© ವಾಡಿಮ್ ಗ್ರೆಬೆನ್ನಿಕೋವ್, 2018
ISBN 978-5-4493-0690-6
ಬೌದ್ಧಿಕ ಪ್ರಕಾಶನ ವ್ಯವಸ್ಥೆ ರೈಡಿರೊದಲ್ಲಿ ರಚಿಸಲಾಗಿದೆ
1. ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣಾ ಮಾನದಂಡಗಳ ಕುಟುಂಬ
1.1. ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣಾ ಮಾನದಂಡಗಳ ಅಭಿವೃದ್ಧಿಯ ಇತಿಹಾಸ
ಇಂದು, ಡಿಜಿಟಲ್ ಜಾಗದ ಭದ್ರತೆಯು ಪ್ರತಿ ದೇಶದ ರಾಷ್ಟ್ರೀಯ ಭದ್ರತೆಗೆ ಹೊಸ ಮಾರ್ಗವನ್ನು ತೋರಿಸುತ್ತದೆ. ವ್ಯವಹಾರದಲ್ಲಿ ಮೌಲ್ಯಯುತವಾದ ಸರಕು ಮಾಹಿತಿಯ ಪಾತ್ರದಿಂದಾಗಿ, ಅದರ ರಕ್ಷಣೆ ಖಂಡಿತವಾಗಿಯೂ ಅವಶ್ಯಕವಾಗಿದೆ. ಈ ಗುರಿಯನ್ನು ಸಾಧಿಸಲು, ಪ್ರತಿ ಸಂಸ್ಥೆಯು ಮಾಹಿತಿಯ ಮಟ್ಟವನ್ನು ಅವಲಂಬಿಸಿ (ಆರ್ಥಿಕ ಮೌಲ್ಯದ ದೃಷ್ಟಿಯಿಂದ), ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಯ ಅಭಿವೃದ್ಧಿಯ ಅಗತ್ಯವಿರುತ್ತದೆ (ಇನ್ನು ಮುಂದೆ ISMS ಎಂದು ಉಲ್ಲೇಖಿಸಲಾಗುತ್ತದೆ), ಆದರೆ ಅದರ ಮಾಹಿತಿ ಸ್ವತ್ತುಗಳನ್ನು ರಕ್ಷಿಸಲು ಸಾಧ್ಯವಿದೆ.
ಮಾಹಿತಿ ತಂತ್ರಜ್ಞಾನದ ಮೇಲೆ ಗಣನೀಯವಾಗಿ ಅವಲಂಬಿತವಾಗಿರುವ ಸಂಸ್ಥೆಗಳಲ್ಲಿ (ಇನ್ನು ಮುಂದೆ IT ಎಂದು ಉಲ್ಲೇಖಿಸಲಾಗುತ್ತದೆ), ಡೇಟಾವನ್ನು ರಕ್ಷಿಸಲು ಎಲ್ಲಾ ಸಾಧನಗಳನ್ನು ಬಳಸಬಹುದು. ಆದಾಗ್ಯೂ, ಗ್ರಾಹಕರು, ವ್ಯಾಪಾರ ಪಾಲುದಾರರು, ಇತರ ಸಂಸ್ಥೆಗಳು ಮತ್ತು ಸರ್ಕಾರಕ್ಕೆ ಮಾಹಿತಿ ಭದ್ರತೆ ಅತ್ಯಗತ್ಯ. ಈ ನಿಟ್ಟಿನಲ್ಲಿ, ಮೌಲ್ಯಯುತವಾದ ಮಾಹಿತಿಯನ್ನು ರಕ್ಷಿಸಲು, ಪ್ರತಿ ಸಂಸ್ಥೆಯು ಒಂದು ಅಥವಾ ಇನ್ನೊಂದು ತಂತ್ರ ಮತ್ತು ಅದರ ಆಧಾರದ ಮೇಲೆ ಭದ್ರತಾ ವ್ಯವಸ್ಥೆಯ ಅನುಷ್ಠಾನಕ್ಕಾಗಿ ಶ್ರಮಿಸಬೇಕು.
ಐಎಸ್ಎಂಎಸ್ ಎಂಬುದು ಮಾಹಿತಿ ಭದ್ರತೆಯ ಅಭಿವೃದ್ಧಿ, ಅನುಷ್ಠಾನ, ಆಡಳಿತ, ಮೇಲ್ವಿಚಾರಣೆ, ವಿಶ್ಲೇಷಣೆ, ನಿರ್ವಹಣೆ ಮತ್ತು ಸುಧಾರಣೆಗಾಗಿ ಅಪಾಯದ ಮೌಲ್ಯಮಾಪನ ಮತ್ತು ವಿಶ್ಲೇಷಣೆಯ ಆಧಾರದ ಮೇಲೆ ಸಮಗ್ರ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಯ ಭಾಗವಾಗಿದೆ (ಇನ್ನು ಮುಂದೆ IS ಎಂದು ಉಲ್ಲೇಖಿಸಲಾಗುತ್ತದೆ) ಮತ್ತು ಅದರ ಅನುಷ್ಠಾನವನ್ನು ಸಂಸ್ಥೆಯ ಗುರಿಗಳಿಂದ ಪಡೆಯಲಾಗಿದೆ ಮತ್ತು ಅವಶ್ಯಕತೆಗಳು, ಭದ್ರತಾ ಅವಶ್ಯಕತೆಗಳು ಬಳಸಿದ ಕಾರ್ಯವಿಧಾನಗಳು ಮತ್ತು ಅದರ ಸಂಸ್ಥೆಯ ಗಾತ್ರ ಮತ್ತು ರಚನೆ.
ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣೆಯ ತತ್ವಗಳು ಮತ್ತು ನಿಯಮಗಳ ಮೂಲವು 1980 ರ ದಶಕದಲ್ಲಿ UK ನಲ್ಲಿ ಪ್ರಾರಂಭವಾಯಿತು. ಆ ವರ್ಷಗಳಲ್ಲಿ, UK ಡಿಪಾರ್ಟ್ಮೆಂಟ್ ಆಫ್ ಟ್ರೇಡ್ ಅಂಡ್ ಇಂಡಸ್ಟ್ರಿ (DTI) ಮಾಹಿತಿ ಭದ್ರತೆಗಾಗಿ ಉತ್ತಮ ಅಭ್ಯಾಸಗಳ ಒಂದು ಸೆಟ್ ಅನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಲು ಕಾರ್ಯನಿರತ ಗುಂಪನ್ನು ಆಯೋಜಿಸಿತು.
1989 ರಲ್ಲಿ, DTI ಈ ಪ್ರದೇಶದಲ್ಲಿ PD 0003 ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣೆ ಅಭ್ಯಾಸ ಎಂದು ಕರೆಯಲ್ಪಡುವ ಮೊದಲ ಮಾನದಂಡವನ್ನು ಪ್ರಕಟಿಸಿತು. ಇದು ಭದ್ರತಾ ನಿಯಂತ್ರಣಗಳ ಪಟ್ಟಿಯಾಗಿದ್ದು, ಆ ಸಮಯದಲ್ಲಿ ಸಾಕಷ್ಟು, ಸಾಮಾನ್ಯ ಮತ್ತು ಉತ್ತಮವೆಂದು ಪರಿಗಣಿಸಲಾಗಿದೆ, ಇದು ಸಮಯದ ತಂತ್ರಜ್ಞಾನಗಳು ಮತ್ತು ಪರಿಸರ ಎರಡಕ್ಕೂ ಅನ್ವಯಿಸುತ್ತದೆ. DTI ಡಾಕ್ಯುಮೆಂಟ್ ಅನ್ನು ಬ್ರಿಟಿಷ್ ಸ್ಟ್ಯಾಂಡರ್ಡ್ (BS) ಗೆ ಆಡಳಿತ ದಾಖಲೆಯಾಗಿ ಪ್ರಕಟಿಸಲಾಗಿದೆ.
1995 ರಲ್ಲಿ, ಬ್ರಿಟಿಷ್ ಸ್ಟ್ಯಾಂಡರ್ಡ್ಸ್ ಇನ್ಸ್ಟಿಟ್ಯೂಷನ್ (BSI) ರಾಷ್ಟ್ರೀಯ ಮಾನದಂಡ BS 7799-1 "ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣೆ ಅಭ್ಯಾಸ" ವನ್ನು ಅಳವಡಿಸಿಕೊಂಡಿತು. ಇದು ISMS (ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆ, ISMS) ಅನ್ನು ನಿರ್ಮಿಸಲು ಅಗತ್ಯವಾದ 10 ಪ್ರದೇಶಗಳು ಮತ್ತು 127 ನಿಯಂತ್ರಣ ಕಾರ್ಯವಿಧಾನಗಳನ್ನು ವಿವರಿಸಿದೆ, ವಿಶ್ವ ಅಭ್ಯಾಸದಿಂದ ಉತ್ತಮ ಉದಾಹರಣೆಗಳ ಆಧಾರದ ಮೇಲೆ ಗುರುತಿಸಲಾಗಿದೆ.
ಈ ಮಾನದಂಡವು ಎಲ್ಲಾ ಅಂತರರಾಷ್ಟ್ರೀಯ ISMS ಮಾನದಂಡಗಳ ಮೂಲವಾಗಿದೆ. ಯಾವುದೇ ರಾಷ್ಟ್ರೀಯ ಮಾನದಂಡದಂತೆ, 1995-2000 ಅವಧಿಯಲ್ಲಿ BS 7799 ಅನ್ನು ಆನಂದಿಸಿದೆ, ಬ್ರಿಟಿಷ್ ಕಾಮನ್ವೆಲ್ತ್ನ ದೇಶಗಳಲ್ಲಿ ಮಾತ್ರ ಮಧ್ಯಮ ಜನಪ್ರಿಯತೆಯನ್ನು ಹೊಂದಿದೆ.
1998 ರಲ್ಲಿ, ಈ ಮಾನದಂಡದ ಎರಡನೇ ಭಾಗವು ಕಾಣಿಸಿಕೊಂಡಿತು - BS 7799-2 “ISMS. ಸ್ಪೆಸಿಫಿಕೇಶನ್ ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ ಗೈಡ್," ಇದು ISMS ಅನ್ನು ನಿರ್ಮಿಸಲು ಸಾಮಾನ್ಯ ಮಾದರಿ ಮತ್ತು ಪ್ರಮಾಣೀಕರಣವನ್ನು ಕೈಗೊಳ್ಳಬೇಕಾದ ಅನುಸರಣೆಗೆ ಕಡ್ಡಾಯ ಅವಶ್ಯಕತೆಗಳ ಗುಂಪನ್ನು ವ್ಯಾಖ್ಯಾನಿಸುತ್ತದೆ. BS 7799 ರ ಎರಡನೇ ಭಾಗದ ಆಗಮನದೊಂದಿಗೆ, ಇದು ISMS ಏನಾಗಿರಬೇಕು ಎಂಬುದನ್ನು ವ್ಯಾಖ್ಯಾನಿಸುತ್ತದೆ, ಸುರಕ್ಷತೆ ನಿರ್ವಹಣೆಯ ಕ್ಷೇತ್ರದಲ್ಲಿ ಪ್ರಮಾಣೀಕರಣ ವ್ಯವಸ್ಥೆಯ ಸಕ್ರಿಯ ಅಭಿವೃದ್ಧಿ ಪ್ರಾರಂಭವಾಯಿತು.
1999 ರ ಕೊನೆಯಲ್ಲಿ, ಇಂಟರ್ನ್ಯಾಷನಲ್ ಆರ್ಗನೈಸೇಶನ್ ಫಾರ್ ಸ್ಟ್ಯಾಂಡರ್ಡೈಸೇಶನ್ (ISO) ಮತ್ತು ಇಂಟರ್ನ್ಯಾಷನಲ್ ಎಲೆಕ್ಟ್ರೋಟೆಕ್ನಿಕಲ್ ಕಮಿಷನ್ (IEC) ಯ ತಜ್ಞರು ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಮಾನದಂಡಗಳಲ್ಲಿ ಯಾವುದೇ ವಿಶೇಷವಾದ IS ನಿರ್ವಹಣಾ ಮಾನದಂಡಗಳಿಲ್ಲ ಎಂಬ ತೀರ್ಮಾನಕ್ಕೆ ಬಂದರು. ಅಂತೆಯೇ, ಹೊಸ ಮಾನದಂಡವನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸದಿರಲು ನಿರ್ಧರಿಸಲಾಯಿತು, ಆದರೆ, BSI ಜೊತೆಗಿನ ಒಪ್ಪಂದದಲ್ಲಿ, BS 7799-1 ಅನ್ನು ಆಧಾರವಾಗಿ ಬಳಸಿಕೊಂಡು, ಅನುಗುಣವಾದ ISO/IEC ಅಂತರಾಷ್ಟ್ರೀಯ ಮಾನದಂಡವನ್ನು ಅಳವಡಿಸಿಕೊಳ್ಳಲು ನಿರ್ಧರಿಸಲಾಯಿತು.
1999 ರ ಕೊನೆಯಲ್ಲಿ, BS 7799 ರ ಎರಡೂ ಭಾಗಗಳನ್ನು ಪರಿಷ್ಕರಿಸಲಾಗಿದೆ ಮತ್ತು ಅಂತರರಾಷ್ಟ್ರೀಯ ಮಾನದಂಡಗಳಾದ ISO/IEC 9001 ಮತ್ತು ISO/IEC 14001 ಪರಿಸರ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಗಳೊಂದಿಗೆ ಸಮನ್ವಯಗೊಳಿಸಲಾಯಿತು ಮತ್ತು ಒಂದು ವರ್ಷದ ನಂತರ, ಬದಲಾವಣೆಗಳಿಲ್ಲದೆ, BS 7799-1 ಅನ್ನು ಅಂತರರಾಷ್ಟ್ರೀಯ ಮಾನದಂಡವಾಗಿ ಅಳವಡಿಸಲಾಯಿತು. ISO/IEC 17799:2000 “ಮಾಹಿತಿ ತಂತ್ರಜ್ಞಾನಗಳು (ಇನ್ನು ಮುಂದೆ IT ಎಂದು ಉಲ್ಲೇಖಿಸಲಾಗುತ್ತದೆ). ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣೆಗೆ ಪ್ರಾಯೋಗಿಕ ನಿಯಮಗಳು."
2002 ರಲ್ಲಿ, BS 7799-1 (ISO/IEC 17799) ನ ಮೊದಲ ಭಾಗ ಮತ್ತು BS 7799-2 ನ ಎರಡನೇ ಭಾಗ ಎರಡನ್ನೂ ನವೀಕರಿಸಲಾಯಿತು.
ISO/IEC 17799 ರ ಪ್ರಕಾರ ಅಧಿಕೃತ ಪ್ರಮಾಣೀಕರಣಕ್ಕೆ ಸಂಬಂಧಿಸಿದಂತೆ, ಇದನ್ನು ಆರಂಭದಲ್ಲಿ ಒದಗಿಸಲಾಗಿಲ್ಲ (BS 7799 ನೊಂದಿಗೆ ಸಂಪೂರ್ಣ ಸಾದೃಶ್ಯ). BS 7799-2 ಗೆ ಪ್ರಮಾಣೀಕರಣವನ್ನು ಮಾತ್ರ ಒದಗಿಸಲಾಗಿದೆ, ಇದು ಹಲವಾರು ಕಡ್ಡಾಯ ಅವಶ್ಯಕತೆಗಳು (BS 7799-1 ನಲ್ಲಿ ಸೇರಿಸಲಾಗಿಲ್ಲ) ಮತ್ತು ಅನುಬಂಧದಲ್ಲಿ ಷರತ್ತುಬದ್ಧ ಕಡ್ಡಾಯ ಪಟ್ಟಿ (ಪ್ರಮಾಣಕಾರರ ವಿವೇಚನೆಯಿಂದ) BS ನ ಪ್ರಮುಖ ಅವಶ್ಯಕತೆಗಳು 7799-1 (ISO/IEC 17799).
CIS ನಲ್ಲಿ, ನವೆಂಬರ್ 2004 ರಲ್ಲಿ ISO/IEC 17799:2000 ಮಾನದಂಡವನ್ನು ರಾಷ್ಟ್ರೀಯ ಮಾನದಂಡವಾಗಿ ಅಳವಡಿಸಿಕೊಂಡ ಮೊದಲ ದೇಶವೆಂದರೆ ಬೆಲಾರಸ್. ರಷ್ಯಾ ಈ ಮಾನದಂಡವನ್ನು 2007 ರಲ್ಲಿ ಮಾತ್ರ ಪರಿಚಯಿಸಿತು. ಅದರ ಆಧಾರದ ಮೇಲೆ, ರಷ್ಯಾದ ಒಕ್ಕೂಟದ ಸೆಂಟ್ರಲ್ ಬ್ಯಾಂಕ್ ರಷ್ಯಾದ ಒಕ್ಕೂಟದ ಬ್ಯಾಂಕಿಂಗ್ ವಲಯಕ್ಕೆ ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣಾ ಮಾನದಂಡವನ್ನು ರಚಿಸಿದೆ.
ISO/IEC ಒಳಗೆ, ಉಪಸಮಿತಿ ಸಂಖ್ಯೆ 27 ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣೆಗಾಗಿ ಅಂತರಾಷ್ಟ್ರೀಯ ಮಾನದಂಡಗಳ ಕುಟುಂಬದ ಅಭಿವೃದ್ಧಿಗೆ ಜವಾಬ್ದಾರವಾಗಿದೆ, ಆದ್ದರಿಂದ 27000 (27k) ನಿಂದ ಪ್ರಾರಂಭವಾಗುವ ಅನುಕ್ರಮ ಸಂಖ್ಯೆಗಳ ಸರಣಿಯನ್ನು ಬಳಸಿಕೊಂಡು ಈ ಮಾನದಂಡಗಳ ಕುಟುಂಬಕ್ಕೆ ಒಂದು ಸಂಖ್ಯೆಯ ಯೋಜನೆಯನ್ನು ಅಳವಡಿಸಿಕೊಳ್ಳಲಾಗಿದೆ.
2005 ರಲ್ಲಿ, ISO/IEC ಜಂಟಿ ತಾಂತ್ರಿಕ ಸಮಿತಿ JTC 1 IT ಭದ್ರತಾ ತಂತ್ರಗಳು, ಉಪಸಮಿತಿ SC 27 IT ಭದ್ರತಾ ತಂತ್ರಗಳು, ISO/IEC 27001 IT ಭದ್ರತಾ ಪ್ರಮಾಣೀಕರಣ ಮಾನದಂಡವನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಿತು. ರಕ್ಷಣೆ ವಿಧಾನಗಳು. SUIS. ಅಗತ್ಯತೆಗಳು”, ಇದು BS 7799-2 ಅನ್ನು ಬದಲಿಸಿದೆ ಮತ್ತು ಈಗ ISO 27001 ರ ಪ್ರಕಾರ ಪ್ರಮಾಣೀಕರಣವನ್ನು ಕೈಗೊಳ್ಳಲಾಗುತ್ತದೆ.
2005 ರಲ್ಲಿ, ISO/IEC 17799:2000, ISO/IEC 27002:2005 “IT. ರಕ್ಷಣೆ ವಿಧಾನಗಳು. ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣೆಗಾಗಿ ನಿಯಮಗಳು ಮತ್ತು ನಿಯಮಗಳ ಸೆಟ್."
2006 ರ ಆರಂಭದಲ್ಲಿ, ಹೊಸ ಬ್ರಿಟಿಷ್ ರಾಷ್ಟ್ರೀಯ ಮಾನದಂಡವಾದ BS 7799-3 ISMS ಅನ್ನು ಅಳವಡಿಸಿಕೊಳ್ಳಲಾಯಿತು. ಗೈಡ್ ಟು ಇನ್ಫಾರ್ಮೇಶನ್ ಸೆಕ್ಯುರಿಟಿ ರಿಸ್ಕ್ ಮ್ಯಾನೇಜ್ಮೆಂಟ್", ಇದು 2008 ರಲ್ಲಿ ಅಂತರಾಷ್ಟ್ರೀಯ ಗುಣಮಟ್ಟದ ISO/IEC 27005 "IT ಯ ಸ್ಥಾನಮಾನವನ್ನು ಪಡೆಯಿತು. ರಕ್ಷಣೆ ವಿಧಾನಗಳು. ಮಾಹಿತಿ ಭದ್ರತಾ ಅಪಾಯ ನಿರ್ವಹಣೆ".
2004 ರಲ್ಲಿ, ಬ್ರಿಟಿಷ್ ಸ್ಟ್ಯಾಂಡರ್ಡ್ಸ್ ಇನ್ಸ್ಟಿಟ್ಯೂಟ್ ISO/IEC TR 18044 “IT. ರಕ್ಷಣೆ ವಿಧಾನಗಳು. ಮಾಹಿತಿ ಭದ್ರತಾ ಘಟನೆ ನಿರ್ವಹಣೆ." 2011 ರಲ್ಲಿ, ISO/IEC 27035 "IT" ಮಾನದಂಡವನ್ನು ಅದರ ಆಧಾರದ ಮೇಲೆ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾಯಿತು. ರಕ್ಷಣೆ ವಿಧಾನಗಳು. ಮಾಹಿತಿ ಭದ್ರತಾ ಘಟನೆ ನಿರ್ವಹಣೆ."
2009 ರಲ್ಲಿ, ISO/IEC 27000 IT ಮಾನದಂಡವನ್ನು ಅಳವಡಿಸಿಕೊಳ್ಳಲಾಯಿತು. SUIS. ಸಾಮಾನ್ಯ ಅವಲೋಕನ ಮತ್ತು ಪರಿಭಾಷೆ." ಇದು ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಗಳ ಅವಲೋಕನವನ್ನು ಒದಗಿಸುತ್ತದೆ ಮತ್ತು ಸಂಬಂಧಿತ ನಿಯಮಗಳನ್ನು ವ್ಯಾಖ್ಯಾನಿಸುತ್ತದೆ. ಎಚ್ಚರಿಕೆಯಿಂದ ಪದಗಳ ಔಪಚಾರಿಕ ವ್ಯಾಖ್ಯಾನಗಳ ನಿಘಂಟು ISO/IEC 27 ಗುಂಪಿನ ಮಾನದಂಡಗಳಲ್ಲಿ ಬಳಸಲಾದ ಹೆಚ್ಚಿನ ವಿಶೇಷ ಮಾಹಿತಿ ಭದ್ರತಾ ಪದಗಳನ್ನು ಒಳಗೊಂಡಿದೆ.
