[[{"content_id":438923,"content_number":0,"portal_id":184,"lang_id":"fa","content_title":"مدیریت و طبقه بندی اطلاعات راهی برای جلوگیری از افشا اطلاعات","content_rtitr":"","content_short_title":null,"content_summary":"","content_summary_fill":0,"content_body":"داده ها یا اطلاعات در محل کار و سازمان ها می توانند در اشکال مختلف مانند عکس، فیلم، فایل های پروژه، صورت جلسات، ایمیل ها و ..... ایجاد شوند. این اطلاعات می توانند به عنوان اسناد کاغذی چاپ و یا در ابزارهایی همچون هاردیسک ها، کارت های حافظه، دیسک نوری و..... به عنوان اسناد دیجیتال ذخیره شوند و یا حتی با امکاناتی جدیدتر همچون رایانش ابری (Cloud computing) اطلاعاتشان را در فضای مجازی ذخیره نمایید.\r\n\r\n\r\n\r\nاگر اطلاعاتی را که نگهداری می کنید دارای ارزش تجاری هستند، ممکن است که رقبا بخواهند به آن اطلاعات دست پیدا کنند. در همین راستا ممکن است یک کارمند ناراضی اطلاعات را افشا کند و یا اینکه یک کارمند حریص و طمع کار بخواهد اطلاعات را به فروش برساند. از سوی دیگر، بی دقتی و سهل انگاری کارمندان نیز ممکن است باعث نشت و افشا اطلاعات شود، که در این حالت عمدی در کار نبوده و این مسئله تصادفی انجام شده است. \r\n\r\nبرای جلوگیری از رخ دادن چنین اتفاق هایی در سازمان ها، نیاز است که در محل سازمان اطلاعات طبقه بندی شوند به طوری که برای محافظت از هریک از این طبقات،رفتار متناسب با آن در نظر گرفته شود.\r\n\r\nطبقه بندی اطلاعات\r\nدر زمینه امنیت اطلاعات، طبقه بندی داده ها و اطلاعات بر اساس میزان اهمیت و آسیب رسانی آن ها به سازمان در صورت افشا شدن و یا از بین رفتن آن ها انجام می شود.\r\n\r\nبه منظور حفاظت از اطلاعات و داده های سازمان که به مثابه جواهرات روی تاج سازمان است. متوجه ساختن کارمندان از اهمیت موضوع ذخیره سازی اطلاعات سازمان در هر نوع دیجیتال و مکتوب باید جهت آگاه سازی در سیاست های سازمان گنجانده شود.\r\n\r\nدسته بندی اطلاعات، انواع مختلفی دارد که هر سازمان با توجه به نیازهای خود یک نوع از آن را اتخاذ می کند. برخی از انواع طبقه بندی های معمول دسته بندی اطلاعات عبارتند از : سری، محرمانه، محدود، عمومی و .....\r\n\r\nطبقه بندی کردن اطلاعات همچنین به تعیین نوع کنترل امنیتی که برای حفاظت از آن مناسب هستند، کمک می کند.\r\nاز طریق چک لیست زیر می توانید تعیین کنید، آیا سازمان شما اقدامات لازم را برای جلوگیری از نشت اطلاعات اجرا کرده است.\r\n\r\n• شخصی\r\n1-    آیا سازمان کارمندان را ملزم به امضای یک توافقنامه محرمانه می کند؟\r\n\r\nالف) بله    ب) خیر\r\n\r\n2-    آیا کارمندان سازمان نسبت به تهدیدات امنیتی اطلاعات و مسائل مربوط به آن آگاه هستند و مسئولیت ها و تعهدات خود نسبت به  حفاظت اطلاعات در سازمان را می دانند؟ \r\n\r\nالف) بله     ب) خیر\r\n\r\n3-    آیا یک فرآیند و سیستم وجود دارد که نشان دهد، چه شخصی وارد سیستم شده است و از اطلاعات استفاده کرده است؟\r\n\r\n     الف) بله     ب) خیر\r\n\r\n• سیاست ها\r\n4-    آیا سازمان سیاستی دارد که طبقه بندی اطلاعات را تعریف کند ؟\r\n\r\nالف) بله      ب) خیر\r\n\r\nاگر پاسخ شما به سوال 4 بله است به سوال های 5 و 6 نیز پاسخ دهید.\r\n\r\n5-     آیا سیاست های دسته بندی اطلاعات معیارهای حفاظت برای ذخیره سازی انواع داده های فیزیکی و یا دیجیتال را به تفکیک تعریف کرده است؟\r\n\r\nالف) بله   ب) خیر\r\n\r\n6-    آیا سازمان شما یک راهنما و دستورالعمل برای از بین بردن و یا طبقه بندی اطلاعات حساس تعریف کرده است؟\r\n\r\nالف) بله   ب) خیر\r\n\r\n• اقدامات اجرایی \r\n\r\n7-  آیا سازمان ملزم می کند که تمامی اطلاعات موجود در سازمان مشخص شوند که به چه طبقه ای از اطلاعات تعلق دارند(برچسب گذاری) ؟\r\n\r\nالف) بله     ب) خیر\r\n\r\n8-  آیا انتقال اطلاعات طبقه بندی شده محدود به کانال های رسمی شرکت است و فقط از طریق ابزار رسمی ذخیره سازی سازمان انجام می شود؟\r\n\r\nالف) بله      ب) خیر\r\n\r\n9-  آیا سازمان امکانات لازم برای از بین بردن اطلاعات حساس و یا طبقه بندی شده در اختیار کارمندان می گذارد؟( امکاناتی همچون کاغذ خردکن و یا نرم افزارامنیتی برای محافظت از داده های دیجیتال)\r\n\r\n       الف) بله    ب) خیر  \r\n\r\n10- آیا سازمان شما معیارهایی را که از افشا و انتشار اطلاعات جلوگیری می کند را اجرا می کند؟ معیارهایی همچون: محدودسازی استفاده از اینترنت، عدم استفاده از ابزار ذخیره سازی غیر رسمی، نرم افزارهای نامعتبر و عدم استفاده از ابزارهای شخصی مانند لپ تاپ و گوشی های هوشمند، فلش مموری و....      \r\n\r\n      الف) بله   ب) خیر\r\n\r\n\r\nاگر پاسخ شما به تمام سوالات بله باشد. شما باید برخی اقدامات امنیتی برای جلوگیری از نشت و افشا داده در سازمان انجام دهید. اقدامات امنیتی که شما برای جلوگیری از انتشار و نشت اطلاعات در سازمانتان باید انجام دهید، فقط و تنها محدود به مواردی که در چک لیست بالا آمده است نمی شود. سازمان ها باید به دستورالعمل و راهنماها و استانداردهای امنیت اطلاعات بین المللی مراجعه و از آن ها نیز استفاده کنند.\r\n \r\n\r\n\r\n\r\n\r\nبرخی معیارها برای جلوگیری از انتشار اطلاعات  :\r\n\r\n• توافق محرمانه \r\nیک توافق محرمانه یا غیرقابل افشا به عنوان یک قراداد مابین سازمان و کارمند است که کارمند را در به اشتراک گذاری اطلاعات دسته بندی شده، دانش سازمان و ..... به اشخاص ثالث محدد می کند.\r\n\r\n• طبقه بندی داده ها\r\nطبقه بندی و مشخص کردن داده ها، تضمین می کند که آن ها به مورد حفاظت قرار گرفته اند. سازمان باید یک راهنمای واضح و روشن در مورد نحوه کارکرد کارکنان با اطلاعات طبقه بندی شده فراهم کند.