چک لیست شناسایی ریسک ها و روشهای کنترل سیستمهای اطلاعاتی
نظام راهبری فناوری اطلاعات ، فرآیندی است که توسط هیات مدیره و به منظور تفویض اختیار ، هدایت و نظارت بر فرآیند مدیریت ، در جهت دستیابی به هدفهای سازمان ایجاد می گردد و به جهت دستیابی به اطمینان نسبی از صحت اجرای آن و شناسائی و کنترل رویدادهای مبهم (ریسکها و فرصتها) که می توانند سازمان را در دستیابی به اهداف خود تحت تاثیر قرار دهند می بایست نکات قابل توجه و موارد با اهمیت به شرح ذیل بررسی و نتایج جهت اصلاح فرآیند به مدیریت ارشد گزارش شود .
فرصـتها : عبارت از شـرایطی است که در آن ، رویدادهایی اتفاق می افتد و اثرات مثبت و مطلوبی بر هدفهای ســازمان می گذارد .
ریسکها : عبارت است رویدادهایی است که در صورت وقوع آنها ، اثرات منفی و نا مطلوبی بر دستیابی به هدفهای سازمان باقی میگذارد.
فرصتهای ناشی از ایجاد فناوری اطلاعات :
* فروش کالا به صورت آنلاین
* سیستمهای برنامه ریزی منابع سازمانی(یکپارچه سازی فرایند های سازمان – پردازش آنلاین و همزمان معاملات – تصمیم گیری به موقع و دقیق)
* مبادله الکتریکی داده ها( پردازش موثر و کارامد رویدادها با ریسک کمتر- جا بجایی اطلاعات با کمترین هزینه و بیشترین سرعت)
ریسکهای ناشی از ایجاد فناوری اطلاعات :
· قطع برق و ایجاد وقفه
· رهگیری و سرقت اطلاعات
· ارائه اطلاعات نادرست به دلیل برنامه ریزی غلط
· تاخیر در اجرای برنامه های توسعه ای و افزایش بی رویه هزینه ها
· تاخیر در تصمیم گیری بدلیل عدم دسترسی بموقع به سیستم
· ریسک دسترسی فیزیکی غیر مجاز به سیستم که باعث بروز خسارت شود
· ریسک افشای غیر مجاز اطلاعات محرمانه
· عدم وجود فیلتر یا حذف فیلتر به جهت سوء استفاده از اطلاعات
· افزایش ریسک اطلاعاتی به جهت ارائه اطلاعات نادرست توسط سیستم
· استفاده از فناوری اطلاعات جهت پوشش تخلفات افراد
· انتخاب ریسک ( انتخاب راه حل نا مناسب توسط تصمیم گیرندگان فاقد صلاحیت)
· ایجاد وقفه در فرایند انجام کار بدلیل نقص سخت افزاری یا نرم افزاری
· ریسک قابل اعتماد بودن سیستم و صحت اطلاعات آن که منجر به تصمیم نامناسب میگردد
· ریسک تقلب وعملیات مخرب و سرقت منابع فناوری اطلاعات
· استفاده نادرست یا تحریف اطلاعات
نظام راهبری فناوری اطلاعات :
فرایندی است که توسط هیئت مدیره و به منظور تفویض اختیار، هدایت و نظارت بر فرآیند مدیریت ، در جهت دستیابی هدفهای سازمان انجام می شود و جزو مسئولیتهای هیئت مدیره و مدیریت اجرایی است .. نظام راهبری فناوری اطلاعات شامل رهبری ، ساختار سازمانی و فرآیند هایی است که فناوری اطلاعات به وسیله آنها اهداف و استراتژیهای سازمان را تداوم می بخشد و از آنها پشتیبانی می کند . هدف از نظام راهبری فناوری اطلاعات ، تلاش برای اطمینان یافتن از اینکه عملکرد فناوری اطلاعات بگونه ای اجرا می شود که اهداف مشروح ذیل تحقق یابند :
1- آیا فناوری اطلاعات با فعالیتها و تحقق منافع پیش بینی شده سازمان ، همسو و هم جهت می باشد ؟
2- آیا استفاده از فناوری اطلاعات ، شرکت را قادر می سازد تا از امکانات و فرصتها بهره برداری نماید و منافع شرکت را به حداکثر برساند ؟
3- آیا استفاده مسئولانه از منابع فناوری اطلاعات انجام می شود ؟
4- آیا مدیریت ویژه فناوری اطلاعات مبتنی بر ریسک در شرکت انجام می گیرد ؟
مدیریت ریسک در حوزه فن آوری اطلاعات :
فرایندی است که توسط مدیریت به منظور شناسایی و کنترل رویدادهای مبهم و نا مطمئن ( ریسکها و فرصتها ) که می توانند توانایی سازمان را در دستیابی به اهدافش تحت تاثیر قرار دهند اعمال می شود.
عناصر اصلی مدیریت ریسک شامل محیط داخلی – تدوین اهداف – شناسایی رویدادها – ارزیابی ریسک – واکنش ریسک – فعالیتهای کنترلی – اطلاعات و ارتباطات – نظارت می باشد . کنترلهای فناوری اطلاعات شامل کنترلهای عمومی و کاربردی می شوند که کمک میکنند تا اطمینان نسبی نسبت به رعایت موارد ذیل در شرکت ایجاد گردد .
1- آیا امنیت و حفظ حریم خصوصی فناوری اطلاعات بدرستی رعایت می شود ؟
2-آیا طبقه بندی اطلاعات و حقوق دسترسی به اطلاعات و محدودیتهای استفاده از اطلاعات انجام شده است ؟
3-آیا لیست نفراتی که مسئولیت سیستمهای سازمان و داده ها را برعهده دارند و کسانی که مجاز به ایجاد و تغییر یا حذف اطلاعات می باشند مشخص شده است ؟
4- آیا استفاده کنندگان نهایی سیستم اطلاعات مجاز به توسعه و بهبود کاربردهای فناوری اطلاعات خود هستند ؟
5- آیا روش خاصی جهت بررسی صلاحیت کارکنان جدید حوزه فناوری اطلاعات ، وکنترل کارکنان ، امنیت ، مسئولیتهای محرمانه بودن اطلاعات وجود دارد ؟
6- آیا برنامه ریزی مستمر جهت به روز رسانی فعالیت های تجاری در سیستم انجام می شود ؟
کنترلهای مدیریت فن آوری اطلاعات :
مدیریت مسئولیت دارد تا اطمینان به وجود آورد که کنترلهای فناوری اطلاعات ، به گونه ای مناسب طراحی و بصورت موثر و کار آمد اجرایی می شوند ، اهداف سازمان ، ریسکهایی که دستیابی به این هدفها را تهدید می کنند و فرآیندها و منابع تجاری سازمان بدرستی مورد توجه قرار می گیرند . استانداردهای فناوری اطلاعات پشتیبانی کننده کلیه مواردی است که برای دستیابی اهداف سازمان مورد نیاز می باشد . این استانداردها باید موارد ذیل را پوشش دهند :
1-آیا فرآیند های طراحی ، بهینه سازی ، آزمون ، اجراء و حفظ و حراست سیستمهای اطلاعاتی و نرم افزار ها بدرستی رعایت شده است ؟
2-آیا ترکیب بندی فعالیت های سازمان ، ایجاد شبکه و سیستمهای مدیریت بانکهای اطلاعاتی به نحو مناسب انجام شده است ؟
3- آیا کنترل های کاربردی انجام شده در سطح سازمان شامل شناسایی داده های قوی و باثبات و مستند کردن مناسب آنها بدرستی انجام شده است ؟
ادامه دارد . . .