ಸೆಪ್ಟೆಂಬರ್ 25, 2013 ರಂದು, ISO/IEC 27001 ಮತ್ತು 27002 ಮಾನದಂಡಗಳ ಹೊಸ ಆವೃತ್ತಿಗಳನ್ನು ಪ್ರಕಟಿಸಲಾಯಿತು, ISO/IEC 27k ಸರಣಿಯ ಮಾನದಂಡಗಳು (ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣೆ) ISO/IEC 20k ಸರಣಿಯ ಮಾನದಂಡಗಳೊಂದಿಗೆ ಸಂಪೂರ್ಣವಾಗಿ ಸಂಯೋಜಿಸಲ್ಪಟ್ಟಿವೆ. ನಿರ್ವಹಣೆ). ISO/IEC 27001 ನಿಂದ ಎಲ್ಲಾ ಪರಿಭಾಷೆಯನ್ನು ISO/IEC 27000 ಗೆ ವರ್ಗಾಯಿಸಲಾಗಿದೆ, ಇದು ಸಂಪೂರ್ಣ ISO/IEC 27k ಕುಟುಂಬದ ಮಾನದಂಡಗಳಿಗೆ ಸಾಮಾನ್ಯ ಪರಿಭಾಷೆಯನ್ನು ವ್ಯಾಖ್ಯಾನಿಸುತ್ತದೆ.
1.2. ಪ್ರಮಾಣಿತ ISO/IEC 27000-2014
ISO/IEC 27000 IT ಗೆ ಇತ್ತೀಚಿನ ನವೀಕರಣ. SUIS. ಸಾಮಾನ್ಯ ಅವಲೋಕನ ಮತ್ತು ಪರಿಭಾಷೆ" ಜನವರಿ 14, 2014 ರಂದು ನಡೆಯಿತು.
ಮಾನದಂಡವು ಈ ಕೆಳಗಿನ ವಿಭಾಗಗಳನ್ನು ಒಳಗೊಂಡಿದೆ:
- ಪರಿಚಯ;
- ಅಪ್ಲಿಕೇಶನ್ ವ್ಯಾಪ್ತಿ;
- ನಿಯಮಗಳು ಮತ್ತು ವ್ಯಾಖ್ಯಾನಗಳು;
- ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಗಳು;
- ISMS ಮಾನದಂಡಗಳ ಕುಟುಂಬ.
ಪರಿಚಯ
ವಿಮರ್ಶೆ
ಅಂತರರಾಷ್ಟ್ರೀಯ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಯ ಮಾನದಂಡಗಳು ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಯ ಸ್ಥಾಪನೆ ಮತ್ತು ಕಾರ್ಯಾಚರಣೆಗೆ ಮಾದರಿಯನ್ನು ಒದಗಿಸುತ್ತದೆ. ಈ ಮಾದರಿಯು ಈ ಪ್ರದೇಶದಲ್ಲಿ ಸಂಗ್ರಹವಾದ ಅಂತರರಾಷ್ಟ್ರೀಯ ಅನುಭವದ ಆಧಾರದ ಮೇಲೆ ತಜ್ಞರು ಒಪ್ಪಂದಕ್ಕೆ ಬಂದ ಕಾರ್ಯಗಳನ್ನು ಒಳಗೊಂಡಿದೆ.
ISMS ಮಾನದಂಡಗಳ ಕುಟುಂಬವನ್ನು ಬಳಸುವ ಮೂಲಕ, ಸಂಸ್ಥೆಗಳು ISMS ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದು ಮತ್ತು ಸುಧಾರಿಸಬಹುದು ಮತ್ತು ಹಣಕಾಸಿನ ಮಾಹಿತಿ, ಬೌದ್ಧಿಕ ಆಸ್ತಿ, ಸಿಬ್ಬಂದಿ ಮಾಹಿತಿ ಮತ್ತು ಗ್ರಾಹಕರು ಅಥವಾ ಮೂರನೇ ವ್ಯಕ್ತಿಗಳು ವಹಿಸಿಕೊಡುವ ಮಾಹಿತಿಯಂತಹ ಮಾಹಿತಿಯನ್ನು ರಕ್ಷಿಸಲು ಬಳಸುವ ISMS ನ ಸ್ವತಂತ್ರ ಮೌಲ್ಯಮಾಪನಕ್ಕೆ ಸಿದ್ಧರಾಗಬಹುದು. ಈ ಮಾನದಂಡಗಳನ್ನು ಸಂಸ್ಥೆಯು ತನ್ನ ಮಾಹಿತಿ ಭದ್ರತೆಯ ISMS ನ ಸ್ವತಂತ್ರ ಮೌಲ್ಯಮಾಪನವನ್ನು ತಯಾರಿಸಲು ಬಳಸಬಹುದು.
ಮಾನದಂಡಗಳ ISMS ಕುಟುಂಬ
"ಮಾಹಿತಿ ತಂತ್ರಜ್ಞಾನ" ಎಂಬ ಸಾಮಾನ್ಯ ಹೆಸರನ್ನು ಹೊಂದಿರುವ ISMS ಮಾನದಂಡಗಳ ಕುಟುಂಬ. ಭದ್ರತಾ ತಂತ್ರಗಳು" (ಮಾಹಿತಿ ತಂತ್ರಜ್ಞಾನ. ರಕ್ಷಣೆ ವಿಧಾನಗಳು), ISMS ನ ಅನುಷ್ಠಾನ ಮತ್ತು ಕಾರ್ಯಾಚರಣೆಯಲ್ಲಿ ಯಾವುದೇ ರೀತಿಯ ಮತ್ತು ಗಾತ್ರದ ಸಂಸ್ಥೆಗಳಿಗೆ ಸಹಾಯ ಮಾಡಲು ಉದ್ದೇಶಿಸಲಾಗಿದೆ ಮತ್ತು ಈ ಕೆಳಗಿನ ಅಂತರರಾಷ್ಟ್ರೀಯ ಮಾನದಂಡಗಳನ್ನು ಒಳಗೊಂಡಿದೆ:
– ISO/IEC 27000 ISMS. ಸಾಮಾನ್ಯ ಅವಲೋಕನ ಮತ್ತು ಪರಿಭಾಷೆ;
– ISO/IEC 27001 ISMS. ಅವಶ್ಯಕತೆಗಳು;
- ISO/IEC 27002 ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣೆಗಾಗಿ ಅಭ್ಯಾಸದ ಕೋಡ್;
– ISO/IEC 27003 ISMS ನ ಅನುಷ್ಠಾನಕ್ಕಾಗಿ ಮಾರ್ಗಸೂಚಿಗಳು;
– ISO/IEC 27004 PEB. ಅಳತೆಗಳು;
- ISO/IEC 27005 ಮಾಹಿತಿ ಭದ್ರತಾ ಅಪಾಯ ನಿರ್ವಹಣೆ;
- ISO/IEC 27006 ISMS ಆಡಿಟ್ ಮತ್ತು ಪ್ರಮಾಣೀಕರಣವನ್ನು ಒದಗಿಸುವ ಸಂಸ್ಥೆಗಳಿಗೆ ಅಗತ್ಯತೆಗಳು;
– ISO/IEC 27007 ISMS ಆಡಿಟ್ ನಡೆಸಲು ಮಾರ್ಗಸೂಚಿಗಳು;
– ISO/IEC TR 27008 ಮಾಹಿತಿ ಭದ್ರತಾ ನಿಯಂತ್ರಣಗಳ ಲೆಕ್ಕಪರಿಶೋಧನೆಗಾಗಿ ಮಾರ್ಗಸೂಚಿಗಳು;
ISO/IEC 27010 PEB ಇಂಟರ್ಸೆಕ್ಟೊರಲ್ ಮತ್ತು ಇಂಟರ್ಆರ್ಗನೈಜೇಶನಲ್ ಕಮ್ಯುನಿಕೇಷನ್ಗಳಿಗಾಗಿ;
– ISO/IEC 27011 ISO/IEC 27002 ಆಧಾರಿತ ದೂರಸಂಪರ್ಕ ಸಂಸ್ಥೆಗಳಿಗೆ PIS ಗೆ ಮಾರ್ಗದರ್ಶಿ;
– ISO/IEC 27013 ISO/IEC 27001 ಮತ್ತು ISO/IEC 20000-1 ಮಾನದಂಡಗಳ ಸಮಗ್ರ ಅನುಷ್ಠಾನಕ್ಕಾಗಿ ಮಾರ್ಗದರ್ಶಿ;
- ISO/IEC 27014 ಹಿರಿಯ ನಿರ್ವಹಣೆಯಿಂದ ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣೆ;
– ISO/IEC TR 27015 PEB ಹಣಕಾಸು ಸೇವೆಗಳಿಗಾಗಿ ಮಾರ್ಗದರ್ಶಿ;
– ISO/IEC TR 27016 PEB. ಸಾಂಸ್ಥಿಕ ಅರ್ಥಶಾಸ್ತ್ರ;
- ISO/IEC 27035 ಮಾಹಿತಿ ಭದ್ರತಾ ಘಟನೆ ನಿರ್ವಹಣೆ (ಪ್ರಮಾಣಿತದಲ್ಲಿ ನಿರ್ದಿಷ್ಟಪಡಿಸಲಾಗಿಲ್ಲ).
ಅಂತರರಾಷ್ಟ್ರೀಯ ಮಾನದಂಡಗಳು ಈ ಸಾಮಾನ್ಯ ಹೆಸರನ್ನು ಹೊಂದಿಲ್ಲ:
– ISO 27799 ಆರೋಗ್ಯ ಮಾಹಿತಿ. ISO/IEC 27002 ಮಾನದಂಡದ ಪ್ರಕಾರ PEB.
ಮಾನದಂಡದ ಉದ್ದೇಶ
ಮಾನದಂಡವು ISMS ನ ಅವಲೋಕನವನ್ನು ಒದಗಿಸುತ್ತದೆ ಮತ್ತು ಸಂಬಂಧಿತ ಷರತ್ತುಗಳನ್ನು ವ್ಯಾಖ್ಯಾನಿಸುತ್ತದೆ.
ಮಾನದಂಡಗಳ ISMS ಕುಟುಂಬವು ಮಾನದಂಡಗಳನ್ನು ಒಳಗೊಂಡಿದೆ:
- ISMS ಮತ್ತು ಅಂತಹ ವ್ಯವಸ್ಥೆಗಳ ಪ್ರಮಾಣೀಕರಣದ ಅವಶ್ಯಕತೆಗಳನ್ನು ನಿರ್ಧರಿಸಿ;
- ISMS ಗಾಗಿ ಉದ್ಯಮ ಮಾರ್ಗಸೂಚಿಗಳನ್ನು ಸೇರಿಸಿ;
- ISMS ನ ಅನುಸರಣೆಯ ಮೌಲ್ಯಮಾಪನವನ್ನು ನಿರ್ವಹಿಸಿ.
1. ಅಪ್ಲಿಕೇಶನ್ ವ್ಯಾಪ್ತಿ
ಮಾನದಂಡವು ISMS ಮತ್ತು ISMS ಮಾನದಂಡಗಳ ಕುಟುಂಬದಲ್ಲಿ ಸಾಮಾನ್ಯವಾಗಿ ಬಳಸುವ ನಿಯಮಗಳು ಮತ್ತು ವ್ಯಾಖ್ಯಾನಗಳ ಅವಲೋಕನವನ್ನು ಒದಗಿಸುತ್ತದೆ. ಮಾನದಂಡವು ಎಲ್ಲಾ ರೀತಿಯ ಮತ್ತು ಗಾತ್ರದ ಸಂಸ್ಥೆಗಳಿಗೆ ಅನ್ವಯಿಸುತ್ತದೆ (ಉದಾ, ವಾಣಿಜ್ಯ ಉದ್ಯಮಗಳು, ಸರ್ಕಾರಿ ಸಂಸ್ಥೆಗಳು, ಲಾಭರಹಿತ ಸಂಸ್ಥೆಗಳು).
2. ನಿಯಮಗಳು ಮತ್ತು ವ್ಯಾಖ್ಯಾನಗಳು
ವಿಭಾಗವು 89 ಪದಗಳ ವ್ಯಾಖ್ಯಾನಗಳನ್ನು ಒಳಗೊಂಡಿದೆ, ಉದಾಹರಣೆಗೆ:
– ಮಾಹಿತಿ ವ್ಯವಸ್ಥೆ- ಅಪ್ಲಿಕೇಶನ್ಗಳು, ಸೇವೆಗಳು, ಐಟಿ ಸ್ವತ್ತುಗಳು ಮತ್ತು ಇತರ ಮಾಹಿತಿ ಸಂಸ್ಕರಣಾ ಘಟಕಗಳು;
– ಮಾಹಿತಿ ಭದ್ರತೆ (IS)- ಗೌಪ್ಯತೆ, ಸಮಗ್ರತೆ ಮತ್ತು ಮಾಹಿತಿಯ ಲಭ್ಯತೆಯನ್ನು ಕಾಪಾಡಿಕೊಳ್ಳುವುದು;
– ಲಭ್ಯತೆ- ಅಧಿಕೃತ ವ್ಯಕ್ತಿಯ ಕೋರಿಕೆಯ ಮೇರೆಗೆ ಪ್ರವೇಶಿಸಬಹುದಾದ ಮತ್ತು ಬಳಕೆಗೆ ಸಿದ್ಧವಾಗಿರುವ ಆಸ್ತಿ;
– ಗೌಪ್ಯತೆ- ಅನಧಿಕೃತ ವ್ಯಕ್ತಿಗಳಿಗೆ ಪ್ರವೇಶಿಸಲಾಗದ ಅಥವಾ ಮುಚ್ಚಬೇಕಾದ ಮಾಹಿತಿಯ ಆಸ್ತಿ;
– ಸಮಗ್ರತೆ- ನಿಖರತೆ ಮತ್ತು ಸಂಪೂರ್ಣತೆಯ ಆಸ್ತಿ;
– ಅಲ್ಲದ ನಿರಾಕರಣೆ- ಈವೆಂಟ್ ಅಥವಾ ಕ್ರಿಯೆಯ ಸಂಭವಿಸುವಿಕೆಯನ್ನು ಪ್ರಮಾಣೀಕರಿಸುವ ಸಾಮರ್ಥ್ಯ ಮತ್ತು ಅದನ್ನು ರಚಿಸುವ ವಿಷಯಗಳು;
– ಮಾಹಿತಿ ಭದ್ರತಾ ಘಟನೆ- ಮಾಹಿತಿ ಭದ್ರತಾ ನೀತಿ ಅಥವಾ ಕ್ರಮಗಳ ಸಂಭವನೀಯ ಉಲ್ಲಂಘನೆಯನ್ನು ಸೂಚಿಸುವ ವ್ಯವಸ್ಥೆಯ (ಸೇವೆ ಅಥವಾ ನೆಟ್ವರ್ಕ್) ಗುರುತಿಸಲಾದ ಸ್ಥಿತಿ ಅಥವಾ ಸುರಕ್ಷತೆಗೆ ಸಂಬಂಧಿಸಿದ ಹಿಂದೆ ತಿಳಿದಿಲ್ಲದ ಪರಿಸ್ಥಿತಿ;
– ಮಾಹಿತಿ ಭದ್ರತಾ ಘಟನೆ- ಒಂದು ಅಥವಾ ಹೆಚ್ಚಿನ ಮಾಹಿತಿ ಭದ್ರತಾ ಘಟನೆಗಳು ಗಮನಾರ್ಹ ಮಟ್ಟದ ಸಂಭವನೀಯತೆಯೊಂದಿಗೆ ವ್ಯಾಪಾರ ಕಾರ್ಯಾಚರಣೆಗಳ ರಾಜಿ ಮತ್ತು ಮಾಹಿತಿ ಸುರಕ್ಷತೆಗೆ ಬೆದರಿಕೆಗಳನ್ನು ಉಂಟುಮಾಡುತ್ತದೆ;
– ಘಟನೆ ನಿರ್ವಹಣೆIS- ಮಾಹಿತಿ ಭದ್ರತಾ ಘಟನೆಗಳ ಪತ್ತೆ, ಅಧಿಸೂಚನೆ, ಮೌಲ್ಯಮಾಪನ, ಪ್ರತಿಕ್ರಿಯೆ, ವಿಮರ್ಶೆ ಮತ್ತು ಅಧ್ಯಯನದ ಪ್ರಕ್ರಿಯೆಗಳು;
– ನಿಯಂತ್ರಣ ವ್ಯವಸ್ಥೆ- ಆ ಗುರಿಗಳನ್ನು ಸಾಧಿಸಲು ನೀತಿಗಳು, ಗುರಿಗಳು ಮತ್ತು ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಸ್ಥಾಪಿಸಲು ಸಂಸ್ಥೆಯ ಪರಸ್ಪರ ಸಂಬಂಧ ಹೊಂದಿರುವ ಅಂಶಗಳ ಒಂದು ಸೆಟ್;
– ಮೇಲ್ವಿಚಾರಣೆ- ವ್ಯವಸ್ಥೆ, ಪ್ರಕ್ರಿಯೆ ಅಥವಾ ಚಟುವಟಿಕೆಯ ಸ್ಥಿತಿಯನ್ನು ನಿರ್ಧರಿಸುವುದು;
– ನೀತಿ- ನಿರ್ವಹಣೆಯಿಂದ ಅಧಿಕೃತವಾಗಿ ವ್ಯಕ್ತಪಡಿಸಿದ ಸಾಮಾನ್ಯ ಉದ್ದೇಶ ಮತ್ತು ನಿರ್ದೇಶನ;
– ಅಪಾಯ- ಗುರಿಗಳಲ್ಲಿ ಅನಿಶ್ಚಿತತೆಯ ಪರಿಣಾಮ;
– ಬೆದರಿಕೆ- ಹಾನಿಯನ್ನುಂಟುಮಾಡುವ ಅನಗತ್ಯ ಘಟನೆಯ ಸಂಭವನೀಯ ಕಾರಣ;
– ದುರ್ಬಲತೆ- ಒಂದು ಅಥವಾ ಹೆಚ್ಚಿನ ಬೆದರಿಕೆಗಳಿಂದ ಬಳಸಿಕೊಳ್ಳಬಹುದಾದ ಆಸ್ತಿ ಅಥವಾ ಭದ್ರತಾ ಕ್ರಮದಲ್ಲಿನ ಕೊರತೆ.
3. ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಗಳು
"ISMS" ವಿಭಾಗವು ಈ ಕೆಳಗಿನ ಮುಖ್ಯ ಅಂಶಗಳನ್ನು ಒಳಗೊಂಡಿದೆ:
- ISMS ನ ವಿವರಣೆ;
- ISMS ನ ಅನುಷ್ಠಾನ, ನಿಯಂತ್ರಣ, ನಿರ್ವಹಣೆ ಮತ್ತು ಸುಧಾರಣೆ;
- ISMS ಕುಟುಂಬ ಮಾನದಂಡಗಳನ್ನು ಅನುಷ್ಠಾನಗೊಳಿಸುವ ಅನುಕೂಲಗಳು.
3.1. ಪರಿಚಯ
ಎಲ್ಲಾ ರೀತಿಯ ಮತ್ತು ಗಾತ್ರಗಳ ಸಂಸ್ಥೆಗಳು:
- ಮಾಹಿತಿಯನ್ನು ಸಂಗ್ರಹಿಸಿ, ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಿ, ಸಂಗ್ರಹಿಸಿ ಮತ್ತು ರವಾನಿಸಿ;
- ಸಂಸ್ಥೆಯ ಗುರಿಗಳನ್ನು ಸಾಧಿಸಲು ಮಾಹಿತಿ ಮತ್ತು ಸಂಬಂಧಿತ ಪ್ರಕ್ರಿಯೆಗಳು, ವ್ಯವಸ್ಥೆಗಳು, ನೆಟ್ವರ್ಕ್ಗಳು ಮತ್ತು ಜನರು ಪ್ರಮುಖ ಸ್ವತ್ತುಗಳು ಎಂದು ಗುರುತಿಸಿ;
- ಸ್ವತ್ತುಗಳ ಕಾರ್ಯನಿರ್ವಹಣೆಯ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವ ಹಲವಾರು ಅಪಾಯಗಳನ್ನು ಎದುರಿಸುವುದು;
- ಮಾಹಿತಿ ಭದ್ರತಾ ಕ್ರಮಗಳು ಮತ್ತು ಸಾಧನಗಳ ಅನುಷ್ಠಾನದ ಮೂಲಕ ಗ್ರಹಿಸಿದ ಅಪಾಯವನ್ನು ನಿವಾರಿಸಿ.
ಸಂಘಟನೆಯಿಂದ ಸಂಗ್ರಹಿಸಿದ ಮತ್ತು ಸಂಸ್ಕರಿಸಿದ ಎಲ್ಲಾ ಮಾಹಿತಿಯು ದಾಳಿ, ದೋಷ, ಪ್ರಕೃತಿ (ಉದಾಹರಣೆಗೆ, ಬೆಂಕಿ ಅಥವಾ ಪ್ರವಾಹ) ಇತ್ಯಾದಿಗಳ ಬೆದರಿಕೆಗಳಿಗೆ ಒಳಪಟ್ಟಿರುತ್ತದೆ ಮತ್ತು ಅದರ ಬಳಕೆಯಲ್ಲಿ ಅಂತರ್ಗತವಾಗಿರುವ ದುರ್ಬಲತೆಗಳಿಗೆ ಒಳಪಟ್ಟಿರುತ್ತದೆ.
