چک لیست شناسایی ریسک ها و روشهای کنترل سیستمهای اطلاعاتی

     نظام راهبری فناوری اطلاعات ، فرآیندی است که توسط هیات مدیره و به منظور تفویض اختیار ، هدایت و نظارت بر فرآیند مدیریت ، در جهت دستیابی به هدفهای سازمان ایجاد می گردد و به جهت دستیابی به اطمینان نسبی از صحت اجرای آن و شناسائی و کنترل رویدادهای مبهم (ریسکها و فرصتها) که می توانند سازمان را در دستیابی به اهداف خود تحت تاثیر قرار دهند می بایست نکات قابل توجه و موارد با اهمیت به شرح ذیل بررسی و نتایج جهت اصلاح فرآیند به مدیریت ارشد گزارش شود .

فرصـتها : عبارت از شـرایطی است که در آن ، رویدادهایی اتفاق می افتد و اثرات مثبت و مطلوبی بر هدفهای ســازمان می گذارد .

ریسکها : عبارت است رویدادهایی است که در صورت وقوع آنها ، اثرات منفی و نا مطلوبی بر دستیابی به هدفهای سازمان باقی میگذارد.

فرصتهای ناشی از ایجاد فناوری اطلاعات :

*  فروش کالا به صورت آنلاین       

* سیستمهای برنامه ریزی منابع سازمانی(یکپارچه سازی فرایند های سازمان – پردازش آنلاین و همزمان معاملات – تصمیم گیری به موقع و دقیق)

*  مبادله الکتریکی داده ها( پردازش موثر و کارامد رویدادها با ریسک کمتر- جا بجایی اطلاعات با کمترین هزینه و بیشترین سرعت)

ریسکهای ناشی از ایجاد فناوری اطلاعات :

·                قطع برق و ایجاد وقفه

·                رهگیری و سرقت اطلاعات

·                ارائه اطلاعات نادرست به دلیل برنامه ریزی غلط

·                تاخیر در اجرای برنامه های توسعه ای و افزایش بی رویه هزینه ها

·                تاخیر در تصمیم گیری بدلیل عدم دسترسی بموقع به سیستم

·                ریسک دسترسی فیزیکی غیر مجاز به سیستم که باعث بروز خسارت شود

·                ریسک افشای غیر مجاز اطلاعات محرمانه

·                عدم وجود فیلتر یا حذف فیلتر به جهت سوء استفاده از اطلاعات

·                افزایش ریسک اطلاعاتی به جهت ارائه اطلاعات نادرست توسط سیستم

·                استفاده از فناوری اطلاعات جهت پوشش تخلفات افراد

·                انتخاب ریسک ( انتخاب راه حل نا مناسب توسط تصمیم گیرندگان فاقد صلاحیت)

·                ایجاد وقفه در فرایند انجام کار بدلیل نقص سخت افزاری یا نرم افزاری

·                ریسک قابل اعتماد بودن سیستم و صحت اطلاعات آن که منجر به تصمیم نامناسب میگردد

·                ریسک تقلب وعملیات مخرب و سرقت منابع فناوری اطلاعات

·                 استفاده نادرست یا تحریف اطلاعات

نظام راهبری فناوری اطلاعات :

فرایندی است که توسط هیئت مدیره و به منظور تفویض اختیار، هدایت و نظارت بر فرآیند مدیریت ، در جهت دستیابی هدفهای سازمان انجام می شود و جزو مسئولیتهای هیئت مدیره و مدیریت اجرایی است .. نظام راهبری فناوری اطلاعات شامل رهبری ، ساختار سازمانی و فرآیند هایی است که فناوری اطلاعات به وسیله آنها اهداف و استراتژیهای سازمان را تداوم می بخشد و از آنها پشتیبانی می کند . هدف از نظام راهبری فناوری اطلاعات ، تلاش برای اطمینان یافتن از اینکه عملکرد فناوری اطلاعات بگونه ای اجرا می شود که اهداف مشروح ذیل تحقق یابند :