\r\n\r\n• استفاده از کانال های انتقال اطلاعات و ابزارهای ذخیره سازی رسمی\r\n\r\nبه منظور کاهش خطرات افشای اطلاعات غیر مجاز یا افشای تصادفی، انتقال اطلاعات دسته بندی شده باید فقط با استفاده از ایمیل رسمی شرکت به جای استفاده از ایمیل های شخصی استفاده شود. اطمینان حاصل کنید اطلاعات طبقه بندی شده تنها از طریق ابزارهای ذخیره سازی رسمی، که تحت نظارت و کنترل منظم هستند، انتقال داده می شوند.\r\n\r\n• رمزگذاری داده ها\r\nاز اطلاعات طبقه بندی شده ذخیره در ابزار الکترونیک از قبیل هاردیسک، فلش مموری، دیسک های نوری و ... با رمزگذاری آن ها با یک الگوریتم قوی محافظت نمایید. این نحوه محافظت باعث می شود در صورتی که اگر اطلاعات گم شود و یا در اختیار دیگران قرار گیرد نتوانند به راحتی از آن ها استفاده کنند.\r\n\r\n• از رده خارج کردن (امحا) مناسب ابزار استفاده شده\r\nهنگامی که ابزاری برای مثال هاردیسکی که در آن داده های طبقه بندی شده ذخیره شده است که دیگر به آن نیاز ندارید، باید هنگام کنار گذاشتن آن با احتیاط رفتار نمایید. دور انداختن نامناسب در داده های طبقه بندی شده منجر به سوء استفاده و نشت اطلاعات می شود.\r\n\r\nبرای اسناد کاغذی، بهتر است که خرد شوند. برای ابزار ذخیره سازی اپتیکال( به عنوان مثال CD و یا DVD ) تخریب فیزیکی باید انجام شود. مثلا باید لایه نوری از روی دیسک از بین برود. برای ابزار ذخیره سازی الکترونیک مانند هارد دیسک ها باید اطمینان کامل حاصل شود که اطلاعات کاملا از روی آن ها پاک شده است و اگر دیگر نخواهیم از آن ها استفاده کنیم علاوه بر تخریبب فیزیکی می توان آن را در میدان مغناطیسی قوی قرار داد که دیگر قابل استفاده و بازیابی نباشد.","content_html":"
\n
\n
داده ها یا اطلاعات در محل کار و سازمان ها می توانند در اشکال مختلف مانند عکس، فیلم، فایل های پروژه، صورت جلسات، ایمیل ها و ..... ایجاد شوند. این اطلاعات می توانند به عنوان اسناد کاغذی چاپ و یا در ابزارهایی همچون هاردیسک ها، کارت های حافظه، دیسک نوری و..... به عنوان اسناد دیجیتال ذخیره شوند و یا حتی با امکاناتی جدیدتر همچون رایانش ابری (Cloud computing) اطلاعاتشان را در فضای مجازی ذخیره نمایید.<\/div>\n<\/div>\n<\/div>\n\n
اگر اطلاعاتی را که نگهداری می کنید دارای ارزش تجاری هستند، ممکن است که رقبا بخواهند به آن اطلاعات دست پیدا کنند. در همین راستا ممکن است یک کارمند ناراضی اطلاعات را افشا کند و یا اینکه یک کارمند حریص و طمع کار بخواهد اطلاعات را به فروش برساند. از سوی دیگر، بی دقتی و سهل انگاری کارمندان نیز ممکن است باعث نشت و افشا اطلاعات شود، که در این حالت عمدی در کار نبوده و این مسئله تصادفی انجام شده است. 