ವಿಶಿಷ್ಟವಾಗಿ, ಮಾಹಿತಿ ಭದ್ರತೆಯ ಪರಿಕಲ್ಪನೆಯು ಮೌಲ್ಯದ ಸ್ವತ್ತು ಎಂದು ಪರಿಗಣಿಸಲಾದ ಮಾಹಿತಿಯನ್ನು ಆಧರಿಸಿದೆ ಮತ್ತು ಸೂಕ್ತವಾದ ರಕ್ಷಣೆಯ ಅಗತ್ಯವಿರುತ್ತದೆ (ಉದಾಹರಣೆಗೆ, ಲಭ್ಯತೆ, ಗೌಪ್ಯತೆ ಮತ್ತು ಸಮಗ್ರತೆಯ ನಷ್ಟದಿಂದ). ಅಧಿಕೃತ ವ್ಯಕ್ತಿಗಳು ನಿಖರವಾದ ಮತ್ತು ಸಂಪೂರ್ಣ ಮಾಹಿತಿಗೆ ಸಕಾಲಿಕ ಪ್ರವೇಶವನ್ನು ಹೊಂದುವ ಸಾಮರ್ಥ್ಯವು ವ್ಯವಹಾರದ ದಕ್ಷತೆಗೆ ವೇಗವರ್ಧಕವಾಗಿದೆ.
ಮಾಹಿತಿ ಸುರಕ್ಷತೆಯನ್ನು ವ್ಯಾಖ್ಯಾನಿಸುವ, ರಚಿಸುವ, ನಿರ್ವಹಿಸುವ ಮತ್ತು ಸುಧಾರಿಸುವ ಮೂಲಕ ಮಾಹಿತಿ ಸ್ವತ್ತುಗಳನ್ನು ಪರಿಣಾಮಕಾರಿಯಾಗಿ ರಕ್ಷಿಸುವುದು ಸಂಸ್ಥೆಯು ತನ್ನ ಗುರಿಗಳನ್ನು ಸಾಧಿಸಲು ಮತ್ತು ಕಾನೂನು ಅನುಸರಣೆ ಮತ್ತು ಖ್ಯಾತಿಯನ್ನು ಕಾಪಾಡಿಕೊಳ್ಳಲು ಮತ್ತು ಸುಧಾರಿಸಲು ಅವಶ್ಯಕವಾಗಿದೆ. ಸೂಕ್ತವಾದ ಭದ್ರತಾ ನಿಯಂತ್ರಣಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಮತ್ತು ಸ್ವೀಕಾರಾರ್ಹವಲ್ಲದ ಮಾಹಿತಿ ಸುರಕ್ಷತೆಯ ಅಪಾಯಗಳನ್ನು ನಿರ್ವಹಿಸಲು ಈ ಸಂಘಟಿತ ಪ್ರಯತ್ನಗಳನ್ನು ಸಾಮಾನ್ಯವಾಗಿ ಮಾಹಿತಿ ಭದ್ರತಾ ನಿಯಂತ್ರಣಗಳು ಎಂದು ಕರೆಯಲಾಗುತ್ತದೆ.
ಬದಲಾಗುತ್ತಿರುವ ಸಂದರ್ಭಗಳ ಆಧಾರದ ಮೇಲೆ ಮಾಹಿತಿ ಸುರಕ್ಷತೆಯ ಅಪಾಯಗಳು ಮತ್ತು ಭದ್ರತಾ ನಿಯಂತ್ರಣಗಳ ಪರಿಣಾಮಕಾರಿತ್ವವು ಬದಲಾಗುವುದರಿಂದ, ಸಂಸ್ಥೆಯು ಹೀಗೆ ಮಾಡಬೇಕು:
- ಅನುಷ್ಠಾನಗೊಂಡ ರಕ್ಷಣಾ ಕ್ರಮಗಳು ಮತ್ತು ಕಾರ್ಯವಿಧಾನಗಳ ಪರಿಣಾಮಕಾರಿತ್ವವನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಿ ಮತ್ತು ಮೌಲ್ಯಮಾಪನ ಮಾಡಿ;
- ಪ್ರಕ್ರಿಯೆಗೆ ಉದಯೋನ್ಮುಖ ಅಪಾಯಗಳನ್ನು ಗುರುತಿಸಿ;
- ಸೂಕ್ತವಾದ ರಕ್ಷಣಾ ಕ್ರಮಗಳನ್ನು ಆಯ್ಕೆಮಾಡಿ, ಕಾರ್ಯಗತಗೊಳಿಸಿ ಮತ್ತು ಸುಧಾರಿಸಿ.
ಮಾಹಿತಿ ಭದ್ರತಾ ಚಟುವಟಿಕೆಗಳನ್ನು ಪರಸ್ಪರ ಸಂಪರ್ಕಿಸಲು ಮತ್ತು ಸಂಘಟಿಸಲು, ಪ್ರತಿ ಸಂಸ್ಥೆಯು ಮಾಹಿತಿ ಭದ್ರತಾ ನೀತಿಗಳು ಮತ್ತು ಗುರಿಗಳನ್ನು ರೂಪಿಸಬೇಕು ಮತ್ತು ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಈ ಗುರಿಗಳನ್ನು ಪರಿಣಾಮಕಾರಿಯಾಗಿ ಸಾಧಿಸಬೇಕು.
3.2. ISMS ನ ವಿವರಣೆ
ISMS ನ ವಿವರಣೆಯು ಈ ಕೆಳಗಿನ ಅಂಶಗಳನ್ನು ಒಳಗೊಂಡಿದೆ:
- ನಿಬಂಧನೆಗಳು ಮತ್ತು ತತ್ವಗಳು;
- ಮಾಹಿತಿ;
- ಮಾಹಿತಿ ಭದ್ರತೆ;
- ನಿರ್ವಹಣೆ;
- ನಿಯಂತ್ರಣ ವ್ಯವಸ್ಥೆ;
- ಪ್ರಕ್ರಿಯೆ ವಿಧಾನ;
- ISMS ನ ಪ್ರಾಮುಖ್ಯತೆ.
ನಿಯಮಗಳು ಮತ್ತು ತತ್ವಗಳು
ಒಂದು ISMS ತನ್ನ ಮಾಹಿತಿ ಸ್ವತ್ತುಗಳ ರಕ್ಷಣೆಯನ್ನು ಸಾಧಿಸಲು ಸಂಸ್ಥೆಯು ಒಟ್ಟಾಗಿ ನಿರ್ವಹಿಸುವ ನೀತಿಗಳು, ಕಾರ್ಯವಿಧಾನಗಳು, ಮಾರ್ಗಸೂಚಿಗಳು ಮತ್ತು ಸಂಬಂಧಿತ ಸಂಪನ್ಮೂಲಗಳು ಮತ್ತು ಚಟುವಟಿಕೆಗಳನ್ನು ಒಳಗೊಂಡಿದೆ. ವ್ಯವಹಾರ ಗುರಿಗಳನ್ನು ಸಾಧಿಸಲು ಸಂಸ್ಥೆಯ ಮಾಹಿತಿ ಸುರಕ್ಷತೆಯನ್ನು ರಚಿಸುವುದು, ಕಾರ್ಯಗತಗೊಳಿಸುವುದು, ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವುದು, ನಿಯಂತ್ರಿಸುವುದು, ಪರಿಶೀಲಿಸುವುದು, ನಿರ್ವಹಿಸುವುದು ಮತ್ತು ಸುಧಾರಿಸುವ ವ್ಯವಸ್ಥಿತ ವಿಧಾನವನ್ನು ISMS ವ್ಯಾಖ್ಯಾನಿಸುತ್ತದೆ.
ಇದು ಅಪಾಯದ ಮೌಲ್ಯಮಾಪನ ಮತ್ತು ಸಂಸ್ಥೆಯ ಸ್ವೀಕಾರಾರ್ಹ ಅಪಾಯದ ಮಟ್ಟವನ್ನು ಆಧರಿಸಿದೆ, ಅಪಾಯವನ್ನು ಪರಿಣಾಮಕಾರಿಯಾಗಿ ನಿರ್ವಹಿಸಲು ಮತ್ತು ನಿರ್ವಹಿಸಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ. ಮಾಹಿತಿ ಆಸ್ತಿ ರಕ್ಷಣೆಯ ಅವಶ್ಯಕತೆಗಳನ್ನು ವಿಶ್ಲೇಷಿಸುವುದು ಮತ್ತು ಈ ಸ್ವತ್ತುಗಳ ಅಗತ್ಯ ರಕ್ಷಣೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಸೂಕ್ತವಾದ ಭದ್ರತಾ ಕ್ರಮಗಳನ್ನು ಅನ್ವಯಿಸುವುದು ISMS ನ ಯಶಸ್ವಿ ಅನುಷ್ಠಾನಕ್ಕೆ ಕೊಡುಗೆ ನೀಡುತ್ತದೆ.
ISMS ನ ಯಶಸ್ವಿ ಅನುಷ್ಠಾನಕ್ಕೆ ಕೆಳಗಿನ ಮೂಲ ತತ್ವಗಳು ಕೊಡುಗೆ ನೀಡುತ್ತವೆ:
- ಮಾಹಿತಿ ಭದ್ರತಾ ವ್ಯವಸ್ಥೆಯ ಅಗತ್ಯವನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದು;
- ಮಾಹಿತಿ ಭದ್ರತೆಗಾಗಿ ಜವಾಬ್ದಾರಿಯ ನಿಯೋಜನೆ;
- ನಿರ್ವಹಣೆಯ ಬದ್ಧತೆಗಳು ಮತ್ತು ಮಧ್ಯಸ್ಥಗಾರರ ಹಿತಾಸಕ್ತಿಗಳನ್ನು ಸಂಯೋಜಿಸುವುದು;
- ಸಾಮಾಜಿಕ ಮೌಲ್ಯಗಳ ಹೆಚ್ಚಳ;
- ಅಪಾಯದ ಸ್ವೀಕಾರಾರ್ಹ ಮಟ್ಟವನ್ನು ಸಾಧಿಸಲು ಸೂಕ್ತವಾದ ರಕ್ಷಣಾತ್ಮಕ ಕ್ರಮಗಳನ್ನು ನಿರ್ಧರಿಸುವ ಅಪಾಯದ ಮೌಲ್ಯಮಾಪನಗಳು;
- ಐಎಸ್ ಮತ್ತು ನೆಟ್ವರ್ಕ್ಗಳ ಅವಿಭಾಜ್ಯ ಅಂಶವಾಗಿ ಭದ್ರತೆ;
- ಮಾಹಿತಿ ಭದ್ರತಾ ಘಟನೆಗಳ ಸಕ್ರಿಯ ತಡೆಗಟ್ಟುವಿಕೆ ಮತ್ತು ಪತ್ತೆ;
- PEB ಗೆ ಸಮಗ್ರ ವಿಧಾನವನ್ನು ಖಾತ್ರಿಪಡಿಸುವುದು;
- ನಿರಂತರ ಮರು ಮೌಲ್ಯಮಾಪನ ಮತ್ತು ಮಾಹಿತಿ ಭದ್ರತೆಯ ಅನುಗುಣವಾದ ಸುಧಾರಣೆ.
ಮಾಹಿತಿ
ಮಾಹಿತಿಯು ಇತರ ನಿರ್ಣಾಯಕ ವ್ಯಾಪಾರ ಸ್ವತ್ತುಗಳ ಜೊತೆಗೆ ಸಂಸ್ಥೆಯ ವ್ಯವಹಾರಕ್ಕೆ ಮುಖ್ಯವಾದ ಒಂದು ಸ್ವತ್ತು ಮತ್ತು ಆದ್ದರಿಂದ ಅದಕ್ಕೆ ಅನುಗುಣವಾಗಿ ರಕ್ಷಿಸಬೇಕು. ಮಾಹಿತಿಯನ್ನು ಡಿಜಿಟಲ್ ರೂಪದಲ್ಲಿ (ಉದಾಹರಣೆಗೆ, ಎಲೆಕ್ಟ್ರಾನಿಕ್ ಅಥವಾ ಆಪ್ಟಿಕಲ್ ಮಾಧ್ಯಮದಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾದ ಡೇಟಾ ಫೈಲ್ಗಳು), ಸ್ಪಷ್ಟವಾದ ರೂಪ (ಉದಾಹರಣೆಗೆ, ಕಾಗದ) ಮತ್ತು ಉದ್ಯೋಗಿ ಜ್ಞಾನದ ರೂಪದಲ್ಲಿ ಅಮೂರ್ತ ರೂಪ ಸೇರಿದಂತೆ ವಿವಿಧ ರೂಪಗಳಲ್ಲಿ ಸಂಗ್ರಹಿಸಬಹುದು.
ಕೊರಿಯರ್, ಎಲೆಕ್ಟ್ರಾನಿಕ್ ಅಥವಾ ಧ್ವನಿ ಸಂವಹನ ಸೇರಿದಂತೆ ವಿವಿಧ ರೀತಿಯಲ್ಲಿ ಮಾಹಿತಿಯನ್ನು ರವಾನಿಸಬಹುದು. ಮಾಹಿತಿಯನ್ನು ಪ್ರಸ್ತುತಪಡಿಸುವ ರೂಪದಲ್ಲಿ ಅಥವಾ ಅದನ್ನು ರವಾನಿಸಲು ಬಳಸುವ ವಿಧಾನದ ಹೊರತಾಗಿಯೂ, ಅದನ್ನು ಸರಿಯಾಗಿ ರಕ್ಷಿಸಬೇಕು.
ಅನೇಕ ಸಂಸ್ಥೆಗಳಲ್ಲಿ, ಮಾಹಿತಿಯು ಮಾಹಿತಿ ಮತ್ತು ಸಂವಹನ ತಂತ್ರಜ್ಞಾನವನ್ನು ಅವಲಂಬಿಸಿರುತ್ತದೆ. ಈ ತಂತ್ರಜ್ಞಾನವು ಯಾವುದೇ ಸಂಸ್ಥೆಯಲ್ಲಿ ಅತ್ಯಗತ್ಯ ಅಂಶವಾಗಿದೆ ಮತ್ತು ಮಾಹಿತಿಯ ರಚನೆ, ಸಂಸ್ಕರಣೆ, ಸಂಗ್ರಹಣೆ, ಪ್ರಸರಣ, ರಕ್ಷಣೆ ಮತ್ತು ನಾಶವನ್ನು ಸುಗಮಗೊಳಿಸುತ್ತದೆ.
ಮಾಹಿತಿ ಭದ್ರತೆ
ಮಾಹಿತಿ ಭದ್ರತೆಯು ಮೂರು ಮುಖ್ಯ ಆಯಾಮಗಳನ್ನು ಒಳಗೊಂಡಿದೆ (ಪ್ರಾಪರ್ಟೀಸ್): ಗೌಪ್ಯತೆ, ಲಭ್ಯತೆ ಮತ್ತು ಸಮಗ್ರತೆ. ಮಾಹಿತಿ ಭದ್ರತೆಯು ಸೂಕ್ತವಾದ ಭದ್ರತಾ ನಿಯಂತ್ರಣಗಳ ಅಪ್ಲಿಕೇಶನ್ ಮತ್ತು ನಿರ್ವಹಣೆಯನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ, ಇದು ದೀರ್ಘಾವಧಿಯ ಯಶಸ್ಸು ಮತ್ತು ವ್ಯವಹಾರದ ನಿರಂತರತೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಮತ್ತು ಮಾಹಿತಿ ಭದ್ರತಾ ಘಟನೆಗಳ ಪ್ರಭಾವವನ್ನು ಕಡಿಮೆ ಮಾಡಲು ವ್ಯಾಪಕ ಶ್ರೇಣಿಯ ಬೆದರಿಕೆಗಳನ್ನು ಪರಿಗಣಿಸುತ್ತದೆ.
ಗುರುತಿಸಲಾದ ಮಾಹಿತಿ ಸ್ವತ್ತುಗಳನ್ನು ರಕ್ಷಿಸಲು ನೀತಿಗಳು, ಪ್ರಕ್ರಿಯೆಗಳು, ಕಾರ್ಯವಿಧಾನಗಳು, ಸಾಂಸ್ಥಿಕ ರಚನೆಗಳು, ಸಾಫ್ಟ್ವೇರ್ ಮತ್ತು ಹಾರ್ಡ್ವೇರ್ ಸೇರಿದಂತೆ ಅಪಾಯ ನಿರ್ವಹಣಾ ಪ್ರಕ್ರಿಯೆಯ ಮೂಲಕ ವ್ಯಾಖ್ಯಾನಿಸಲಾದ ಮತ್ತು ISMS ಅನ್ನು ಬಳಸಿಕೊಂಡು ನಿರ್ವಹಿಸುವ ಸೂಕ್ತವಾದ ಭದ್ರತಾ ನಿಯಂತ್ರಣಗಳನ್ನು ಅನ್ವಯಿಸುವ ಮೂಲಕ ಮಾಹಿತಿ ಸುರಕ್ಷತೆಯನ್ನು ಸಾಧಿಸಲಾಗುತ್ತದೆ.
ಮಾಹಿತಿ ಭದ್ರತೆಯ ಮಟ್ಟವು ಸಂಸ್ಥೆಯ ವ್ಯಾಪಾರ ಉದ್ದೇಶಗಳನ್ನು ಪೂರೈಸುತ್ತದೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಈ ಭದ್ರತಾ ನಿಯಂತ್ರಣಗಳನ್ನು ವ್ಯಾಖ್ಯಾನಿಸಬೇಕು, ಕಾರ್ಯಗತಗೊಳಿಸಬೇಕು, ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಬೇಕು, ಪರೀಕ್ಷಿಸಬೇಕು ಮತ್ತು ಅಗತ್ಯವಿದ್ದಲ್ಲಿ ಸುಧಾರಿಸಬೇಕು. ಸಂಬಂಧಿತ ಮಾಹಿತಿ ಭದ್ರತಾ ಕ್ರಮಗಳು ಮತ್ತು ಪರಿಕರಗಳನ್ನು ಸಂಸ್ಥೆಯ ವ್ಯವಹಾರ ಪ್ರಕ್ರಿಯೆಗಳಲ್ಲಿ ಮನಬಂದಂತೆ ಸಂಯೋಜಿಸಬೇಕು.
ನಿಯಂತ್ರಣ
ಆಡಳಿತವು ಸೂಕ್ತವಾದ ರಚನೆಗಳಲ್ಲಿ ಸಂಸ್ಥೆಯನ್ನು ನಿರ್ದೇಶಿಸುವ, ನಿಯಂತ್ರಿಸುವ ಮತ್ತು ನಿರಂತರವಾಗಿ ಸುಧಾರಿಸುವ ಚಟುವಟಿಕೆಗಳನ್ನು ಒಳಗೊಂಡಿದೆ. ನಿರ್ವಹಣಾ ಚಟುವಟಿಕೆಗಳಲ್ಲಿ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಉತ್ಪಾದಿಸುವ, ಸಂಸ್ಕರಿಸುವ, ನಿರ್ದೇಶಿಸುವ, ಮೇಲ್ವಿಚಾರಣೆ ಮತ್ತು ನಿಯಂತ್ರಿಸುವ ಚಟುವಟಿಕೆಗಳು, ವಿಧಾನಗಳು ಅಥವಾ ಅಭ್ಯಾಸಗಳು ಸೇರಿವೆ. ನಿರ್ವಹಣಾ ರಚನೆಯ ಗಾತ್ರವು ಸಣ್ಣ ಸಂಸ್ಥೆಗಳಲ್ಲಿ ಒಬ್ಬ ವ್ಯಕ್ತಿಯಿಂದ ಅನೇಕ ಜನರನ್ನು ಒಳಗೊಂಡಿರುವ ದೊಡ್ಡ ಸಂಸ್ಥೆಗಳಲ್ಲಿ ನಿರ್ವಹಣಾ ಕ್ರಮಾನುಗತಕ್ಕೆ ಬದಲಾಗಬಹುದು.
ISMS ಗೆ ಸಂಬಂಧಿಸಿದಂತೆ, ಮಾಹಿತಿ ಸ್ವತ್ತುಗಳನ್ನು ರಕ್ಷಿಸುವ ಮೂಲಕ ವ್ಯಾಪಾರ ಗುರಿಗಳನ್ನು ಸಾಧಿಸಲು ಅಗತ್ಯವಿರುವ ಮೇಲ್ವಿಚಾರಣೆ ಮತ್ತು ನಿರ್ಧಾರಗಳನ್ನು ತೆಗೆದುಕೊಳ್ಳುವುದು ನಿರ್ವಹಣೆಯನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ. ಮಾಹಿತಿ ಭದ್ರತಾ ನೀತಿಗಳು, ಕಾರ್ಯವಿಧಾನಗಳು ಮತ್ತು ಮಾರ್ಗಸೂಚಿಗಳ ರಚನೆ ಮತ್ತು ಬಳಕೆಯ ಮೂಲಕ ಮಾಹಿತಿ ಭದ್ರತಾ ಆಡಳಿತವನ್ನು ವ್ಯಕ್ತಪಡಿಸಲಾಗುತ್ತದೆ, ನಂತರ ಅದರೊಂದಿಗೆ ಸಂಬಂಧಿಸಿದ ಎಲ್ಲಾ ವ್ಯಕ್ತಿಗಳಿಂದ ಸಂಸ್ಥೆಯಾದ್ಯಂತ ಅನ್ವಯಿಸಲಾಗುತ್ತದೆ.
ನಿಯಂತ್ರಣ ವ್ಯವಸ್ಥೆ
ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಯು ಸಂಸ್ಥೆಯ ಗುರಿಗಳನ್ನು ಸಾಧಿಸಲು ಸಂಪನ್ಮೂಲಗಳ ಗುಂಪನ್ನು ಬಳಸುತ್ತದೆ. ಸಂಸ್ಥೆಯ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಯು ರಚನೆ, ನೀತಿಗಳು, ಯೋಜನೆ, ಬದ್ಧತೆಗಳು, ವಿಧಾನಗಳು, ಕಾರ್ಯವಿಧಾನಗಳು, ಪ್ರಕ್ರಿಯೆಗಳು ಮತ್ತು ಸಂಪನ್ಮೂಲಗಳನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ.