1- آیا فناوری اطلاعات با فعالیتها و تحقق منافع پیش بینی شده سازمان ، همسو و هم جهت می باشد ؟

2- آیا استفاده از فناوری اطلاعات ، شرکت را قادر می سازد تا از امکانات و فرصتها بهره برداری نماید و منافع شرکت را به حداکثر برساند ؟

3- آیا استفاده مسئولانه از منابع فناوری اطلاعات انجام می شود ؟

4- آیا مدیریت ویژه فناوری اطلاعات مبتنی بر ریسک در شرکت انجام می گیرد ؟

مدیریت ریسک در حوزه فن آوری اطلاعات :

فرایندی است که توسط مدیریت به منظور شناسایی و کنترل رویدادهای مبهم و نا مطمئن ( ریسکها و فرصتها ) که می توانند توانایی سازمان را در دستیابی به اهدافش تحت تاثیر قرار دهند اعمال می شود.

عناصر اصلی مدیریت ریسک شامل محیط داخلی – تدوین اهداف – شناسایی رویدادها – ارزیابی ریسک – واکنش ریسک – فعالیتهای کنترلی – اطلاعات و ارتباطات – نظارت می باشد . کنترلهای فناوری اطلاعات شامل کنترلهای عمومی و کاربردی می شوند که کمک میکنند تا اطمینان نسبی نسبت به رعایت موارد ذیل در شرکت ایجاد گردد .

1- آیا امنیت و حفظ حریم خصوصی فناوری اطلاعات بدرستی رعایت می شود ؟

2-آیا طبقه بندی اطلاعات و حقوق دسترسی به اطلاعات و محدودیتهای استفاده از اطلاعات انجام شده است ؟

3-آیا لیست نفراتی که مسئولیت سیستمهای سازمان و داده ها را برعهده دارند و کسانی که مجاز به ایجاد و تغییر یا حذف اطلاعات می باشند مشخص شده است ؟

4- آیا استفاده کنندگان نهایی سیستم اطلاعات مجاز به توسعه و بهبود کاربردهای فناوری اطلاعات خود هستند ؟

5- آیا روش خاصی جهت بررسی صلاحیت کارکنان جدید حوزه فناوری اطلاعات ، وکنترل کارکنان ، امنیت ، مسئولیتهای محرمانه بودن اطلاعات وجود دارد ؟

6- آیا برنامه ریزی مستمر جهت به روز رسانی فعالیت های تجاری در سیستم انجام می شود ؟

کنترلهای مدیریت فن آوری اطلاعات :

مدیریت مسئولیت دارد تا اطمینان به وجود آورد که کنترلهای فناوری اطلاعات ، به گونه ای مناسب طراحی و بصورت موثر و کار آمد اجرایی می شوند ، اهداف سازمان ، ریسکهایی که دستیابی به این هدفها را تهدید می کنند و فرآیندها و منابع تجاری سازمان بدرستی مورد توجه قرار می گیرند . استانداردهای فناوری اطلاعات پشتیبانی کننده کلیه مواردی است که برای دستیابی اهداف سازمان مورد نیاز می باشد . این استانداردها باید موارد ذیل را پوشش دهند :

1-آیا فرآیند های طراحی ، بهینه سازی ، آزمون ، اجراء و حفظ و حراست سیستمهای اطلاعاتی و نرم افزار ها بدرستی رعایت شده است ؟

2-آیا ترکیب بندی فعالیت های سازمان ، ایجاد شبکه و سیستمهای مدیریت بانکهای اطلاعاتی به نحو مناسب انجام شده است ؟

3- آیا کنترل های کاربردی انجام شده در سطح سازمان شامل شناسایی داده های قوی و باثبات و مستند کردن مناسب آنها بدرستی انجام شده است ؟

ادامه دارد . . .