\nبرای جلوگیری از رخ دادن چنین اتفاق هایی در سازمان ها، نیاز است که در محل سازمان اطلاعات طبقه بندی شوند به طوری که برای محافظت از هریک از این طبقات،رفتار متناسب با آن در نظر گرفته شود.

\nطبقه بندی اطلاعات
\nدر زمینه امنیت اطلاعات، طبقه بندی داده ها و اطلاعات بر اساس میزان اهمیت و آسیب رسانی آن ها به سازمان در صورت افشا شدن و یا از بین رفتن آن ها انجام می شود.

\nبه منظور حفاظت از اطلاعات و داده های سازمان که به مثابه جواهرات روی تاج سازمان است. متوجه ساختن کارمندان از اهمیت موضوع ذخیره سازی اطلاعات سازمان در هر نوع دیجیتال و مکتوب باید جهت آگاه سازی در سیاست های سازمان گنجانده شود.

\nدسته بندی اطلاعات، انواع مختلفی دارد که هر سازمان با توجه به نیازهای خود یک نوع از آن را اتخاذ می کند. برخی از انواع طبقه بندی های معمول دسته بندی اطلاعات عبارتند از : سری، محرمانه، محدود، عمومی و .....

\nطبقه بندی کردن اطلاعات همچنین به تعیین نوع کنترل امنیتی که برای حفاظت از آن مناسب هستند، کمک می کند.
\nاز طریق چک لیست زیر می توانید تعیین کنید، آیا سازمان شما اقدامات لازم را برای جلوگیری از نشت اطلاعات اجرا کرده است.

• <\/span>شخصی
\n1-    آیا سازمان کارمندان را ملزم به امضای یک توافقنامه محرمانه می کند؟

\nالف) بله    ب) خیر

\n2-    آیا کارمندان سازمان نسبت به تهدیدات امنیتی اطلاعات و مسائل مربوط به آن آگاه هستند و مسئولیت ها و تعهدات خود نسبت به  حفاظت اطلاعات در سازمان را می دانند؟ 

\nالف) بله     ب) خیر

\n3-    آیا یک فرآیند و سیستم وجود دارد که نشان دهد، چه شخصی وارد سیستم شده است و از اطلاعات استفاده کرده است؟

\n     الف) بله     ب) خیر

• <\/span>سیاست ها
\n4-    آیا سازمان سیاستی دارد که طبقه بندی اطلاعات را تعریف کند ؟

\nالف) بله      ب) خیر

\nاگر پاسخ شما به سوال 4 بله است به سوال های 5 و 6 نیز پاسخ دهید.

\n5-     آیا سیاست های دسته بندی اطلاعات معیارهای حفاظت برای ذخیره سازی انواع داده های فیزیکی و یا دیجیتال را به تفکیک تعریف کرده است؟

\nالف) بله   ب) خیر

\n6-    آیا سازمان شما یک راهنما و دستورالعمل برای از بین بردن و یا طبقه بندی اطلاعات حساس تعریف کرده است؟

\nالف) بله   ب) خیر

• <\/span>اقدامات اجرایی 

\n7-  آیا سازمان ملزم می کند که تمامی اطلاعات موجود در سازمان مشخص شوند که به چه طبقه ای از اطلاعات تعلق دارند(برچسب گذاری) ؟

\nالف) بله     ب) خیر

\n8-  آیا انتقال اطلاعات طبقه بندی شده محدود به کانال های رسمی شرکت است و فقط از طریق ابزار رسمی ذخیره سازی سازمان انجام می شود؟

\nالف) بله      ب) خیر

\n9-  آیا سازمان امکانات لازم برای از بین بردن اطلاعات حساس و یا طبقه بندی شده در اختیار کارمندان می گذارد؟( امکاناتی همچون کاغذ خردکن و یا نرم افزارامنیتی برای محافظت از داده های دیجیتال)

\n       الف) بله    ب) خیر  

\n10- آیا سازمان شما معیارهایی را که از افشا و انتشار اطلاعات جلوگیری می کند را اجرا می کند؟ معیارهایی همچون: محدودسازی استفاده از اینترنت، عدم استفاده از ابزار ذخیره سازی غیر رسمی، نرم افزارهای نامعتبر و عدم استفاده از ابزارهای شخصی مانند لپ تاپ و گوشی های هوشمند، فلش مموری و....      

\n      الف) بله   ب) خیر<\/span><\/div>\n\n

اگر پاسخ شما به تمام سوالات بله باشد. شما باید برخی اقدامات امنیتی برای جلوگیری از نشت و افشا داده در سازمان انجام دهید. اقدامات امنیتی که شما برای جلوگیری از انتشار و نشت اطلاعات در سازمانتان باید انجام دهید، فقط و تنها محدود به مواردی که در چک لیست بالا آمده است نمی شود. سازمان ها باید به دستورالعمل و راهنماها و استانداردهای امنیت اطلاعات بین المللی مراجعه و از آن ها نیز استفاده کنند.<\/span>
\n <\/div>\n\n
\"\"<\/span><\/div>\n\n

برخی معیارها برای جلوگیری از انتشار اطلاعات  :

\n• توافق محرمانه 
\nیک توافق محرمانه یا غیرقابل افشا به عنوان یک قراداد مابین سازمان و کارمند است که کارمند را در به اشتراک گذاری اطلاعات دسته بندی شده، دانش سازمان و ..... به اشخاص ثالث محدد می کند.