ಮಾಹಿತಿ ಸುರಕ್ಷತೆಯ ವಿಷಯದಲ್ಲಿ, ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಯು ಸಂಸ್ಥೆಗೆ ಅನುಮತಿಸುತ್ತದೆ:
- ಗ್ರಾಹಕರು ಮತ್ತು ಇತರ ಆಸಕ್ತ ಪಕ್ಷಗಳ ಸುರಕ್ಷತಾ ಅವಶ್ಯಕತೆಗಳನ್ನು ಪೂರೈಸುವುದು;
- ಸಂಸ್ಥೆಯ ಯೋಜನೆಗಳು ಮತ್ತು ಚಟುವಟಿಕೆಗಳನ್ನು ಸುಧಾರಿಸುವುದು;
- ಸಂಸ್ಥೆಯ ಮಾಹಿತಿ ಭದ್ರತಾ ಗುರಿಗಳನ್ನು ಪೂರೈಸುವುದು;
- ನಿಯಮಗಳು, ಶಾಸನ ಮತ್ತು ಉದ್ಯಮ ಆದೇಶಗಳನ್ನು ಅನುಸರಿಸಿ;
- ಸಂಸ್ಥೆಯ ಪ್ರಸ್ತುತ ಗುರಿಗಳ ನಿರಂತರ ಸುಧಾರಣೆ ಮತ್ತು ಹೊಂದಾಣಿಕೆಗೆ ಅನುಕೂಲವಾಗುವಂತೆ ಸಂಘಟಿತ ರೀತಿಯಲ್ಲಿ ಮಾಹಿತಿ ಸ್ವತ್ತುಗಳನ್ನು ನಿರ್ವಹಿಸಿ.
3.3. ಪ್ರಕ್ರಿಯೆ ವಿಧಾನ
ಸಂಸ್ಥೆಯು ಪರಿಣಾಮಕಾರಿಯಾಗಿ ಮತ್ತು ಪರಿಣಾಮಕಾರಿಯಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸಲು ವಿವಿಧ ಚಟುವಟಿಕೆಗಳನ್ನು ನಡೆಸುವುದು ಮತ್ತು ನಿರ್ವಹಿಸುವುದು ಅಗತ್ಯವಾಗಿದೆ. ಸಂಪನ್ಮೂಲಗಳನ್ನು ಬಳಸುವ ಯಾವುದೇ ಚಟುವಟಿಕೆಯು ಅಂತರ್ಸಂಪರ್ಕಿತ ಚಟುವಟಿಕೆಗಳ ಗುಂಪಿನ ಮೂಲಕ ಇನ್ಪುಟ್ಗಳನ್ನು ಔಟ್ಪುಟ್ಗಳಾಗಿ ಪರಿವರ್ತಿಸುವುದನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲು ನಿರ್ವಹಿಸಬೇಕಾಗುತ್ತದೆ, ಇದನ್ನು ಪ್ರಕ್ರಿಯೆ ಎಂದೂ ಕರೆಯುತ್ತಾರೆ.
ಒಂದು ಪ್ರಕ್ರಿಯೆಯ ಔಟ್ಪುಟ್ ಮುಂದಿನ ಪ್ರಕ್ರಿಯೆಯ ಇನ್ಪುಟ್ ಅನ್ನು ನೇರವಾಗಿ ರೂಪಿಸುತ್ತದೆ ಮತ್ತು ಸಾಮಾನ್ಯವಾಗಿ ಅಂತಹ ರೂಪಾಂತರವು ಯೋಜಿತ ಮತ್ತು ನಿಯಂತ್ರಿತ ಪರಿಸ್ಥಿತಿಗಳಲ್ಲಿ ಸಂಭವಿಸುತ್ತದೆ. ಸಂಸ್ಥೆಯೊಳಗೆ ಪ್ರಕ್ರಿಯೆಗಳ ವ್ಯವಸ್ಥೆಯ ಅನ್ವಯ, ಈ ಪ್ರಕ್ರಿಯೆಗಳ ಗುರುತಿಸುವಿಕೆ ಮತ್ತು ಪರಸ್ಪರ ಕ್ರಿಯೆಯ ಜೊತೆಗೆ ಅವುಗಳ ನಿರ್ವಹಣೆಯನ್ನು "ಪ್ರಕ್ರಿಯೆ ವಿಧಾನ" ಎಂದು ವ್ಯಾಖ್ಯಾನಿಸಬಹುದು.
ಹೆಚ್ಚುವರಿ ಮಾಹಿತಿ (ಮಾದರಿಯಲ್ಲಿ ಸೇರಿಸಲಾಗಿಲ್ಲ)
ಅಮೇರಿಕನ್ ವಿಜ್ಞಾನಿ ವಾಲ್ಟರ್ ಶೆವರ್ಟ್ ಅವರು ಗುಣಮಟ್ಟದ ನಿರ್ವಹಣೆಗೆ ಪ್ರಕ್ರಿಯೆ ವಿಧಾನದ ಸ್ಥಾಪಕ ಎಂದು ಪರಿಗಣಿಸಲಾಗಿದೆ. ಅವರ ಪುಸ್ತಕವು 3 ಹಂತಗಳನ್ನು ಗುರುತಿಸುವ ಮೂಲಕ ಪ್ರಾರಂಭವಾಗುತ್ತದೆ ಸಂಸ್ಥೆಯ ಕಾರ್ಯಕ್ಷಮತೆಯ ಫಲಿತಾಂಶಗಳ ಗುಣಮಟ್ಟವನ್ನು ನಿರ್ವಹಿಸುವುದು:
1) ಅಗತ್ಯವಿರುವ ವಿಶೇಷಣಗಳ ಅಭಿವೃದ್ಧಿ (ತಾಂತ್ರಿಕ ವಿಶೇಷಣಗಳು, ತಾಂತ್ರಿಕ ಪರಿಸ್ಥಿತಿಗಳು, ಗುರಿಗಳನ್ನು ಸಾಧಿಸುವ ಮಾನದಂಡಗಳು);
2) ವಿಶೇಷಣಗಳನ್ನು ಪೂರೈಸುವ ಉತ್ಪನ್ನಗಳ ಉತ್ಪಾದನೆ;
3) ನಿರ್ದಿಷ್ಟತೆಯೊಂದಿಗೆ ಅವುಗಳ ಅನುಸರಣೆಯನ್ನು ನಿರ್ಣಯಿಸಲು ತಯಾರಿಸಿದ ಉತ್ಪನ್ನಗಳ ತಪಾಸಣೆ (ಮೇಲ್ವಿಚಾರಣೆ).
ಈ ಹಂತಗಳ ರೇಖಾತ್ಮಕ ಗ್ರಹಿಕೆಯನ್ನು ಚಕ್ರಕ್ಕೆ ಮುಚ್ಚಲು ಪ್ರಸ್ತಾಪಿಸಿದವರಲ್ಲಿ ಶೆವರ್ಟ್ ಮೊದಲಿಗರಾಗಿದ್ದರು, ಇದನ್ನು ಅವರು "ಜ್ಞಾನವನ್ನು ಪಡೆದುಕೊಳ್ಳುವ ಕ್ರಿಯಾತ್ಮಕ ಪ್ರಕ್ರಿಯೆ" ಯೊಂದಿಗೆ ಗುರುತಿಸಿದರು.
ಮೊದಲ ಚಕ್ರದ ನಂತರ, ಪರೀಕ್ಷಾ ಫಲಿತಾಂಶಗಳು ಉತ್ಪನ್ನದ ನಿರ್ದಿಷ್ಟತೆಯನ್ನು ಸುಧಾರಿಸಲು ಆಧಾರವಾಗಿರಬೇಕು. ಮುಂದೆ, ನವೀಕರಿಸಿದ ವಿವರಣೆಯ ಆಧಾರದ ಮೇಲೆ ಉತ್ಪಾದನಾ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಸರಿಹೊಂದಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಉತ್ಪಾದನಾ ಪ್ರಕ್ರಿಯೆಯ ಹೊಸ ಫಲಿತಾಂಶವು ಮತ್ತೊಮ್ಮೆ ಪರಿಶೀಲನೆಗೆ ಒಳಪಟ್ಟಿರುತ್ತದೆ, ಇತ್ಯಾದಿ.
ಅಮೇರಿಕನ್ ವಿಜ್ಞಾನಿ ಎಡ್ವರ್ಡ್ಸ್ ಡೆಮಿಂಗ್ ಶೆವರ್ಟ್ ಚಕ್ರವನ್ನು ಇಂದು ಸಾಮಾನ್ಯವಾಗಿ ಕಂಡುಬರುವ ರೂಪಕ್ಕೆ ಪರಿವರ್ತಿಸಿದರು. ಗುಣಮಟ್ಟದ ನಿಯಂತ್ರಣದಿಂದ ಗುಣಮಟ್ಟದ ನಿರ್ವಹಣೆಗೆ ತೆರಳಲು, ಅವರು ಪ್ರತಿಯೊಂದು ಹಂತಗಳಿಗೆ ಹೆಚ್ಚು ಸಾಮಾನ್ಯ ಹೆಸರುಗಳನ್ನು ನೀಡಿದರು ಮತ್ತು ಹೆಚ್ಚುವರಿಯಾಗಿ, ಮತ್ತೊಂದು, 4 ನೇ ಹಂತವನ್ನು ಸೇರಿಸಿದರು, ಅದರ ಸಹಾಯದಿಂದ ಅವರು ಅಮೇರಿಕನ್ ವ್ಯವಸ್ಥಾಪಕರ ಗಮನವನ್ನು ಸೆಳೆಯಲು ಬಯಸಿದ್ದರು. ಅವರು ಮೂರನೇ ಹಂತದಲ್ಲಿ ಸ್ವೀಕರಿಸಿದ ಮಾಹಿತಿಯನ್ನು ಸಾಕಷ್ಟು ವಿಶ್ಲೇಷಿಸುವುದಿಲ್ಲ, ಮಾಹಿತಿ ಮತ್ತು ಪ್ರಕ್ರಿಯೆಯನ್ನು ಸುಧಾರಿಸುವುದಿಲ್ಲ. ಅದಕ್ಕಾಗಿಯೇ ಈ ಹಂತವನ್ನು "ಆಕ್ಟ್" (ಆಕ್ಟ್) ಎಂದು ಕರೆಯಲಾಗುತ್ತದೆ, ಮತ್ತು ಅದರ ಪ್ರಕಾರ ಶೆವರ್ಟ್-ಡೆಮಿಂಗ್ ಚಕ್ರವನ್ನು "PDCA" ಅಥವಾ "PDSA" ಮಾದರಿ ಎಂದು ಕರೆಯಲಾಗುತ್ತದೆ:
– ಯೋಜನೆ – ಯೋಜನೆ- ಸಮಸ್ಯೆಗಳ ಗುರುತಿಸುವಿಕೆ ಮತ್ತು ವಿಶ್ಲೇಷಣೆ; ಅವಕಾಶಗಳನ್ನು ನಿರ್ಣಯಿಸುವುದು, ಗುರಿಗಳನ್ನು ನಿಗದಿಪಡಿಸುವುದು ಮತ್ತು ಯೋಜನೆಗಳನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸುವುದು;
– ಮಾಡು – ಅನುಷ್ಠಾನ- ಸಮಸ್ಯೆಗಳಿಗೆ ಪರಿಹಾರಗಳನ್ನು ಕಂಡುಹಿಡಿಯುವುದು ಮತ್ತು ಯೋಜನೆಗಳನ್ನು ಅನುಷ್ಠಾನಗೊಳಿಸುವುದು;
– ಪರಿಶೀಲಿಸಿ (ಅಧ್ಯಯನ) – ಕಾರ್ಯಕ್ಷಮತೆಯ ಮೌಲ್ಯಮಾಪನ- ಕಾರ್ಯಕ್ಕೆ ಅನುಗುಣವಾಗಿ ಅನುಷ್ಠಾನದ ಫಲಿತಾಂಶಗಳು ಮತ್ತು ತೀರ್ಮಾನಗಳ ಮೌಲ್ಯಮಾಪನ;
– ಕಾಯಿದೆ– ಸುಧಾರಣೆ- ಸಂಶೋಧನೆಗಳು, ತಿದ್ದುಪಡಿ ಮತ್ತು ಕೆಲಸದ ಸುಧಾರಣೆಯ ಆಧಾರದ ಮೇಲೆ ನಿರ್ಧಾರಗಳನ್ನು ತೆಗೆದುಕೊಳ್ಳುವುದು.
ಮಾದರಿ "PDCA" ISMS ಗಾಗಿ
ಯೋಜನೆ - ಅನುಷ್ಠಾನ - ನಿಯಂತ್ರಣ - ಸುಧಾರಣೆ
1.ಯೋಜನೆ (ಅಭಿವೃದ್ಧಿ ಮತ್ತು ವಿನ್ಯಾಸ):ಸಂಸ್ಥೆಯ ಒಟ್ಟಾರೆ ನೀತಿಗಳು ಮತ್ತು ಉದ್ದೇಶಗಳಿಗೆ ಅನುಗುಣವಾಗಿ ಫಲಿತಾಂಶಗಳನ್ನು ಸಾಧಿಸಲು ISMS ಉದ್ದೇಶಗಳು, ನೀತಿಗಳು, ನಿಯಂತ್ರಣಗಳು, ಪ್ರಕ್ರಿಯೆಗಳು ಮತ್ತು ಕಾರ್ಯವಿಧಾನಗಳನ್ನು ಸ್ಥಾಪಿಸುವುದು.
2. ಅನುಷ್ಠಾನ (ಅನುಷ್ಠಾನ ಮತ್ತು ಕಾರ್ಯಾಚರಣೆ):ಮಾಹಿತಿ ಭದ್ರತೆಯ ಅಪಾಯಗಳು ಮತ್ತು ಘಟನೆಗಳನ್ನು ನಿರ್ಣಯಿಸಲು ಮತ್ತು ನಿರ್ವಹಿಸಲು ಮಾಹಿತಿ ಭದ್ರತಾ ನೀತಿಗಳು, ನಿಯಂತ್ರಣಗಳು, ISMS ಪ್ರಕ್ರಿಯೆಗಳು ಮತ್ತು ಕಾರ್ಯವಿಧಾನಗಳ ಅನುಷ್ಠಾನ ಮತ್ತು ಅನ್ವಯ.
3. ನಿಯಂತ್ರಣ (ಕಾರ್ಯನಿರ್ವಹಣೆಯ ಮೇಲ್ವಿಚಾರಣೆ ಮತ್ತು ವಿಶ್ಲೇಷಣೆ):ನೀತಿ ಅವಶ್ಯಕತೆಗಳನ್ನು ಪೂರೈಸುವ ಪರಿಣಾಮಕಾರಿತ್ವವನ್ನು ನಿರ್ಣಯಿಸುವುದು, IS ಉದ್ದೇಶಗಳು ಮತ್ತು ISMS ನ ಪರಿಣಾಮಕಾರಿತ್ವ ಮತ್ತು ಫಲಿತಾಂಶಗಳ ಬಗ್ಗೆ ಹಿರಿಯ ನಿರ್ವಹಣೆಗೆ ತಿಳಿಸುವುದು.
4. ಸುಧಾರಣೆ (ನಿರ್ವಹಣೆ ಮತ್ತು ಸುಧಾರಣೆ): ISMS ನ ಸುಧಾರಣೆಯನ್ನು ಸಾಧಿಸಲು ಲೆಕ್ಕಪರಿಶೋಧನೆ ಮತ್ತು ನಿರ್ವಹಣೆಯ ವಿಮರ್ಶೆಯ ಫಲಿತಾಂಶಗಳ ಆಧಾರದ ಮೇಲೆ ಸರಿಪಡಿಸುವ ಮತ್ತು ತಡೆಗಟ್ಟುವ ಕ್ರಮಗಳನ್ನು ಕೈಗೊಳ್ಳುವುದು
ಶೆವರ್ಟ್-ಡೆಮಿಂಗ್ ವಿಧಾನ ಮತ್ತು ಚಕ್ರ, ಇದನ್ನು ಹೆಚ್ಚಾಗಿ ಡೆಮಿಂಗ್ ಸೈಕಲ್ ಎಂದು ಕರೆಯಲಾಗುತ್ತದೆ, ಸಾಮಾನ್ಯವಾಗಿ ಚಟುವಟಿಕೆಯ ಯಾವುದೇ ಪ್ರಕ್ರಿಯೆಗೆ ನಿಯಂತ್ರಣ ಯೋಜನೆಯನ್ನು ವಿವರಿಸುತ್ತದೆ. ಅಗತ್ಯ ಸ್ಪಷ್ಟೀಕರಣಗಳೊಂದಿಗೆ, ಇದನ್ನು ಈಗ ಅಂತರರಾಷ್ಟ್ರೀಯ ನಿರ್ವಹಣಾ ಮಾನದಂಡಗಳಲ್ಲಿ ವ್ಯಾಪಕವಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ:
- ಉತ್ಪನ್ನ ಗುಣಮಟ್ಟ ISO 9000;
- ಪರಿಸರ ಸಂರಕ್ಷಣೆ ISO 14000;
- ಔದ್ಯೋಗಿಕ ಸುರಕ್ಷತೆ ಮತ್ತು ಆರೋಗ್ಯ OHSAS 18000;
- ಮಾಹಿತಿ ಸೇವೆಗಳು ISO/IEC 20000;
ಆಹಾರ ಸುರಕ್ಷತೆ ISO 22000;
- ಮಾಹಿತಿ ಭದ್ರತೆ ISO/IEC 27000;
- ಸುರಕ್ಷತೆ ISO 28000;
- ವ್ಯಾಪಾರ ಮುಂದುವರಿಕೆ ISO 22300;
- ಅಪಾಯಗಳು ISO 31000;
- ಶಕ್ತಿ ISO 50000.
3.4. ISMS ನ ಪ್ರಾಮುಖ್ಯತೆ
ಮಾಹಿತಿ ಸ್ವತ್ತುಗಳಿಗೆ ಸಂಬಂಧಿಸಿದ ಅಪಾಯಗಳನ್ನು ಸಂಸ್ಥೆಯು ನಿರ್ಧರಿಸಬೇಕು. ಮಾಹಿತಿ ಸುರಕ್ಷತೆಯನ್ನು ಸಾಧಿಸಲು ಅಪಾಯ ನಿರ್ವಹಣೆಯ ಅಗತ್ಯವಿರುತ್ತದೆ ಮತ್ತು ಸಂಸ್ಥೆಯೊಳಗಿನ ಅಥವಾ ಸಂಸ್ಥೆಯು ಬಳಸುವ ಎಲ್ಲಾ ರೀತಿಯ ಮಾಹಿತಿಯ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವ ಬೆದರಿಕೆಗಳಿಗೆ ಸಂಬಂಧಿಸಿದ ಭೌತಿಕ, ಮಾನವ ಮತ್ತು ತಾಂತ್ರಿಕ ಅಪಾಯಗಳನ್ನು ಒಳಗೊಳ್ಳುತ್ತದೆ.
ISMS ಅನ್ನು ಅಳವಡಿಸಿಕೊಳ್ಳುವುದು ಸಂಸ್ಥೆಗೆ ಒಂದು ಕಾರ್ಯತಂತ್ರದ ನಿರ್ಧಾರವಾಗಿದೆ ಮತ್ತು ಸಂಸ್ಥೆಯ ಅಗತ್ಯಗಳಿಗೆ ಅನುಗುಣವಾಗಿ ಪರಿಹಾರವನ್ನು ನಿರಂತರವಾಗಿ ಸಂಯೋಜಿಸುವುದು, ಮೌಲ್ಯಮಾಪನ ಮಾಡುವುದು ಮತ್ತು ನವೀಕರಿಸುವುದು ಅವಶ್ಯಕ.
ಸಂಸ್ಥೆಯ ISMS ನ ಅಭಿವೃದ್ಧಿ ಮತ್ತು ಅನುಷ್ಠಾನವು ಸಂಸ್ಥೆಯ ಅಗತ್ಯತೆಗಳು ಮತ್ತು ಗುರಿಗಳು, ಭದ್ರತಾ ಅವಶ್ಯಕತೆಗಳು, ಬಳಸಿದ ವ್ಯಾಪಾರ ಪ್ರಕ್ರಿಯೆಗಳು ಮತ್ತು ಸಂಸ್ಥೆಯ ಗಾತ್ರ ಮತ್ತು ರಚನೆಯಿಂದ ಪ್ರಭಾವಿತವಾಗಿರುತ್ತದೆ. ISMS ನ ಅಭಿವೃದ್ಧಿ ಮತ್ತು ಕಾರ್ಯಾಚರಣೆಯು ಗ್ರಾಹಕರು, ಪೂರೈಕೆದಾರರು, ವ್ಯಾಪಾರ ಪಾಲುದಾರರು, ಷೇರುದಾರರು ಮತ್ತು ಇತರ ಮೂರನೇ ವ್ಯಕ್ತಿಗಳನ್ನು ಒಳಗೊಂಡಂತೆ ಎಲ್ಲಾ ಸಂಸ್ಥೆಯ ಮಧ್ಯಸ್ಥಗಾರರ ಆಸಕ್ತಿಗಳು ಮತ್ತು ಮಾಹಿತಿ ಭದ್ರತಾ ಅಗತ್ಯತೆಗಳನ್ನು ಪ್ರತಿಬಿಂಬಿಸಬೇಕು.
ಅಂತರ್ಸಂಪರ್ಕಿತ ಜಗತ್ತಿನಲ್ಲಿ, ಮಾಹಿತಿ ಮತ್ತು ಅದರ ಸಂಬಂಧಿತ ಪ್ರಕ್ರಿಯೆಗಳು, ವ್ಯವಸ್ಥೆಗಳು ಮತ್ತು ನೆಟ್ವರ್ಕ್ಗಳು ನಿರ್ಣಾಯಕ ಸ್ವತ್ತುಗಳನ್ನು ರೂಪಿಸುತ್ತವೆ. ಸಂಸ್ಥೆಗಳು ಮತ್ತು ಅವುಗಳ IP ಮತ್ತು ನೆಟ್ವರ್ಕ್ಗಳು ಕಂಪ್ಯೂಟರ್ ವಂಚನೆ, ಬೇಹುಗಾರಿಕೆ, ವಿಧ್ವಂಸಕತೆ, ವಿಧ್ವಂಸಕತೆ ಮತ್ತು ಬೆಂಕಿ ಮತ್ತು ಪ್ರವಾಹ ಸೇರಿದಂತೆ ವ್ಯಾಪಕ ಶ್ರೇಣಿಯ ಮೂಲಗಳಿಂದ ಭದ್ರತಾ ಬೆದರಿಕೆಗಳನ್ನು ಎದುರಿಸುತ್ತವೆ. ಮಾಲ್ವೇರ್, ಹ್ಯಾಕರ್ಗಳು ಮತ್ತು DoS ದಾಳಿಗಳಿಂದ ಉಂಟಾದ IP ಮತ್ತು ಸಿಸ್ಟಮ್ಗಳಿಗೆ ಹಾನಿಯು ಹೆಚ್ಚು ಸಾಮಾನ್ಯವಾಗಿದೆ, ದೊಡ್ಡದಾಗಿದೆ ಮತ್ತು ಹೆಚ್ಚು ಅತ್ಯಾಧುನಿಕವಾಗಿದೆ.
