطلاعات وضعیت جاری مدیریت پیکره بندی
  • شناسایی، بررسی، تایید و اعمال مناسب درخواست های تغییر
  • پایش مستمر پیکره بندی
  • به روزرسانی نرم افزار براساس یک برنامه زمانبندی مشخص برای محافظت در مقابل تهدیدهای شناسایی شده
  • مستندسازی و تایید تغییرات بحرانی و حیاتی در خصوص پیکره بندی ها

 

برنامه ریزی اقتضایی

  • ارزیابی اهمیت و حساسیت عملیات های فناوری اطلاعات و شناسایی منابع مرتبط با آنها
  • بکارگیری اقدامات لازم برای جلوگیری و کمینه کردن تلفات، خسارت ها و اختلال ها در سیستم ها
  • برنامه جامع اقتضایی (استمرار کسب و کار یا بازیابی بحران)
  • آزمون مستمر برنامه بازیابی بحران به همراه اعمال تغییرات لازم براساس نتایج آزمون ها

 

تفکیک وظایف

  • تفکیک وظایف غیرمتناجس و مسئولیت ها و سیاست های آنها
  • کنترل فعالیت های افراد از طریق اعمال رویه های رسمی و نظارت ها و مرورها

 

کنترل های فرآیندهای سازمان

  • کامل بودن: حصول اطمینان از اینکه تمامی تراکنش های سیستم براساس ورود یک باره اطلاعات، پردازش یک باره و تنها یک باره و خروجی مناسب اتفاق می افتند.
  • دقت: حصول اطمینان از اینکه تراکنش ها با داده های صحیح، به موقع انجام می شوند. اطلاعات کلیدی برای انجام تراکنش صحیح هستند. خروجی ها نیز قابل اطمینان و دقیق هستند.
  • اعتبار: حصول اطمینان از اینکه تمامی تراکنش ها براساس نیازمندی های سازمان رخ داده و مورد تایید مدیریت هستند.
  • محرمانگی: حصول اطمینان از اینکه داده های سیستم های اطلاعاتی و همچنین خروجی های آنها در مقابل دسترسی های غیرمجاز محافظت شده اند.
  • در دسترس بودن: حصول اطمینان از اینکه داده های سیستم های اطلاعاتی و سایر قابلیت های آنها حسب نیاز در دسترس کاربران هستند.

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Scroll to Top