\n• طبقه بندی داده ها
\nطبقه بندی و مشخص کردن داده ها، تضمین می کند که آن ها به مورد حفاظت قرار گرفته اند. سازمان باید یک راهنمای واضح و روشن در مورد نحوه کارکرد کارکنان با اطلاعات طبقه بندی شده فراهم کند.

\n• استفاده از کانال های انتقال اطلاعات و ابزارهای ذخیره سازی رسمی

\nبه منظور کاهش خطرات افشای اطلاعات غیر مجاز یا افشای تصادفی، انتقال اطلاعات دسته بندی شده باید فقط با استفاده از ایمیل رسمی شرکت به جای استفاده از ایمیل های شخصی استفاده شود. اطمینان حاصل کنید اطلاعات طبقه بندی شده تنها از طریق ابزارهای ذخیره سازی رسمی، که تحت نظارت و کنترل منظم هستند، انتقال داده می شوند.

\n• رمزگذاری داده ها
\nاز اطلاعات طبقه بندی شده ذخیره در ابزار الکترونیک از قبیل هاردیسک، فلش مموری، دیسک های نوری و ... با رمزگذاری آن ها با یک الگوریتم قوی محافظت نمایید. این نحوه محافظت باعث می شود در صورتی که اگر اطلاعات گم شود و یا در اختیار دیگران قرار گیرد نتوانند به راحتی از آن ها استفاده کنند.

\n• از رده خارج کردن (امحا) مناسب ابزار استفاده شده
\nهنگامی که ابزاری برای مثال هاردیسکی که در آن داده های طبقه بندی شده ذخیره شده است که دیگر به آن نیاز ندارید، باید هنگام کنار گذاشتن آن با احتیاط رفتار نمایید. دور انداختن نامناسب در داده های طبقه بندی شده منجر به سوء استفاده و نشت اطلاعات می شود.

\nبرای اسناد کاغذی، بهتر است که خرد شوند. برای ابزار ذخیره سازی اپتیکال( به عنوان مثال CD و یا DVD ) تخریب فیزیکی باید انجام شود. مثلا باید لایه نوری از روی دیسک از بین برود. برای ابزار ذخیره سازی الکترونیک مانند هارد دیسک ها باید اطمینان کامل حاصل شود که اطلاعات کاملا از روی آن ها پاک شده است و اگر دیگر نخواهیم از آن ها استفاده کنیم علاوه بر تخریبب فیزیکی می توان آن را در میدان مغناطیسی قوی قرار داد که دیگر قابل استفاده و بازیابی نباشد.<\/span><\/div>","content_source":"","content_url":"","content_date_start":"2016-06-08 12:02:22","content_date_event":"2016-06-08 12:02:22","content_date_event_start":null,"content_date_event_end":null,"content_show_title_slider":1,"content_date_last_edit":"2016-06-08 14:02:25","content_date_register":"2016-06-08 12:05:33","content_columns":0,"content_show_img":1,"content_show_details":0,"content_show_related_img":0,"content_show_slider":1,"content_comment":1,"content_score":0,"tag_id":0,"score_average":null,"score_count":null,"score_date_last":null,"uid":15354,"eid":15354,"attach_title":null,"attaches":[{"sizes":{"150":".\/cache\/184\/attach\/201606\/43633_1285011472_150_120.webp","300":".\/cache\/184\/attach\/201606\/43633_1285011472_150_120.webp","400":".\/cache\/184\/attach\/201606\/43633_1285011472_150_120.webp","600":".\/cache\/184\/attach\/201606\/43633_1285011472_150_120.webp","900":".\/cache\/184\/attach\/201606\/43633_1285011472_150_120.webp","1200":".\/cache\/184\/attach\/201606\/43633_1285011472_150_120.webp"},"ext":"jpg","file_media":1,"token":1285011472,"files":{"original":{"url":".\/file\/184\/attach\/201606\/43633_1285011472.jpg","width":150,"height":120,"size":0}}}]}]]