ಸಾರ್ವಜನಿಕ ಮತ್ತು ಖಾಸಗಿ ವಲಯಗಳಲ್ಲಿ ಉದ್ಯಮಗಳಿಗೆ ISMS ಮುಖ್ಯವಾಗಿದೆ. ಯಾವುದೇ ಉದ್ಯಮದಲ್ಲಿ, ಇ-ವ್ಯವಹಾರವನ್ನು ಬೆಂಬಲಿಸಲು ISMS ಅತ್ಯಗತ್ಯ ಸಾಧನವಾಗಿದೆ ಮತ್ತು ಅಪಾಯ ನಿರ್ವಹಣೆ ಚಟುವಟಿಕೆಗಳಿಗೆ ಮುಖ್ಯವಾಗಿದೆ. ಸಾರ್ವಜನಿಕ ಮತ್ತು ಖಾಸಗಿ ನೆಟ್ವರ್ಕ್ಗಳ ಪರಸ್ಪರ ಸಂಪರ್ಕ ಮತ್ತು ಮಾಹಿತಿ ಸ್ವತ್ತುಗಳ ವಿನಿಮಯವು ಮಾಹಿತಿಯ ಪ್ರವೇಶ ಮತ್ತು ಅದರ ಸಂಸ್ಕರಣೆಯ ನಿರ್ವಹಣೆಯನ್ನು ಸಂಕೀರ್ಣಗೊಳಿಸುತ್ತದೆ.
ಹೆಚ್ಚುವರಿಯಾಗಿ, ಮಾಹಿತಿ ಸ್ವತ್ತುಗಳನ್ನು ಹೊಂದಿರುವ ಮೊಬೈಲ್ ಶೇಖರಣಾ ಸಾಧನಗಳ ಪ್ರಸರಣವು ಸಾಂಪ್ರದಾಯಿಕ ಭದ್ರತಾ ಕ್ರಮಗಳ ಪರಿಣಾಮಕಾರಿತ್ವವನ್ನು ದುರ್ಬಲಗೊಳಿಸಬಹುದು. ಸಂಸ್ಥೆಗಳು ISMS ಮಾನದಂಡಗಳ ಕುಟುಂಬವನ್ನು ಅಳವಡಿಸಿಕೊಂಡಾಗ, ಸ್ಥಿರವಾದ ಮತ್ತು ಪರಸ್ಪರ ಗುರುತಿಸಬಹುದಾದ IS ತತ್ವಗಳನ್ನು ಅನ್ವಯಿಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ವ್ಯಾಪಾರ ಪಾಲುದಾರರು ಮತ್ತು ಇತರ ಮಧ್ಯಸ್ಥಗಾರರಿಗೆ ಪ್ರದರ್ಶಿಸಬಹುದು.
ಮಾಹಿತಿ ವ್ಯವಸ್ಥೆಗಳನ್ನು ರಚಿಸುವಾಗ ಮತ್ತು ಅಭಿವೃದ್ಧಿಪಡಿಸುವಾಗ ಮಾಹಿತಿ ಸುರಕ್ಷತೆಯನ್ನು ಯಾವಾಗಲೂ ಗಣನೆಗೆ ತೆಗೆದುಕೊಳ್ಳುವುದಿಲ್ಲ. ಇದರ ಜೊತೆಗೆ, ಮಾಹಿತಿ ಸುರಕ್ಷತೆಯು ತಾಂತ್ರಿಕ ಸಮಸ್ಯೆಯಾಗಿದೆ ಎಂದು ಸಾಮಾನ್ಯವಾಗಿ ನಂಬಲಾಗಿದೆ. ಆದಾಗ್ಯೂ, ತಾಂತ್ರಿಕ ವಿಧಾನಗಳ ಮೂಲಕ ಸಾಧಿಸಬಹುದಾದ ಮಾಹಿತಿ ಭದ್ರತೆಯು ಸೀಮಿತವಾಗಿದೆ ಮತ್ತು ISMS ಸಂದರ್ಭದಲ್ಲಿ ಸೂಕ್ತ ನಿರ್ವಹಣೆ ಮತ್ತು ಕಾರ್ಯವಿಧಾನಗಳಿಂದ ಬೆಂಬಲಿತವಾಗಿಲ್ಲದ ಹೊರತು ಪರಿಣಾಮಕಾರಿಯಾಗಿರುವುದಿಲ್ಲ. ಸಂಪೂರ್ಣ ಕ್ರಿಯಾತ್ಮಕ IS ಗೆ ಭದ್ರತಾ ವ್ಯವಸ್ಥೆಯನ್ನು ಸಂಯೋಜಿಸುವುದು ಸಂಕೀರ್ಣ ಮತ್ತು ದುಬಾರಿಯಾಗಿದೆ.
ಒಂದು ISMS ಲಭ್ಯವಿರುವ ರಕ್ಷಣಾ ಕ್ರಮಗಳ ಗುರುತಿಸುವಿಕೆಯನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ ಮತ್ತು ವಿವರಗಳಿಗೆ ಎಚ್ಚರಿಕೆಯಿಂದ ಯೋಜನೆ ಮತ್ತು ಗಮನದ ಅಗತ್ಯವಿದೆ. ಉದಾಹರಣೆಗೆ, ಪ್ರವೇಶ ನಿಯಂತ್ರಣ ಕ್ರಮಗಳು, ಇದು ತಾಂತ್ರಿಕ (ತಾರ್ಕಿಕ), ಭೌತಿಕ, ಆಡಳಿತಾತ್ಮಕ (ನಿರ್ವಹಣೆ) ಅಥವಾ ಇವುಗಳ ಸಂಯೋಜನೆಯಾಗಿರಬಹುದು, ಮಾಹಿತಿ ಸ್ವತ್ತುಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಅಧಿಕೃತಗೊಳಿಸಲಾಗಿದೆ ಮತ್ತು ವ್ಯಾಪಾರ ಮತ್ತು ಮಾಹಿತಿ ಭದ್ರತಾ ಅಗತ್ಯತೆಗಳ ಆಧಾರದ ಮೇಲೆ ಸೀಮಿತವಾಗಿದೆ ಎಂದು ಖಚಿತಪಡಿಸುತ್ತದೆ.
ಮಾಹಿತಿ ಸ್ವತ್ತುಗಳನ್ನು ರಕ್ಷಿಸಲು ISMS ನ ಯಶಸ್ವಿ ಅನ್ವಯವು ಮುಖ್ಯವಾಗಿದೆ ಏಕೆಂದರೆ ಇದು ಅನುಮತಿಸುತ್ತದೆ:
- ಮಾಹಿತಿ ಭದ್ರತೆ ಬೆದರಿಕೆಗಳಿಂದ ನಡೆಯುತ್ತಿರುವ ಆಧಾರದ ಮೇಲೆ ಮಾಹಿತಿ ಸ್ವತ್ತುಗಳನ್ನು ಸಮರ್ಪಕವಾಗಿ ರಕ್ಷಿಸಲಾಗಿದೆ ಎಂಬ ಭರವಸೆಯನ್ನು ಹೆಚ್ಚಿಸಿ;
- ಮಾಹಿತಿ ಭದ್ರತಾ ಬೆದರಿಕೆಗಳನ್ನು ನಿರ್ಣಯಿಸಲು, ಸೂಕ್ತವಾದ ರಕ್ಷಣಾತ್ಮಕ ಕ್ರಮಗಳನ್ನು ಆಯ್ಕೆ ಮಾಡಲು ಮತ್ತು ಅನ್ವಯಿಸಲು, ಅವುಗಳ ಪರಿಣಾಮಕಾರಿತ್ವವನ್ನು ಅಳೆಯಲು ಮತ್ತು ಸುಧಾರಿಸಲು ರಚನಾತ್ಮಕ ಮತ್ತು ಸಮಗ್ರ ವ್ಯವಸ್ಥೆಯನ್ನು ನಿರ್ವಹಿಸುವುದು;
- ಸಂಸ್ಥೆಯ ನಿರ್ವಹಣಾ ಪರಿಸರವನ್ನು ನಿರಂತರವಾಗಿ ಸುಧಾರಿಸುವುದು;
- ಕಾನೂನು ಮತ್ತು ನಿಯಂತ್ರಕ ಅವಶ್ಯಕತೆಗಳನ್ನು ಪರಿಣಾಮಕಾರಿಯಾಗಿ ಅನುಸರಿಸಿ.
3.5 ISMS ನ ಅನುಷ್ಠಾನ, ನಿಯಂತ್ರಣ, ನಿರ್ವಹಣೆ ಮತ್ತು ಸುಧಾರಣೆ
ISMS ನ ಅನುಷ್ಠಾನ, ನಿಯಂತ್ರಣ, ನಿರ್ವಹಣೆ ಮತ್ತು ಸುಧಾರಣೆ ISMS ಅಭಿವೃದ್ಧಿಯ ಕಾರ್ಯಾಚರಣೆಯ ಹಂತಗಳಾಗಿವೆ.
ISMS ನ ಕಾರ್ಯಾಚರಣೆಯ ಹಂತಗಳನ್ನು ಈ ಕೆಳಗಿನ ಘಟಕಗಳಿಂದ ನಿರ್ಧರಿಸಲಾಗುತ್ತದೆ:
- ಸಾಮಾನ್ಯ ನಿಬಂಧನೆಗಳು;
- ಮಾಹಿತಿ ಭದ್ರತಾ ಅವಶ್ಯಕತೆಗಳು;
- ISMS ನ ಯಶಸ್ಸಿಗೆ ನಿರ್ಣಾಯಕ ಅಂಶಗಳು.
ISMS ನ ಕಾರ್ಯಾಚರಣೆಯ ಹಂತಗಳು ಈ ಕೆಳಗಿನ ಚಟುವಟಿಕೆಗಳನ್ನು ಒದಗಿಸುತ್ತವೆ:
- ಮಾಹಿತಿ ಭದ್ರತಾ ಅಪಾಯದ ಮೌಲ್ಯಮಾಪನ;
- ಮಾಹಿತಿ ಭದ್ರತಾ ಅಪಾಯಗಳ ಪ್ರಕ್ರಿಯೆ;
- ರಕ್ಷಣಾತ್ಮಕ ಕ್ರಮಗಳ ಆಯ್ಕೆ ಮತ್ತು ಅನುಷ್ಠಾನ;
- ISMS ನಿಯಂತ್ರಣ ಮತ್ತು ನಿರ್ವಹಣೆ;
- ನಿರಂತರ ಸುಧಾರಣೆ.
ಸಾಮಾನ್ಯ ನಿಬಂಧನೆಗಳು
ಸಂಸ್ಥೆಯು ತನ್ನ ISMS ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು, ನಿಯಂತ್ರಿಸಲು, ನಿರ್ವಹಿಸಲು ಮತ್ತು ಸುಧಾರಿಸಲು ಈ ಕೆಳಗಿನ ಕ್ರಮಗಳನ್ನು ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ:
- ಮಾಹಿತಿ ಸ್ವತ್ತುಗಳ ಗುರುತಿಸುವಿಕೆ ಮತ್ತು ಸಂಬಂಧಿತ ಮಾಹಿತಿ ಭದ್ರತಾ ಅವಶ್ಯಕತೆಗಳು;
- ಮಾಹಿತಿ ಭದ್ರತಾ ಅಪಾಯಗಳ ಮೌಲ್ಯಮಾಪನ ಮತ್ತು ಚಿಕಿತ್ಸೆ;
- ಸ್ವೀಕಾರಾರ್ಹವಲ್ಲದ ಅಪಾಯಗಳನ್ನು ನಿರ್ವಹಿಸಲು ಸೂಕ್ತವಾದ ರಕ್ಷಣಾತ್ಮಕ ಕ್ರಮಗಳ ಆಯ್ಕೆ ಮತ್ತು ಅನುಷ್ಠಾನ;
- ಸಂಸ್ಥೆಯ ಮಾಹಿತಿ ಸ್ವತ್ತುಗಳಿಗೆ ಸಂಬಂಧಿಸಿದ ರಕ್ಷಣಾ ಕ್ರಮಗಳ ಪರಿಣಾಮಕಾರಿತ್ವದ ನಿಯಂತ್ರಣ, ನಿರ್ವಹಣೆ ಮತ್ತು ಸುಧಾರಣೆ.
ನಡೆಯುತ್ತಿರುವ ಆಧಾರದ ಮೇಲೆ ISMS ಪರಿಣಾಮಕಾರಿಯಾಗಿ ಸಂಸ್ಥೆಯ ಮಾಹಿತಿ ಸ್ವತ್ತುಗಳನ್ನು ರಕ್ಷಿಸುತ್ತದೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು, ಅಪಾಯಗಳು ಅಥವಾ ಸಂಸ್ಥೆಯ ಕಾರ್ಯತಂತ್ರ ಅಥವಾ ವ್ಯಾಪಾರ ಗುರಿಗಳಲ್ಲಿನ ಬದಲಾವಣೆಗಳನ್ನು ಗುರುತಿಸಲು ಎಲ್ಲಾ ಹಂತಗಳನ್ನು ನಿರಂತರವಾಗಿ ಪುನರಾವರ್ತಿಸಬೇಕು.
ಮಾಹಿತಿ ಭದ್ರತಾ ಅವಶ್ಯಕತೆಗಳು
ಸಂಸ್ಥೆಯ ಒಟ್ಟಾರೆ ಕಾರ್ಯತಂತ್ರ ಮತ್ತು ವ್ಯಾಪಾರ ಗುರಿಗಳಲ್ಲಿ, ಅದರ ಗಾತ್ರ ಮತ್ತು ಭೌಗೋಳಿಕ ವಿತರಣೆ, ಮಾಹಿತಿ ಸುರಕ್ಷತೆಯ ಅವಶ್ಯಕತೆಗಳನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವ ಮೂಲಕ ನಿರ್ಧರಿಸಬಹುದು:
- ಮಾಹಿತಿ ಸ್ವತ್ತುಗಳು ಮತ್ತು ಅವುಗಳ ಮೌಲ್ಯಗಳು;
- ಮಾಹಿತಿಯೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು ವ್ಯಾಪಾರ ಅಗತ್ಯತೆಗಳು;
- ಕಾನೂನು, ನಿಯಂತ್ರಕ ಮತ್ತು ಒಪ್ಪಂದದ ಅವಶ್ಯಕತೆಗಳು.
ಸಂಸ್ಥೆಯ ಮಾಹಿತಿ ಸ್ವತ್ತುಗಳಿಗೆ ಸಂಬಂಧಿಸಿದ ಅಪಾಯಗಳ ಕ್ರಮಶಾಸ್ತ್ರೀಯ ಮೌಲ್ಯಮಾಪನವನ್ನು ನಡೆಸುವುದು ಇದರ ವಿಶ್ಲೇಷಣೆಯನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ:
- ಸ್ವತ್ತುಗಳಿಗೆ ಬೆದರಿಕೆಗಳು;
- ಆಸ್ತಿ ದುರ್ಬಲತೆಗಳು;
- ಬೆದರಿಕೆ ವಸ್ತುೀಕರಣದ ಸಂಭವನೀಯತೆ;
- ಸ್ವತ್ತುಗಳ ಮೇಲೆ ಮಾಹಿತಿ ಭದ್ರತಾ ಘಟನೆಯ ಸಂಭವನೀಯ ಪರಿಣಾಮ.
ಸೂಕ್ತವಾದ ಸುರಕ್ಷತೆಗಳ ವೆಚ್ಚಗಳು ಅಪಾಯದ ನಿರೀಕ್ಷಿತ ವ್ಯವಹಾರದ ಪ್ರಭಾವಕ್ಕೆ ಅನುಗುಣವಾಗಿರಬೇಕು.
ಮಾಹಿತಿ ಭದ್ರತಾ ಅಪಾಯದ ಮೌಲ್ಯಮಾಪನ
ಮಾಹಿತಿ ಭದ್ರತಾ ಅಪಾಯ ನಿರ್ವಹಣೆಗೆ ಅಪಾಯವನ್ನು ನಿರ್ಣಯಿಸಲು ಮತ್ತು ಚಿಕಿತ್ಸೆ ನೀಡಲು ಸೂಕ್ತವಾದ ವಿಧಾನದ ಅಗತ್ಯವಿದೆ, ಇದು ವೆಚ್ಚಗಳು ಮತ್ತು ಪ್ರಯೋಜನಗಳು, ಕಾನೂನು ಅವಶ್ಯಕತೆಗಳು, ಮಧ್ಯಸ್ಥಗಾರರ ಕಾಳಜಿಗಳು ಮತ್ತು ಇತರ ಒಳಹರಿವು ಮತ್ತು ಅಸ್ಥಿರಗಳ ಮೌಲ್ಯಮಾಪನವನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ.
ಅಪಾಯದ ಮೌಲ್ಯಮಾಪನಗಳು ಅಪಾಯ ಸ್ವೀಕಾರ ಮಾನದಂಡಗಳು ಮತ್ತು ಸಾಂಸ್ಥಿಕ ಉದ್ದೇಶಗಳ ಆಧಾರದ ಮೇಲೆ ಅಪಾಯಗಳನ್ನು ಗುರುತಿಸಬೇಕು, ಅಳೆಯಬೇಕು ಮತ್ತು ಆದ್ಯತೆ ನೀಡಬೇಕು. ಮಾಹಿತಿ ಭದ್ರತಾ ಅಪಾಯಗಳನ್ನು ನಿರ್ವಹಿಸಲು ಮತ್ತು ಈ ಅಪಾಯಗಳ ವಿರುದ್ಧ ರಕ್ಷಿಸಲು ಆಯ್ಕೆಮಾಡಿದ ಭದ್ರತಾ ಕ್ರಮಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಕ್ರಮ ಮತ್ತು ಆದ್ಯತೆಗಾಗಿ ಸೂಕ್ತ ನಿರ್ವಹಣಾ ನಿರ್ಧಾರಗಳನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಲು ಮತ್ತು ಮಾಡಲು ಫಲಿತಾಂಶಗಳು ಸಹಾಯ ಮಾಡುತ್ತದೆ.
ಅಪಾಯದ ಮೌಲ್ಯಮಾಪನವು ಅಪಾಯಗಳ ಪ್ರಮಾಣವನ್ನು ನಿರ್ಣಯಿಸಲು ವ್ಯವಸ್ಥಿತ ವಿಧಾನವನ್ನು ಒಳಗೊಂಡಿರಬೇಕು (ಅಪಾಯ ವಿಶ್ಲೇಷಣೆ) ಮತ್ತು ಅಪಾಯಗಳ ತೀವ್ರತೆಯನ್ನು ನಿರ್ಧರಿಸಲು ಅಪಾಯದ ಮಾನದಂಡಗಳೊಂದಿಗೆ ಮೌಲ್ಯಮಾಪನ ಅಪಾಯಗಳನ್ನು ಹೋಲಿಸುವ ಪ್ರಕ್ರಿಯೆಯನ್ನು (ಅಪಾಯ ಮೌಲ್ಯಮಾಪನ) ಒಳಗೊಂಡಿರಬೇಕು.
ಮಾಹಿತಿ ಸುರಕ್ಷತೆಯ ಅಗತ್ಯತೆಗಳು ಮತ್ತು ಸ್ವತ್ತುಗಳು, ಬೆದರಿಕೆಗಳು, ದುರ್ಬಲತೆಗಳು, ಪರಿಣಾಮಗಳು, ಅಪಾಯದ ಮೌಲ್ಯಮಾಪನಗಳು ಮತ್ತು ಗಮನಾರ್ಹ ಬದಲಾವಣೆಗಳಂತಹ ಅಪಾಯದ ಸಂದರ್ಭಗಳಲ್ಲಿ ಬದಲಾವಣೆಗಳನ್ನು ಸರಿಹೊಂದಿಸಲು ಅಪಾಯದ ಮೌಲ್ಯಮಾಪನಗಳನ್ನು ನಿಯತಕಾಲಿಕವಾಗಿ ಕೈಗೊಳ್ಳಬೇಕು. ಹೋಲಿಸಬಹುದಾದ ಮತ್ತು ಪುನರುತ್ಪಾದಿಸಬಹುದಾದ ಫಲಿತಾಂಶಗಳನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಈ ಅಪಾಯದ ಮೌಲ್ಯಮಾಪನಗಳನ್ನು ಕ್ರಮಬದ್ಧವಾಗಿ ಕೈಗೊಳ್ಳಬೇಕು.
ಮಾಹಿತಿ ಭದ್ರತಾ ಅಪಾಯದ ಮೌಲ್ಯಮಾಪನವು ಪರಿಣಾಮಕಾರಿಯಾಗಿರಲು ಅದರ ವ್ಯಾಪ್ತಿಯನ್ನು ಸ್ಪಷ್ಟವಾಗಿ ವ್ಯಾಖ್ಯಾನಿಸಬೇಕು ಮತ್ತು ಸಾಧ್ಯವಿರುವ ಇತರ ಪ್ರದೇಶಗಳಲ್ಲಿ ಅಪಾಯದ ಮೌಲ್ಯಮಾಪನಗಳೊಂದಿಗೆ ಸಂವಹನಗಳನ್ನು ಹೊಂದಿರಬೇಕು.
ISO/IEC 27005 ಮಾನದಂಡವು ಅಪಾಯವನ್ನು ನಿರ್ಣಯಿಸಲು, ಚಿಕಿತ್ಸೆ ನೀಡಲು, ಸ್ವೀಕರಿಸಲು, ಸಂವಹನ ಮಾಡಲು, ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲು ಮತ್ತು ವಿಶ್ಲೇಷಿಸಲು ಶಿಫಾರಸುಗಳನ್ನು ಒಳಗೊಂಡಂತೆ ಮಾಹಿತಿ ಸುರಕ್ಷತೆಯ ಅಪಾಯ ನಿರ್ವಹಣೆಗೆ ಮಾರ್ಗದರ್ಶನ ನೀಡುತ್ತದೆ.
ಮಾಹಿತಿ ಭದ್ರತಾ ಅಪಾಯದ ಚಿಕಿತ್ಸೆ
ಅಪಾಯದ ಚಿಕಿತ್ಸೆಯನ್ನು ಪರಿಗಣಿಸುವ ಮೊದಲು, ಅಪಾಯಗಳನ್ನು ಸ್ವೀಕರಿಸಬಹುದೇ ಅಥವಾ ಇಲ್ಲವೇ ಎಂಬುದನ್ನು ನಿರ್ಧರಿಸಲು ಸಂಸ್ಥೆಯು ಒಂದು ಮಾನದಂಡವನ್ನು ಸ್ಥಾಪಿಸಬೇಕು. ಅಪಾಯವು ಕಡಿಮೆಯಿದ್ದರೆ ಅಥವಾ ಚಿಕಿತ್ಸೆಯ ವೆಚ್ಚವು ಸಂಸ್ಥೆಗೆ ವೆಚ್ಚ-ಪರಿಣಾಮಕಾರಿಯಲ್ಲದಿದ್ದರೆ ಅಪಾಯಗಳನ್ನು ಸ್ವೀಕರಿಸಬಹುದು. ಅಂತಹ ನಿರ್ಧಾರಗಳನ್ನು ದಾಖಲಿಸಬೇಕು.
ಅಪಾಯದ ಮೌಲ್ಯಮಾಪನದಿಂದ ಗುರುತಿಸಲ್ಪಟ್ಟ ಪ್ರತಿಯೊಂದು ಅಪಾಯಕ್ಕೂ, ಅದನ್ನು ಹೇಗೆ ಚಿಕಿತ್ಸೆ ನೀಡಬೇಕು ಎಂಬುದರ ಕುರಿತು ನಿರ್ಧಾರ ತೆಗೆದುಕೊಳ್ಳಬೇಕು. ಸಂಭವನೀಯ ಅಪಾಯದ ಚಿಕಿತ್ಸೆಯ ಆಯ್ಕೆಗಳು ಸೇರಿವೆ:
- ಅಪಾಯಗಳನ್ನು ಕಡಿಮೆ ಮಾಡಲು ಸೂಕ್ತವಾದ ರಕ್ಷಣಾತ್ಮಕ ಕ್ರಮಗಳನ್ನು ಅನ್ವಯಿಸುವುದು;
- ಸಂಸ್ಥೆಯ ನೀತಿಗಳು ಮತ್ತು ಅಪಾಯ ಸ್ವೀಕಾರ ಮಾನದಂಡಗಳಿಗೆ ಕಟ್ಟುನಿಟ್ಟಾದ ಅನುಸಾರವಾಗಿ ಅಪಾಯಗಳ ಪ್ರಜ್ಞಾಪೂರ್ವಕ ಮತ್ತು ವಸ್ತುನಿಷ್ಠ ಸ್ವೀಕಾರ;
- ಅಪಾಯಗಳಿಗೆ ಕಾರಣವಾಗುವ ಕ್ರಮಗಳನ್ನು ತೆಗೆದುಹಾಕುವ ಮೂಲಕ ಅಪಾಯಗಳನ್ನು ತಡೆಗಟ್ಟುವುದು;
- ವಿಮಾದಾರರು ಅಥವಾ ಪೂರೈಕೆದಾರರಂತಹ ಇತರ ಪಕ್ಷಗಳೊಂದಿಗೆ ಸಂಬಂಧಿತ ಅಪಾಯಗಳನ್ನು ಹಂಚಿಕೊಳ್ಳುವುದು.
ಅಪಾಯದ ಚಿಕಿತ್ಸೆಯ ಉದ್ದೇಶಕ್ಕಾಗಿ ಅವುಗಳನ್ನು ಅನ್ವಯಿಸಲು ನಿರ್ಧರಿಸಿದ ಅಪಾಯಗಳ ವಿರುದ್ಧ ರಕ್ಷಿಸಲು ಸೂಕ್ತವಾದ ಕ್ರಮಗಳನ್ನು ಆಯ್ಕೆ ಮಾಡಬೇಕು ಮತ್ತು ಕಾರ್ಯಗತಗೊಳಿಸಬೇಕು.
ರಕ್ಷಣೆ ಕ್ರಮಗಳ ಆಯ್ಕೆ ಮತ್ತು ಅನುಷ್ಠಾನ
ಮಾಹಿತಿ ಸುರಕ್ಷತೆಯು ಪರಿಣಾಮಕಾರಿಯಾಗಿರಲು, ಅದು ವ್ಯಾಪಾರದ ಭದ್ರತೆ ಮತ್ತು ವ್ಯಾಪಾರದ ಅಗತ್ಯಗಳಿಗೆ ನಿಕಟವಾಗಿ ಸಂಬಂಧ ಹೊಂದಿರಬೇಕು.
ಐಟಿ ಸಂಸ್ಥೆಯೊಳಗಿನ ಪ್ರತಿಯೊಂದು ಪ್ರಕ್ರಿಯೆಯು ಭದ್ರತಾ ಪರಿಗಣನೆಗಳನ್ನು ಒಳಗೊಂಡಿರಬೇಕು. ಭದ್ರತೆಯು ಸ್ವಾಯತ್ತ ಚಟುವಟಿಕೆಯಲ್ಲ; ಇದು ಸೇವಾ ಪೂರೈಕೆದಾರರ ಎಲ್ಲಾ ಪ್ರಕ್ರಿಯೆಗಳ ಮೂಲಕ ಚಲಿಸುವ ಥ್ರೆಡ್ ಆಗಿದೆ.
ಮಾಹಿತಿಯನ್ನು ಸಂಘಟಿಸಲು ಸಂಸ್ಥೆಯ ನಿರ್ವಹಣೆಯು ಸಂಪೂರ್ಣ ಜವಾಬ್ದಾರಿಯಾಗಿದೆ. ಮಾಹಿತಿಯ ಸುರಕ್ಷತೆಯ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವ ಎಲ್ಲಾ ಪ್ರಶ್ನೆಗಳಿಗೆ ಉತ್ತರಿಸುವ ಜವಾಬ್ದಾರಿ ನಿರ್ವಹಣೆಯಾಗಿರುತ್ತದೆ. ನಿರ್ದೇಶಕರ ಮಂಡಳಿಯು ಮಾಹಿತಿ ಭದ್ರತೆಯನ್ನು ಕಾರ್ಪೊರೇಟ್ ಆಡಳಿತದ ಅವಿಭಾಜ್ಯ ಅಂಗವನ್ನಾಗಿ ಮಾಡಬೇಕು.
ಅನುಮತಿಗಳು
ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣೆ ಪ್ರಕ್ರಿಯೆ ಮತ್ತು ಚೌಕಟ್ಟು ಸಾಮಾನ್ಯವಾಗಿ ಒಳಗೊಂಡಿರುತ್ತದೆ:
- ಮಾಹಿತಿ ಭದ್ರತಾ ನೀತಿ, ಕಾರ್ಯತಂತ್ರ, ನಿಯಂತ್ರಣ ಮತ್ತು ನಿಯಂತ್ರಣದ ಅಂಶಗಳನ್ನು ಒಳಗೊಂಡಿರುವ ನೀತಿಗಳ ಉಪವಿಭಾಗದಿಂದ ಬೆಂಬಲಿತವಾಗಿದೆ
- ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆ
- ವ್ಯಾಪಾರದ ಗುರಿಗಳು, ತಂತ್ರಗಳು ಮತ್ತು ನಿಕಟವಾಗಿ ಸಂಬಂಧಿಸಿರುವ ಸಮಗ್ರ ಭದ್ರತಾ ಕಾರ್ಯತಂತ್ರ
ಯೋಜನೆಗಳು
ಭದ್ರತಾ ಮಾದರಿಯು ಪರಿಣಾಮಕಾರಿ ಸಾಂಸ್ಥಿಕ ರಚನೆಯನ್ನು ಸಹ ಒಳಗೊಂಡಿರಬೇಕು.
ಭದ್ರತೆಯು ಒಬ್ಬ ವ್ಯಕ್ತಿಯ ಜವಾಬ್ದಾರಿಯಲ್ಲ, ಆದರೆ ಸಂಸ್ಥೆಯ ಎಲ್ಲಾ ಹಂತಗಳಲ್ಲಿನ ಪಾತ್ರ ಪ್ರೊಫೈಲ್ಗಳಲ್ಲಿ ಪರಿಗಣಿಸಬೇಕಾಗಿದೆ.
ನೀತಿಯನ್ನು ಬೆಂಬಲಿಸಲು ಮತ್ತು ಭದ್ರತಾ ಅಪಾಯಗಳನ್ನು ನಿರ್ವಹಿಸಲು ಭದ್ರತಾ ನಿರ್ವಹಣೆ ಅಗತ್ಯ.
ಅಂತಿಮವಾಗಿ, ಭದ್ರತಾ ಚೌಕಟ್ಟನ್ನು ಪರಿಗಣಿಸಬೇಕು ಮತ್ತು ಒಳಗೊಂಡಿರಬೇಕು:
- ಅನುಸರಣೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಮತ್ತು ಕಾರ್ಯಕ್ಷಮತೆಯ ಪ್ರತಿಕ್ರಿಯೆಯನ್ನು ಒದಗಿಸಲು ಪ್ರಕ್ರಿಯೆಯನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುವುದು
- ಸಂವಹನಕ್ಕೆ ಸಂಬಂಧಿಸಿದ ಭದ್ರತೆಗಾಗಿ ಕಾರ್ಯತಂತ್ರ ಮತ್ತು ಯೋಜನೆ
- ಎಲ್ಲಾ ಉದ್ಯೋಗಿಗಳು ತಮ್ಮ ಜವಾಬ್ದಾರಿಗಳ ಬಗ್ಗೆ ತಿಳುವಳಿಕೆಯನ್ನು ಹೊಂದಿದ್ದಾರೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ತರಬೇತಿ ಮತ್ತು ತಂತ್ರಗಳು ಮತ್ತು ಯೋಜನೆಗಳು.
ಮಾಹಿತಿ ಭದ್ರತಾ ನೀತಿ
ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣಾ ಚಟುವಟಿಕೆಗಳು ಮಾಹಿತಿ ಭದ್ರತಾ ನೀತಿಯನ್ನು ನಿರ್ವಹಿಸುವ ಗುರಿಯನ್ನು ಹೊಂದಿರಬೇಕು.
ಮಾಹಿತಿ ಭದ್ರತಾ ನೀತಿಯು ಹಿರಿಯ ಐಟಿ ನಿರ್ವಹಣೆಯ ಸಂಪೂರ್ಣ ಬೆಂಬಲವನ್ನು ಹೊಂದಿರಬೇಕು ಮತ್ತು ಆದರ್ಶಪ್ರಾಯವಾಗಿ, ಹಿರಿಯ ವ್ಯವಹಾರ ನಿರ್ವಹಣೆಯ ಬೆಂಬಲ ಮತ್ತು ಬದ್ಧತೆಯನ್ನು ಹೊಂದಿರಬೇಕು.
ಈ ನೀತಿಗಳು ಭದ್ರತೆಯ ಎಲ್ಲಾ ಕ್ಷೇತ್ರಗಳನ್ನು ಒಳಗೊಂಡಿರಬೇಕು, ಸಮರ್ಪಕವಾಗಿರಬೇಕು ಮತ್ತು ವ್ಯಾಪಾರ ಅಗತ್ಯಗಳನ್ನು ಪೂರೈಸಬೇಕು.
ಮಾಹಿತಿ ಭದ್ರತಾ ನೀತಿಯು ಎಲ್ಲಾ ಗ್ರಾಹಕರು ಮತ್ತು ಬಳಕೆದಾರರಿಗೆ ವ್ಯಾಪಕವಾಗಿ ಲಭ್ಯವಿರಬೇಕು.
ಈ ನೀತಿಯನ್ನು ಹಿರಿಯ ವ್ಯಾಪಾರ ಮತ್ತು IT ನಿರ್ವಹಣೆಯಿಂದ ಅಧಿಕೃತಗೊಳಿಸಬೇಕು.
ಎಲ್ಲಾ ಭದ್ರತಾ ನೀತಿಗಳನ್ನು ಕನಿಷ್ಠ ವಾರ್ಷಿಕವಾಗಿ ಮತ್ತು ಅಗತ್ಯವಿರುವಂತೆ ಪರಿಶೀಲಿಸಬೇಕು.
ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆ
ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಯು ನೀತಿಗಳು, ಪ್ರಕ್ರಿಯೆಗಳು, ಮಾನದಂಡಗಳು, ಮಾರ್ಗಸೂಚಿಗಳು ಮತ್ತು ಸಾಧನಗಳ ಚೌಕಟ್ಟಾಗಿದ್ದು ಅದು ಸಂಸ್ಥೆಯು ತನ್ನ ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣಾ ಉದ್ದೇಶಗಳನ್ನು ಸಾಧಿಸುವುದನ್ನು ಖಚಿತಪಡಿಸುತ್ತದೆ.
ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಯು ವ್ಯಾಪಾರ ಉದ್ದೇಶಗಳನ್ನು ಬೆಂಬಲಿಸುವ ವೆಚ್ಚ-ಪರಿಣಾಮಕಾರಿ ಮಾಹಿತಿ ಭದ್ರತಾ ಕಾರ್ಯಕ್ರಮಗಳನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಲು ಚೌಕಟ್ಟನ್ನು ಒದಗಿಸುತ್ತದೆ.
ವ್ಯವಸ್ಥೆಯು ಕೇವಲ ತಂತ್ರಜ್ಞಾನಕ್ಕಿಂತ ಹೆಚ್ಚಿನದನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಳ್ಳಬೇಕು.
ಎಲ್ಲಾ ಪ್ರದೇಶಗಳಲ್ಲಿ ಉನ್ನತ ಮಟ್ಟದ ಭದ್ರತೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು 4Ps (ಜನರು, ಪ್ರಕ್ರಿಯೆ, ಉತ್ಪನ್ನ ಮತ್ತು ಪಾಲುದಾರ) ಅಭ್ಯಾಸಗಳನ್ನು ಬಳಸಬಹುದು.
ISO 27001 ಒಂದು ಔಪಚಾರಿಕ ಮಾನದಂಡವಾಗಿದ್ದು ಅದು ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಯ ಸ್ವತಂತ್ರ ಪ್ರಮಾಣೀಕರಣವನ್ನು ಒದಗಿಸುತ್ತದೆ. ಸಂಸ್ಥೆಗಳು ಭದ್ರತಾ ಅವಶ್ಯಕತೆಗಳನ್ನು ಪೂರೈಸುವುದನ್ನು ಸಾಬೀತುಪಡಿಸಲು ಪ್ರಮಾಣೀಕರಣವನ್ನು ಪಡೆಯಬಹುದು.
ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಯು ಸಂಸ್ಥೆಯಾದ್ಯಂತ ವ್ಯವಸ್ಥಿತವಾಗಿ ಮತ್ತು ಸ್ಥಿರವಾಗಿ ಮಾಹಿತಿ ಭದ್ರತೆ ಮತ್ತು ಆಡಳಿತ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಲು, ಕಾರ್ಯಗತಗೊಳಿಸಲು, ನಿರ್ವಹಿಸಲು, ನಿರ್ವಹಿಸಲು ಮತ್ತು ಜಾರಿಗೊಳಿಸಲು ಸಾಂಸ್ಥಿಕ ರಚನೆಯನ್ನು ಒಳಗೊಂಡಿದೆ.
ಕೆಳಗಿನ ರೇಖಾಚಿತ್ರವು ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣೆಯ ವಿಧಾನವನ್ನು ತೋರಿಸುತ್ತದೆ
ವ್ಯವಸ್ಥೆಗಳು. ಈ ವಿಧಾನವನ್ನು ವ್ಯಾಪಕವಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ ಮತ್ತು ISO 27001 ಸೇರಿದಂತೆ ಮೂಲಗಳಲ್ಲಿ ವಿವರಿಸಿದ ಸಲಹೆ ಮತ್ತು ಶಿಫಾರಸುಗಳನ್ನು ಆಧರಿಸಿದೆ.
ನಿಯಂತ್ರಣ
ಮಾಹಿತಿ ಭದ್ರತಾ ನಿಯಂತ್ರಣವು ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣೆಯ ಮೊದಲ ಉಪ-ಪ್ರಕ್ರಿಯೆಯಾಗಿದೆ ಮತ್ತು ಪ್ರಕ್ರಿಯೆಯ ಸಂಘಟನೆ ಮತ್ತು ನಿರ್ವಹಣೆಗೆ ಸಂಬಂಧಿಸಿದೆ. ಈ ಚಟುವಟಿಕೆಯು ಕೆಳಗಿನ ಉಪ-ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ವಿವರಿಸುವ ರಚನಾತ್ಮಕ ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣಾ ವಿಧಾನವನ್ನು ಒಳಗೊಂಡಿದೆ: ಭದ್ರತಾ ಯೋಜನೆಗಳ ರಚನೆ, ಅವುಗಳ ಅನುಷ್ಠಾನ, ಅನುಷ್ಠಾನದ ಮೌಲ್ಯಮಾಪನ ಮತ್ತು ವಾರ್ಷಿಕ ಭದ್ರತಾ ಯೋಜನೆಗಳಲ್ಲಿ (ಕ್ರಿಯಾತ್ಮಕ ಯೋಜನೆಗಳು) ಮೌಲ್ಯಮಾಪನವನ್ನು ಸೇರಿಸುವುದು. ಸೇವಾ ಮಟ್ಟದ ನಿರ್ವಹಣಾ ಪ್ರಕ್ರಿಯೆಯ ಮೂಲಕ ಗ್ರಾಹಕರಿಗೆ ಒದಗಿಸಲಾದ ವರದಿಗಳನ್ನು ಸಹ ಇದು ವಿವರಿಸುತ್ತದೆ.
ಈ ಚಟುವಟಿಕೆಯು ಉಪ-ಪ್ರಕ್ರಿಯೆಗಳು, ಭದ್ರತಾ ಕಾರ್ಯಗಳು, ಪಾತ್ರಗಳು ಮತ್ತು ಜವಾಬ್ದಾರಿಗಳನ್ನು ವ್ಯಾಖ್ಯಾನಿಸುತ್ತದೆ. ಇದು ಸಾಂಸ್ಥಿಕ ರಚನೆ, ವರದಿ ಮಾಡುವ ವ್ಯವಸ್ಥೆ ಮತ್ತು ನಿಯಂತ್ರಣ ಹರಿವುಗಳನ್ನು ವಿವರಿಸುತ್ತದೆ (ಯಾರು ಯಾರಿಗೆ ಸೂಚನೆ ನೀಡುತ್ತಾರೆ, ಯಾರು ಏನು ಮಾಡುತ್ತಾರೆ, ಕಾರ್ಯಕ್ಷಮತೆಯನ್ನು ಹೇಗೆ ವರದಿ ಮಾಡುತ್ತಾರೆ). ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣೆಗಾಗಿ ಪ್ರಾಯೋಗಿಕ ಶಿಫಾರಸುಗಳ ಸಂಗ್ರಹದಿಂದ ಕೆಳಗಿನ ಕ್ರಮಗಳನ್ನು ಈ ರೀತಿಯ ಚಟುವಟಿಕೆಯ ಚೌಕಟ್ಟಿನೊಳಗೆ ಅಳವಡಿಸಲಾಗಿದೆ.
ಆಂತರಿಕ ಕಾರ್ಯಾಚರಣೆಯ ನಿಯಮಗಳು (ನೀತಿ):
- ಆಂತರಿಕ ಕೆಲಸದ ನಿಯಮಗಳ (ನೀತಿಗಳು), ಇತರ ನಿಯಮಗಳೊಂದಿಗೆ ಸಂಪರ್ಕಗಳ ಅಭಿವೃದ್ಧಿ ಮತ್ತು ಅನುಷ್ಠಾನ;
- ಗುರಿಗಳು, ಸಾಮಾನ್ಯ ತತ್ವಗಳು ಮತ್ತು ಮಹತ್ವ;
- ಉಪಪ್ರಕ್ರಿಯೆಗಳ ವಿವರಣೆ;
- ಉಪಪ್ರಕ್ರಿಯೆಗಳ ನಡುವೆ ಕಾರ್ಯಗಳು ಮತ್ತು ಜವಾಬ್ದಾರಿಗಳ ವಿತರಣೆ;
- ಇತರ ITIL ಪ್ರಕ್ರಿಯೆಗಳೊಂದಿಗೆ ಸಂಪರ್ಕಗಳು ಮತ್ತು ಅವುಗಳ ನಿರ್ವಹಣೆ;
- ಸಿಬ್ಬಂದಿಯ ಸಾಮಾನ್ಯ ಜವಾಬ್ದಾರಿ;
- ಭದ್ರತಾ ಘಟನೆಗಳನ್ನು ನಿರ್ವಹಿಸುವುದು.
ಮಾಹಿತಿ ಭದ್ರತೆಯ ಸಂಘಟನೆ:
- ನಿರ್ವಹಣೆಯ ಬ್ಲಾಕ್ ರೇಖಾಚಿತ್ರ;
- ನಿರ್ವಹಣಾ ರಚನೆ (ಸಾಂಸ್ಥಿಕ ರಚನೆ);
- ಜವಾಬ್ದಾರಿಗಳ ಹೆಚ್ಚು ವಿವರವಾದ ವಿತರಣೆ;
- ಮಾಹಿತಿ ಭದ್ರತಾ ಸ್ಟೀರಿಂಗ್ ಸಮಿತಿಯ ಸ್ಥಾಪನೆ;
- ಮಾಹಿತಿ ಭದ್ರತೆಯ ಸಮನ್ವಯ;
- ಉಪಕರಣಗಳ ಸಮನ್ವಯತೆ (ಉದಾಹರಣೆಗೆ ಅಪಾಯದ ವಿಶ್ಲೇಷಣೆ ಮತ್ತು ಅರಿವು ಮೂಡಿಸಲು);
- ಗ್ರಾಹಕರೊಂದಿಗೆ ಸಮಾಲೋಚಿಸಿ ಐಟಿ ಪರಿಕರಗಳ ಅಧಿಕಾರ ಪ್ರಕ್ರಿಯೆಯ ವಿವರಣೆ;
- ತಜ್ಞರೊಂದಿಗೆ ಸಮಾಲೋಚನೆ;
- ಸಂಸ್ಥೆಗಳ ನಡುವಿನ ಸಹಕಾರ, ಆಂತರಿಕ ಮತ್ತು ಬಾಹ್ಯ ಸಂವಹನ;
- ಮಾಹಿತಿ ವ್ಯವಸ್ಥೆಗಳ ಸ್ವತಂತ್ರ ಲೆಕ್ಕಪರಿಶೋಧನೆ;
- ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಮಾಹಿತಿಯನ್ನು ಪ್ರವೇಶಿಸುವಾಗ ಭದ್ರತಾ ತತ್ವಗಳು;
- ಮೂರನೇ ವ್ಯಕ್ತಿಗಳೊಂದಿಗೆ ಒಪ್ಪಂದಗಳಲ್ಲಿ ಮಾಹಿತಿ ಭದ್ರತೆ.
ಯೋಜನೆ
ಯೋಜನಾ ಉಪ-ಪ್ರಕ್ರಿಯೆಯು ಸೇವಾ ಮಟ್ಟದ ನಿರ್ವಹಣಾ ಪ್ರಕ್ರಿಯೆಯ ಭಾಗವಹಿಸುವಿಕೆಯೊಂದಿಗೆ SLA ಗಳ ಭದ್ರತಾ ವಿಭಾಗದ ವಿಷಯವನ್ನು ವ್ಯಾಖ್ಯಾನಿಸಲು ಮತ್ತು ಬಾಹ್ಯ ಒಪ್ಪಂದಗಳ ಚೌಕಟ್ಟಿನೊಳಗೆ ನಡೆಸಿದ ಭದ್ರತೆ-ಸಂಬಂಧಿತ ಚಟುವಟಿಕೆಗಳನ್ನು ವಿವರಿಸಲು ಕುದಿಯುತ್ತದೆ. SLA ಯಲ್ಲಿ ಸಾಮಾನ್ಯ ಪದಗಳಲ್ಲಿ ವ್ಯಾಖ್ಯಾನಿಸಲಾದ ಕಾರ್ಯಗಳನ್ನು ವಿವರಿಸಲಾಗಿದೆ ಮತ್ತು ಕಾರ್ಯಾಚರಣೆಯ ಸೇವಾ ಮಟ್ಟದ ಒಪ್ಪಂದದ (OLA) ರೂಪದಲ್ಲಿ ನಿರ್ದಿಷ್ಟಪಡಿಸಲಾಗಿದೆ. OLA ಅನ್ನು ಸೇವಾ ಪೂರೈಕೆದಾರರ ಸಾಂಸ್ಥಿಕ ರಚನೆಗೆ ಭದ್ರತಾ ಯೋಜನೆಯಾಗಿ ಮತ್ತು ನಿರ್ದಿಷ್ಟ ಭದ್ರತಾ ಯೋಜನೆಯಾಗಿ ಪರಿಗಣಿಸಬಹುದು, ಉದಾಹರಣೆಗೆ, ಪ್ರತಿ IT ಪ್ಲಾಟ್ಫಾರ್ಮ್, ಅಪ್ಲಿಕೇಶನ್ ಮತ್ತು ನೆಟ್ವರ್ಕ್.
ಯೋಜನೆ ಉಪ-ಪ್ರಕ್ರಿಯೆಗೆ ಒಳಹರಿವು SLA ಒಪ್ಪಂದದ ನಿಬಂಧನೆಗಳು ಮಾತ್ರವಲ್ಲದೆ, ಸೇವಾ ಪೂರೈಕೆದಾರರ ಭದ್ರತಾ ನೀತಿಯ ತತ್ವಗಳು (ನಿಯಂತ್ರಣ ಉಪ-ಪ್ರಕ್ರಿಯೆಯಿಂದ). ಈ ತತ್ವಗಳ ಉದಾಹರಣೆಗಳೆಂದರೆ: "ಪ್ರತಿಯೊಬ್ಬ ಬಳಕೆದಾರರನ್ನು ಪ್ರತ್ಯೇಕವಾಗಿ ಗುರುತಿಸಬೇಕು"; "ಎಲ್ಲಾ ಗ್ರಾಹಕರಿಗೆ ಎಲ್ಲಾ ಸಮಯದಲ್ಲೂ ಮೂಲಭೂತ ಮಟ್ಟದ ಭದ್ರತೆಯನ್ನು ಒದಗಿಸಲಾಗುತ್ತದೆ."
ಮಾಹಿತಿ ಭದ್ರತೆಗಾಗಿ (ನಿರ್ದಿಷ್ಟ ಭದ್ರತಾ ಯೋಜನೆಗಳು) ಕಾರ್ಯಾಚರಣಾ ಸೇವಾ ಮಟ್ಟದ ಒಪ್ಪಂದಗಳನ್ನು (OLA) ಸಾಮಾನ್ಯ ಕಾರ್ಯವಿಧಾನಗಳ ಮೂಲಕ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾಗಿದೆ ಮತ್ತು ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗುತ್ತದೆ. ಇದರರ್ಥ ಇತರ ಪ್ರಕ್ರಿಯೆಗಳಲ್ಲಿ ಈ ಚಟುವಟಿಕೆಗಳು ಅಗತ್ಯವಾಗಿದ್ದರೆ, ಈ ಪ್ರಕ್ರಿಯೆಗಳೊಂದಿಗೆ ಸಮನ್ವಯವು ಅಗತ್ಯವಾಗಿರುತ್ತದೆ. ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣಾ ಪ್ರಕ್ರಿಯೆಯಿಂದ ಒದಗಿಸಲಾದ ಇನ್ಪುಟ್ ಮಾಹಿತಿಯನ್ನು ಬಳಸಿಕೊಂಡು ಐಟಿ ಮೂಲಸೌಕರ್ಯಕ್ಕೆ ಅಗತ್ಯವಿರುವ ಎಲ್ಲಾ ಬದಲಾವಣೆಗಳನ್ನು ಬದಲಾವಣೆ ನಿರ್ವಹಣೆ ಪ್ರಕ್ರಿಯೆಯಿಂದ ಕೈಗೊಳ್ಳಲಾಗುತ್ತದೆ. ಬದಲಾವಣೆ ನಿರ್ವಹಣಾ ಪ್ರಕ್ರಿಯೆಗೆ ಜವಾಬ್ದಾರರು ಈ ಪ್ರಕ್ರಿಯೆಯ ವ್ಯವಸ್ಥಾಪಕರು.
SLA ನ ಭದ್ರತಾ ವಿಭಾಗವನ್ನು ನಿರ್ಧರಿಸಲು, ಅದನ್ನು ನವೀಕರಿಸಲು ಮತ್ತು ಅದರ ನಿಬಂಧನೆಗಳ ಅನುಸರಣೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಯೋಜನಾ ಉಪ-ಪ್ರಕ್ರಿಯೆಯು ಸೇವಾ ಮಟ್ಟದ ನಿರ್ವಹಣಾ ಪ್ರಕ್ರಿಯೆಯೊಂದಿಗೆ ಸಂಯೋಜಿಸುತ್ತದೆ. ಈ ಸಮನ್ವಯಕ್ಕೆ ಸೇವಾ ಮಟ್ಟದ ನಿರ್ವಹಣಾ ಪ್ರಕ್ರಿಯೆ ನಿರ್ವಾಹಕರು ಜವಾಬ್ದಾರರಾಗಿರುತ್ತಾರೆ.
ಸಾಧ್ಯವಾದರೆ, ಅಳೆಯಬಹುದಾದ ಪರಿಭಾಷೆಯಲ್ಲಿ ಭದ್ರತಾ ಅವಶ್ಯಕತೆಗಳನ್ನು SLA ನಲ್ಲಿ ವ್ಯಾಖ್ಯಾನಿಸಬೇಕು. SLA ಯ ಭದ್ರತಾ ವಿಭಾಗವು ಎಲ್ಲಾ ಗ್ರಾಹಕರ ಭದ್ರತಾ ಅವಶ್ಯಕತೆಗಳು ಮತ್ತು ಮಾನದಂಡಗಳ ಸಾಧನೆಯನ್ನು ಪರಿಶೀಲಿಸಬಹುದು ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಬೇಕು.
ಅನುಷ್ಠಾನ
ಅನುಷ್ಠಾನ (ಅನುಷ್ಠಾನ) ಉಪಪ್ರಕ್ರಿಯೆಯ ಕಾರ್ಯವು ಯೋಜನೆಗಳಲ್ಲಿ ವ್ಯಾಖ್ಯಾನಿಸಲಾದ ಎಲ್ಲಾ ಚಟುವಟಿಕೆಗಳನ್ನು ಕೈಗೊಳ್ಳುವುದು. ಕೆಳಗಿನ ಕ್ರಿಯೆಯ ಪರಿಶೀಲನಾಪಟ್ಟಿಯಿಂದ ಈ ಉಪ-ಪ್ರಕ್ರಿಯೆಯನ್ನು ಬೆಂಬಲಿಸಬಹುದು.
ಐಟಿ ಸಂಪನ್ಮೂಲಗಳ ವರ್ಗೀಕರಣ ಮತ್ತು ನಿರ್ವಹಣೆ:
- CMDB ಯಲ್ಲಿ ಕಾನ್ಫಿಗರೇಶನ್ ಐಟಂಗಳನ್ನು (CI) ಬೆಂಬಲಿಸಲು ಇನ್ಪುಟ್ ಡೇಟಾವನ್ನು ಒದಗಿಸುವುದು;
- ಒಪ್ಪಿದ ತತ್ವಗಳಿಗೆ ಅನುಗುಣವಾಗಿ ಐಟಿ ಸಂಪನ್ಮೂಲಗಳ ವರ್ಗೀಕರಣ.
ಸಿಬ್ಬಂದಿ ಸುರಕ್ಷತೆ:
- ಉದ್ಯೋಗ ವಿವರಣೆಯಲ್ಲಿ ಕಾರ್ಯಗಳು ಮತ್ತು ಜವಾಬ್ದಾರಿಗಳು;
- ಸಿಬ್ಬಂದಿ ಆಯ್ಕೆ;
- ಸಿಬ್ಬಂದಿಗೆ ಗೌಪ್ಯತೆಯ ಒಪ್ಪಂದಗಳು;
- ಸಿಬ್ಬಂದಿ ತರಬೇತಿ;
- ಭದ್ರತಾ ಘಟನೆಗಳನ್ನು ಪರಿಹರಿಸಲು ಮತ್ತು ಪತ್ತೆಯಾದ ಭದ್ರತಾ ದೋಷಗಳನ್ನು ನಿವಾರಿಸಲು ಸಿಬ್ಬಂದಿಗೆ ಮಾರ್ಗದರ್ಶನ;
- ಶಿಸ್ತಿನ ಕ್ರಮಗಳು;
- ಭದ್ರತಾ ಜಾಗೃತಿಯನ್ನು ಸುಧಾರಿಸುವುದು.
ಭದ್ರತಾ ನಿರ್ವಹಣೆ:
- ಜವಾಬ್ದಾರಿಯ ಪ್ರಕಾರಗಳ ಪರಿಚಯ ಮತ್ತು ಜವಾಬ್ದಾರಿಗಳ ವಿತರಣೆ;
- ಲಿಖಿತ ಕೆಲಸದ ಸೂಚನೆಗಳು;
- ಆಂತರಿಕ ನಿಯಮಗಳು;
- ಭದ್ರತಾ ಕ್ರಮಗಳು ವ್ಯವಸ್ಥೆಗಳ ಸಂಪೂರ್ಣ ಜೀವನ ಚಕ್ರವನ್ನು ಒಳಗೊಂಡಿರಬೇಕು; ವ್ಯವಸ್ಥೆಗಳ ಅಭಿವೃದ್ಧಿ, ಪರೀಕ್ಷೆ, ಸ್ವೀಕಾರ, ಕಾರ್ಯಾಚರಣೆಯ ಬಳಕೆ, ನಿರ್ವಹಣೆ ಮತ್ತು ಕಾರ್ಯಾಚರಣೆಯ ಪರಿಸರದಿಂದ ತೆಗೆದುಹಾಕುವಿಕೆಗೆ ಸುರಕ್ಷತಾ ಮಾರ್ಗಸೂಚಿಗಳು ಇರಬೇಕು;
- ಕಾರ್ಯಾಚರಣೆಯ (ಕೆಲಸದ) ಪರಿಸರದಿಂದ ಅಭಿವೃದ್ಧಿ ಮತ್ತು ಪರೀಕ್ಷಾ ಪರಿಸರದ ಪ್ರತ್ಯೇಕತೆ;
- ಘಟನೆ ನಿರ್ವಹಣೆ ಪ್ರಕ್ರಿಯೆಗಳು (ಘಟನೆ ನಿರ್ವಹಣಾ ಪ್ರಕ್ರಿಯೆಯಿಂದ ಕೈಗೊಳ್ಳಲಾಗುತ್ತದೆ);
- ಚೇತರಿಕೆ ಉಪಕರಣಗಳ ಬಳಕೆ;
- ಬದಲಾವಣೆ ನಿರ್ವಹಣೆ ಪ್ರಕ್ರಿಯೆಗೆ ಇನ್ಪುಟ್ ಒದಗಿಸುವುದು;
- ವೈರಸ್ ರಕ್ಷಣೆ ಕ್ರಮಗಳ ಅನುಷ್ಠಾನ;
- ಕಂಪ್ಯೂಟರ್ಗಳು, ಅಪ್ಲಿಕೇಶನ್ಗಳು, ನೆಟ್ವರ್ಕ್ಗಳು ಮತ್ತು ನೆಟ್ವರ್ಕ್ ಸೇವೆಗಳಿಗೆ ನಿರ್ವಹಣಾ ವಿಧಾನಗಳ ಅನುಷ್ಠಾನ;
- ಡೇಟಾ ಮಾಧ್ಯಮದ ಸರಿಯಾದ ನಿರ್ವಹಣೆ ಮತ್ತು ರಕ್ಷಣೆ.
ಪ್ರವೇಶ ನಿಯಂತ್ರಣ:
- ಪ್ರವೇಶ ನೀತಿ ಮತ್ತು ಪ್ರವೇಶ ನಿಯಂತ್ರಣದ ಅನುಷ್ಠಾನ;
- ನೆಟ್ವರ್ಕ್ಗಳು, ನೆಟ್ವರ್ಕ್ ಸೇವೆಗಳು, ಕಂಪ್ಯೂಟರ್ಗಳು ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ಗಳಿಗೆ ಬಳಕೆದಾರ ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ ಪ್ರವೇಶ ಸವಲತ್ತುಗಳಿಗೆ ಬೆಂಬಲ;
- ನೆಟ್ವರ್ಕ್ ರಕ್ಷಣೆ ಅಡೆತಡೆಗಳಿಗೆ ಬೆಂಬಲ (ಫೈರ್ವಾಲ್, ಡಯಲ್-ಅಪ್ ಸೇವೆಗಳು, ಸೇತುವೆಗಳು ಮತ್ತು ಮಾರ್ಗನಿರ್ದೇಶಕಗಳು);
- ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ಕಂಪ್ಯೂಟರ್ ಸಿಸ್ಟಮ್ಗಳು, ಕಾರ್ಯಸ್ಥಳಗಳು ಮತ್ತು PC ಗಳನ್ನು ಗುರುತಿಸುವ ಮತ್ತು ಅಧಿಕೃತಗೊಳಿಸುವ ವಿಧಾನಗಳ ಅನುಷ್ಠಾನ
ಗ್ರೇಡ್
ಯೋಜಿತ ಚಟುವಟಿಕೆಗಳ ಅನುಷ್ಠಾನದ ಸ್ವತಂತ್ರ ಮೌಲ್ಯಮಾಪನ ಅತ್ಯಗತ್ಯ. ಈ ಮೌಲ್ಯಮಾಪನವು ಪರಿಣಾಮಕಾರಿತ್ವವನ್ನು ನಿರ್ಧರಿಸಲು ಅವಶ್ಯಕವಾಗಿದೆ ಮತ್ತು ಗ್ರಾಹಕರು ಮತ್ತು ಮೂರನೇ ವ್ಯಕ್ತಿಗಳಿಗೆ ಸಹ ಅಗತ್ಯವಿರುತ್ತದೆ. ಮೌಲ್ಯಮಾಪನ ಉಪ-ಪ್ರಕ್ರಿಯೆಯ ಫಲಿತಾಂಶಗಳನ್ನು ಗ್ರಾಹಕರೊಂದಿಗೆ ಒಪ್ಪಿದ ಕ್ರಮಗಳನ್ನು ಸರಿಹೊಂದಿಸಲು ಮತ್ತು ಅವುಗಳ ಅನುಷ್ಠಾನಕ್ಕೆ ಬಳಸಬಹುದು. ಮೌಲ್ಯಮಾಪನದ ಫಲಿತಾಂಶಗಳ ಆಧಾರದ ಮೇಲೆ, ಬದಲಾವಣೆಗಳನ್ನು ಪ್ರಸ್ತಾಪಿಸಬಹುದು, ಈ ಸಂದರ್ಭದಲ್ಲಿ ಬದಲಾವಣೆಗಾಗಿ ವಿನಂತಿಯನ್ನು (RFC) ರೂಪಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಬದಲಾವಣೆ ನಿರ್ವಹಣೆ ಪ್ರಕ್ರಿಯೆಗೆ ಕಳುಹಿಸಲಾಗುತ್ತದೆ.
ಮೌಲ್ಯಮಾಪನದಲ್ಲಿ ಮೂರು ವಿಧಗಳಿವೆ:
- ಸ್ವಯಂ ಮೌಲ್ಯಮಾಪನ: ಪ್ರಾಥಮಿಕವಾಗಿ ಸಂಸ್ಥೆಯ ರೇಖೀಯ ವಿಭಾಗಗಳಿಂದ ನಡೆಸಲಾಗುತ್ತದೆ;
- ಆಂತರಿಕ ಲೆಕ್ಕಪರಿಶೋಧನೆ: ಆಂತರಿಕ ಐಟಿ ಲೆಕ್ಕಪರಿಶೋಧಕರು ನಡೆಸುತ್ತಾರೆ;
- ಬಾಹ್ಯ ಆಡಿಟ್: ಬಾಹ್ಯ ಐಟಿ ಲೆಕ್ಕ ಪರಿಶೋಧಕರು ನಡೆಸುತ್ತಾರೆ.
ಸ್ವಯಂ-ಮೌಲ್ಯಮಾಪನದಂತೆ, ಇತರ ಉಪ-ಪ್ರಕ್ರಿಯೆಗಳಲ್ಲಿ ಒಳಗೊಂಡಿರುವ ಅದೇ ಸಿಬ್ಬಂದಿಯಿಂದ ಆಡಿಟ್ ಅನ್ನು ಕೈಗೊಳ್ಳಲಾಗುವುದಿಲ್ಲ. ಜವಾಬ್ದಾರಿಗಳ ಪ್ರತ್ಯೇಕತೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಇದು ಅವಶ್ಯಕವಾಗಿದೆ. ಆಂತರಿಕ ಲೆಕ್ಕಪರಿಶೋಧನಾ ಇಲಾಖೆಯಿಂದ ಲೆಕ್ಕಪರಿಶೋಧನೆಯನ್ನು ಕೈಗೊಳ್ಳಬಹುದು.
ಘಟನೆಗಳಿಗೆ ಪ್ರತಿಕ್ರಿಯೆಯಾಗಿ ಮೌಲ್ಯಮಾಪನವನ್ನು ಸಹ ನಡೆಸಲಾಗುತ್ತದೆ.
ಮುಖ್ಯ ಚಟುವಟಿಕೆಗಳೆಂದರೆ:
- ಭದ್ರತಾ ನೀತಿಯ ಅನುಸರಣೆಯನ್ನು ಪರಿಶೀಲಿಸುವುದು ಮತ್ತು ಭದ್ರತಾ ಯೋಜನೆಗಳನ್ನು ಅನುಷ್ಠಾನಗೊಳಿಸುವುದು;
- ಐಟಿ ವ್ಯವಸ್ಥೆಗಳ ಭದ್ರತಾ ಲೆಕ್ಕಪರಿಶೋಧನೆ ನಡೆಸುವುದು;
- ಐಟಿ ಸಂಪನ್ಮೂಲಗಳ ಅನುಚಿತ ಬಳಕೆಯನ್ನು ಗುರುತಿಸುವುದು ಮತ್ತು ಕ್ರಮ ತೆಗೆದುಕೊಳ್ಳುವುದು;
- ಇತರ ರೀತಿಯ ಐಟಿ ಆಡಿಟ್ನಲ್ಲಿ ಭದ್ರತಾ ಅಂಶಗಳನ್ನು ಪರಿಶೀಲಿಸುವುದು.
ಬೆಂಬಲ
ಐಟಿ ಮೂಲಸೌಕರ್ಯದಲ್ಲಿನ ಬದಲಾವಣೆಗಳಿಂದಾಗಿ ಬದಲಾಗುತ್ತಿರುವ ಅಪಾಯಗಳಿಂದಾಗಿ, ಕಂಪನಿಯಲ್ಲಿ ಮತ್ತು ವ್ಯವಹಾರ ಪ್ರಕ್ರಿಯೆಗಳಲ್ಲಿ, ಭದ್ರತಾ ಕ್ರಮಗಳಿಗೆ ಸರಿಯಾದ ಬೆಂಬಲವನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳುವುದು ಅವಶ್ಯಕ. ಭದ್ರತಾ ನಿಯಂತ್ರಣಗಳ ಬೆಂಬಲವು SLA ಗಳ ಸಂಬಂಧಿತ ಭದ್ರತಾ ವಿಭಾಗಗಳಿಗೆ ಬೆಂಬಲವನ್ನು ಮತ್ತು ವಿವರವಾದ ಭದ್ರತಾ ಯೋಜನೆಗಳಿಗೆ ಬೆಂಬಲವನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ (ಕಾರ್ಯಾಚರಣೆಯ ಸೇವಾ ಮಟ್ಟದ ಒಪ್ಪಂದದ ಮಟ್ಟದಲ್ಲಿ).
ಭದ್ರತಾ ವ್ಯವಸ್ಥೆಯ ಪರಿಣಾಮಕಾರಿ ಕಾರ್ಯನಿರ್ವಹಣೆಯನ್ನು ನಿರ್ವಹಿಸುವುದು ಮೌಲ್ಯಮಾಪನ ಮತ್ತು ಅಪಾಯದ ಬದಲಾವಣೆಗಳ ವಿಶ್ಲೇಷಣೆಯ ಉಪ-ಪ್ರಕ್ರಿಯೆಯ ಫಲಿತಾಂಶಗಳ ಆಧಾರದ ಮೇಲೆ ಕೈಗೊಳ್ಳಲಾಗುತ್ತದೆ. ಯೋಜನೆ ಉಪ-ಪ್ರಕ್ರಿಯೆಯ ಭಾಗವಾಗಿ ಅಥವಾ ಸಂಪೂರ್ಣ SLA ಅನ್ನು ನಿರ್ವಹಿಸುವ ಭಾಗವಾಗಿ ಸಲಹೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದು. ಯಾವುದೇ ಸಂದರ್ಭದಲ್ಲಿ, ಮಾಡಿದ ಸಲಹೆಗಳು ವಾರ್ಷಿಕ ಭದ್ರತಾ ಯೋಜನೆಯಲ್ಲಿ ಹೆಚ್ಚುವರಿ ಉಪಕ್ರಮಗಳನ್ನು ಸೇರಿಸಲು ಕಾರಣವಾಗಬಹುದು. ಯಾವುದೇ ಬದಲಾವಣೆಗಳು ಸಾಮಾನ್ಯ ಬದಲಾವಣೆ ನಿರ್ವಹಣೆ ಪ್ರಕ್ರಿಯೆಗೆ ಒಳಪಟ್ಟಿರುತ್ತವೆ.
ಬೆಂಬಲದ ಉದ್ದೇಶಗಳು ಭದ್ರತಾ ವ್ಯವಸ್ಥೆಯನ್ನು ಸುಧಾರಿಸುವುದು, ಉದಾಹರಣೆಗೆ
ಸೇವಾ ಮಟ್ಟದ ಒಪ್ಪಂದಗಳು ಮತ್ತು ಕಾರ್ಯಾಚರಣೆಯ ಮಟ್ಟದ ಒಪ್ಪಂದಗಳಲ್ಲಿ ನಿರ್ದಿಷ್ಟಪಡಿಸಲಾಗಿದೆ, ಮತ್ತು
ಭದ್ರತೆ ಮತ್ತು ನಿಯಂತ್ರಣ ಕ್ರಮಗಳ ಅನುಷ್ಠಾನವನ್ನು ಸುಧಾರಿಸುವುದು.
ಪ್ಲಾನ್-ಡು-ಚೆಕ್-ಆಕ್ಟ್ ಸೈಕಲ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ನಿರ್ವಹಣೆಯನ್ನು ಸಾಧಿಸಬೇಕು, ಅಂದರೆ
ಭದ್ರತಾ ನಿರ್ವಹಣಾ ಮಾಹಿತಿ ವ್ಯವಸ್ಥೆಯನ್ನು ಸ್ಥಾಪಿಸಲು ISO 27001 ಪ್ರಸ್ತಾಪಿಸಿದ ಔಪಚಾರಿಕ ವಿಧಾನ. ಇದನ್ನು CSI ನಲ್ಲಿ ವಿವರವಾಗಿ ವಿವರಿಸಲಾಗಿದೆ.
ಪ್ರಕ್ರಿಯೆಯನ್ನು ಸರಿಯಾಗಿ ಕಾರ್ಯಗತಗೊಳಿಸಿದಾಗ, ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣೆಯು ಆರು ಪ್ರಮುಖ ಫಲಿತಾಂಶಗಳನ್ನು ಹೊಂದಿರಬೇಕು. ಫಲಿತಾಂಶಗಳ ಸಂಪೂರ್ಣ ಪಟ್ಟಿ ಮತ್ತು ಸಂಬಂಧಿತ ಡೇಟಾ ಕೆಳಗೆ ಇದೆ.
ಕಾರ್ಯತಂತ್ರದ ಜೋಡಣೆ:
o ಭದ್ರತಾ ಅವಶ್ಯಕತೆಗಳನ್ನು ಕಾರ್ಪೊರೇಟ್ ಅವಶ್ಯಕತೆಗಳಿಂದ ನಿರ್ಧರಿಸಬೇಕು
o ಭದ್ರತಾ ಪರಿಹಾರಗಳು ಎಂಟರ್ಪ್ರೈಸ್ ಪ್ರಕ್ರಿಯೆಗಳೊಂದಿಗೆ ಸ್ಥಿರವಾಗಿರಬೇಕು
o ಮಾಹಿತಿ ಭದ್ರತಾ ಹೂಡಿಕೆಗಳನ್ನು ಎಂಟರ್ಪ್ರೈಸ್ ತಂತ್ರ ಮತ್ತು ಒಪ್ಪಿದ ಅಪಾಯಗಳೊಂದಿಗೆ ಜೋಡಿಸಬೇಕು
ವಿತರಣಾ ಮೌಲ್ಯ:
o ಭದ್ರತಾ ವಿಧಾನಗಳ ಪ್ರಮಾಣಿತ ಸೆಟ್, ಅಂದರೆ, ನಿಯಮಗಳ ಅನುಸರಣೆಗಾಗಿ ಬೇಸ್ಲೈನ್ ಸುರಕ್ಷತಾ ಅವಶ್ಯಕತೆಗಳು
o ಹೆಚ್ಚಿನ ಪ್ರಭಾವ ಮತ್ತು ವ್ಯಾಪಾರ ಪ್ರಯೋಜನಗಳ ಕ್ಷೇತ್ರಗಳಿಗೆ ಸರಿಯಾಗಿ ಹಂಚಿಕೆಯಾದ ಆದ್ಯತೆಗಳು ಮತ್ತು ಪ್ರಯತ್ನಗಳು
o ಸಾಂಸ್ಥಿಕ ಮತ್ತು ಸಾಮೂಹಿಕ ಪರಿಹಾರಗಳು
ಸಂಘಟನೆ, ಪ್ರಕ್ರಿಯೆ ಮತ್ತು ತಂತ್ರಜ್ಞಾನವನ್ನು ವ್ಯಾಪಿಸಿರುವ ಸಮಗ್ರ ಪರಿಹಾರಗಳು o ನಿರಂತರ ಸುಧಾರಣೆಯ ಸಂಸ್ಕೃತಿ
ಅಪಾಯ ನಿರ್ವಹಣೆ:
ಒ ಸ್ಥಿರ ಅಪಾಯದ ಪ್ರೊಫೈಲ್
o ಅಪಾಯದ ಮಾನ್ಯತೆಯನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದು
o ಅಪಾಯ ನಿರ್ವಹಣೆಯ ಆದ್ಯತೆಗಳ ಅರಿವು
o ಅಪಾಯ ಕಡಿತ
o ಸ್ವೀಕಾರ/ಗೌರವದ ಅಪಾಯ
ಕಾರ್ಯಕ್ಷಮತೆ ನಿರ್ವಹಣೆ:
o ಮೆಟ್ರಿಕ್ಗಳ ಒಂದು ಸೆಟ್ ಅನ್ನು ವ್ಯಾಖ್ಯಾನಿಸಲಾಗಿದೆ ಮತ್ತು ಒಪ್ಪಿಕೊಳ್ಳಲಾಗಿದೆ
ಕೊರತೆಗಳನ್ನು ಗುರುತಿಸಲು ಮತ್ತು ಸಮಸ್ಯೆಗಳ ಪ್ರಗತಿಯ ಕುರಿತು ಪ್ರತಿಕ್ರಿಯೆ ನೀಡಲು ಸಹಾಯ ಮಾಡಲು ಮಾಪನ ಪ್ರಕ್ರಿಯೆಯನ್ನು ವ್ಯಾಖ್ಯಾನಿಸಲಾಗಿದೆ.
o ಸ್ವತಂತ್ರ ನಿಬಂಧನೆ
ಸಂಪನ್ಮೂಲ ನಿರ್ವಹಣೆ:
ಒ ಜ್ಞಾನವನ್ನು ಸಂಗ್ರಹಿಸಲಾಗಿದೆ ಮತ್ತು ಪ್ರವೇಶಿಸಬಹುದು
o ದಾಖಲಿತ ಭದ್ರತಾ ಪ್ರಕ್ರಿಯೆಗಳು ಮತ್ತು ಅಭ್ಯಾಸಗಳು
ಮೂಲಸೌಕರ್ಯ ಸಂಪನ್ಮೂಲಗಳ ಸಮರ್ಥ ಬಳಕೆಗಾಗಿ ಭದ್ರತಾ ವಾಸ್ತುಶಿಲ್ಪವನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾಗಿದೆ
- ವ್ಯಾಪಾರ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಖಚಿತಪಡಿಸುವುದು.
ಮಾಹಿತಿಯು ಸಂಸ್ಥೆಗೆ ಹೆಚ್ಚಿನ ಮೌಲ್ಯವನ್ನು ಒದಗಿಸುವ ಪ್ರಮುಖ ವ್ಯಾಪಾರ ಸಂಪನ್ಮೂಲಗಳಲ್ಲಿ ಒಂದಾಗಿದೆ ಮತ್ತು ಅದರ ಪರಿಣಾಮವಾಗಿ, ರಕ್ಷಿಸಬೇಕಾಗಿದೆ. ಮಾಹಿತಿ ಭದ್ರತೆಯಲ್ಲಿನ ದೌರ್ಬಲ್ಯಗಳು ಹಣಕಾಸಿನ ನಷ್ಟಗಳಿಗೆ ಕಾರಣವಾಗಬಹುದು ಮತ್ತು ವ್ಯಾಪಾರ ಕಾರ್ಯಾಚರಣೆಗಳನ್ನು ಹಾನಿಗೊಳಿಸಬಹುದು. ಆದ್ದರಿಂದ, ನಮ್ಮ ಸಮಯದಲ್ಲಿ, ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಯನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸುವ ವಿಷಯ ಮತ್ತು ಸಂಸ್ಥೆಯಲ್ಲಿ ಅದರ ಅನುಷ್ಠಾನವು ಪರಿಕಲ್ಪನೆಯಾಗಿದೆ.
ISO 27001 ಮಾನದಂಡವು ಮಾಹಿತಿ ಭದ್ರತೆಯನ್ನು ಹೀಗೆ ವ್ಯಾಖ್ಯಾನಿಸುತ್ತದೆ: “ಮಾಹಿತಿಗಳ ಗೌಪ್ಯತೆ, ಸಮಗ್ರತೆ ಮತ್ತು ಲಭ್ಯತೆಯನ್ನು ಕಾಪಾಡುವುದು; ಹೆಚ್ಚುವರಿಯಾಗಿ, ದೃಢೀಕರಣ, ನಿರಾಕರಣೆ ಮತ್ತು ವಿಶ್ವಾಸಾರ್ಹತೆಯಂತಹ ಇತರ ಗುಣಲಕ್ಷಣಗಳನ್ನು ಸೇರಿಸಿಕೊಳ್ಳಬಹುದು.
ಗೌಪ್ಯತೆ - ಸರಿಯಾದ ಅಧಿಕಾರವನ್ನು ಹೊಂದಿರುವವರಿಗೆ (ಅಧಿಕೃತ ಬಳಕೆದಾರರು) ಮಾತ್ರ ಮಾಹಿತಿಯನ್ನು ಪ್ರವೇಶಿಸಬಹುದು ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳುವುದು;
ಸಮಗ್ರತೆ - ಮಾಹಿತಿಯ ನಿಖರತೆ ಮತ್ತು ಸಂಪೂರ್ಣತೆಯನ್ನು ಖಾತ್ರಿಪಡಿಸುವುದು, ಹಾಗೆಯೇ ಅದನ್ನು ಸಂಸ್ಕರಿಸುವ ವಿಧಾನಗಳು;
ಲಭ್ಯತೆ - ಅಗತ್ಯವಿದ್ದಾಗ ಅಧಿಕೃತ ಬಳಕೆದಾರರಿಗೆ ಮಾಹಿತಿಯ ಪ್ರವೇಶವನ್ನು ಖಾತ್ರಿಪಡಿಸುವುದು (ಬೇಡಿಕೆಯ ಮೇಲೆ).
| ಪ್ರಶ್ನೆಗಳಿಗೆ: klubok@site |
ನೌಕರರ ಜಾಗೃತಿಯನ್ನು ಉತ್ತೇಜಿಸಿ
ಈ ತತ್ವಗಳ ಪರಿಣಾಮಕಾರಿ ಅನುಷ್ಠಾನದಲ್ಲಿ ಅತ್ಯಗತ್ಯ ಅಂಶವೆಂದರೆ ಚಟುವಟಿಕೆಯ ಸಂವಹನ ಚಕ್ರ, ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣೆಯು ಪ್ರಸ್ತುತ ಅಪಾಯಗಳ ಮೇಲೆ ನಿರಂತರವಾಗಿ ಕೇಂದ್ರೀಕೃತವಾಗಿದೆ ಎಂದು ಖಚಿತಪಡಿಸುತ್ತದೆ. ಮಾಹಿತಿ ವ್ಯವಸ್ಥೆಗಳ ಸುರಕ್ಷತೆಗೆ ಸಂಬಂಧಿಸಿದ ವ್ಯವಹಾರ ಪ್ರಕ್ರಿಯೆಗಳ ಅಡ್ಡಿಪಡಿಸುವ ಅಪಾಯಗಳ ಅಸ್ತಿತ್ವವನ್ನು ಸಂಸ್ಥೆಯ ಉನ್ನತ ನಿರ್ವಹಣೆ ಗುರುತಿಸುವುದು ಮುಖ್ಯವಾಗಿದೆ. ನೀತಿಗಳನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಲು ಮತ್ತು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಮತ್ತು ಅಗತ್ಯ ನಿಯಂತ್ರಣಗಳನ್ನು ಆಯ್ಕೆಮಾಡುವ ಆಧಾರವು ವೈಯಕ್ತಿಕ ವ್ಯಾಪಾರ ಅಪ್ಲಿಕೇಶನ್ಗಳ ಅಪಾಯಗಳ ಮೌಲ್ಯಮಾಪನವಾಗಿದೆ. ತೆಗೆದುಕೊಂಡ ಕ್ರಮಗಳು ಅಪಾಯಗಳು ಮತ್ತು ಸಂಬಂಧಿತ ನೀತಿಗಳ ಬಗ್ಗೆ ಬಳಕೆದಾರರ ಅರಿವನ್ನು ಹೆಚ್ಚಿಸುತ್ತವೆ. ನಿಯಂತ್ರಣಗಳ ಪರಿಣಾಮಕಾರಿತ್ವವು ವಿವಿಧ ಅಧ್ಯಯನಗಳು ಮತ್ತು ಲೆಕ್ಕಪರಿಶೋಧನೆಗಳ ಮೂಲಕ ಮೌಲ್ಯಮಾಪನಕ್ಕೆ ಒಳಪಟ್ಟಿರುತ್ತದೆ. ಫಲಿತಾಂಶಗಳು ನಂತರದ ಅಪಾಯದ ಮೌಲ್ಯಮಾಪನಗಳಿಗೆ ಒಂದು ವಿಧಾನವನ್ನು ಒದಗಿಸುತ್ತದೆ ಮತ್ತು ನೀತಿಗಳು ಮತ್ತು ನಿಯಂತ್ರಣಗಳಿಗೆ ಅಗತ್ಯ ಬದಲಾವಣೆಗಳನ್ನು ಗುರುತಿಸುತ್ತದೆ. ಈ ಎಲ್ಲಾ ಕ್ರಮಗಳನ್ನು ಭದ್ರತಾ ಸೇವೆ ಅಥವಾ ಸಲಹೆಗಾರರು, ವ್ಯಾಪಾರ ಘಟಕಗಳ ಪ್ರತಿನಿಧಿಗಳು ಮತ್ತು ಸಂಸ್ಥೆಯ ನಿರ್ವಹಣೆಯನ್ನು ಒಳಗೊಂಡಿರುವ ತಜ್ಞರ ಸಿಬ್ಬಂದಿಯಿಂದ ಕೇಂದ್ರೀಯವಾಗಿ ಸಂಯೋಜಿಸಲಾಗಿದೆ. ಅಪಾಯ ನಿರ್ವಹಣೆ ಚಕ್ರವನ್ನು ಚಿತ್ರದಲ್ಲಿ ವಿವರಿಸಲಾಗಿದೆ.
ಮಾಹಿತಿ ಭದ್ರತಾ ಕಾರ್ಯಕ್ರಮವನ್ನು ಅನುಷ್ಠಾನಗೊಳಿಸುವ ವಿಧಾನಗಳು
ಅಪಾಯ ನಿರ್ವಹಣೆಯ ಐದು ತತ್ವಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಕೆಳಗಿನ ಹದಿನಾರು ವಿಧಾನಗಳನ್ನು ಕೆಳಗಿನ ವಿವರಣೆಯಲ್ಲಿ ಹೈಲೈಟ್ ಮಾಡಲಾಗಿದೆ. ಸಂಸ್ಥೆಯ ಮಾಹಿತಿ ಭದ್ರತಾ ಕಾರ್ಯಕ್ರಮವನ್ನು ಪರಿಣಾಮಕಾರಿಯಾಗಿ ಕಾರ್ಯಗತಗೊಳಿಸಲು ಈ ತಂತ್ರಗಳು ಪ್ರಮುಖವಾಗಿವೆ.
ಅಪಾಯವನ್ನು ನಿರ್ಣಯಿಸಿ ಮತ್ತು ಅಗತ್ಯಗಳನ್ನು ಗುರುತಿಸಿ
ಮಾಹಿತಿ ಭದ್ರತಾ ಕಾರ್ಯಕ್ರಮವನ್ನು ಅನುಷ್ಠಾನಗೊಳಿಸುವಲ್ಲಿ ಅಪಾಯದ ಮೌಲ್ಯಮಾಪನವು ಮೊದಲ ಹಂತವಾಗಿದೆ. ಭದ್ರತೆಯನ್ನು ಸ್ವತಃ ನೋಡಲಾಗುವುದಿಲ್ಲ, ಆದರೆ ವ್ಯಾಪಾರ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಬೆಂಬಲಿಸಲು ಮತ್ತು ಸಂಬಂಧಿತ ಅಪಾಯಗಳನ್ನು ಕಡಿಮೆ ಮಾಡಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾದ ನೀತಿಗಳು ಮತ್ತು ಸಂಬಂಧಿತ ನಿಯಂತ್ರಣಗಳ ಒಂದು ಸೆಟ್. ಹೀಗಾಗಿ, ಮಾಹಿತಿ ಭದ್ರತೆಗೆ ಸಂಬಂಧಿಸಿದ ವ್ಯಾಪಾರ ಅಪಾಯಗಳನ್ನು ಗುರುತಿಸುವುದು ಅಪಾಯದ (ಮಾಹಿತಿ ಭದ್ರತೆ) ನಿರ್ವಹಣಾ ಚಕ್ರದ ಆರಂಭಿಕ ಹಂತವಾಗಿದೆ.
ಮಾಹಿತಿ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಸಂಸ್ಥೆಯ ಗಮನಾರ್ಹ (ಅವಿಭಾಜ್ಯ) ಸ್ವತ್ತುಗಳಾಗಿ ಗುರುತಿಸಿ
ಸಂಸ್ಥೆಯ ನಿರ್ವಹಣೆಯಿಂದ ಮಾಹಿತಿ ಸುರಕ್ಷತೆಯ ಅಪಾಯಗಳನ್ನು ಗುರುತಿಸುವುದು, ಹಾಗೆಯೇ ಈ ಅಪಾಯಗಳನ್ನು ಗುರುತಿಸುವ ಮತ್ತು ನಿರ್ವಹಿಸುವ ಗುರಿಯನ್ನು ಹೊಂದಿರುವ ಕ್ರಮಗಳ ಒಂದು ಸೆಟ್ ಮಾಹಿತಿ ಭದ್ರತಾ ಕಾರ್ಯಕ್ರಮದ ಅಭಿವೃದ್ಧಿಯಲ್ಲಿ ಪ್ರಮುಖ ಅಂಶವಾಗಿದೆ. ಈ ನಿರ್ವಹಣಾ ವಿಧಾನವು ಸಂಸ್ಥೆಯ ಕೆಳಮಟ್ಟದ ಸಾಂಸ್ಥಿಕ ಹಂತಗಳಲ್ಲಿ ಮಾಹಿತಿ ಸುರಕ್ಷತೆಯನ್ನು ಗಂಭೀರವಾಗಿ ಪರಿಗಣಿಸುತ್ತದೆ ಮತ್ತು ಮಾಹಿತಿ ಭದ್ರತಾ ವೃತ್ತಿಪರರಿಗೆ ಕಾರ್ಯಕ್ರಮವನ್ನು ಪರಿಣಾಮಕಾರಿಯಾಗಿ ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅಗತ್ಯವಾದ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಒದಗಿಸಲಾಗಿದೆ ಎಂದು ಖಚಿತಪಡಿಸುತ್ತದೆ.
ಭದ್ರತೆ ಮತ್ತು ವ್ಯಾಪಾರದ ಅವಶ್ಯಕತೆಗಳನ್ನು ಜೋಡಿಸುವ ಪ್ರಾಯೋಗಿಕ ಅಪಾಯದ ಮೌಲ್ಯಮಾಪನ ಕಾರ್ಯವಿಧಾನಗಳನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಿ
ಅಪಾಯದ ಅನೌಪಚಾರಿಕ ಚರ್ಚೆಯಿಂದ ಹಿಡಿದು ವಿಶೇಷ ಸಾಫ್ಟ್ವೇರ್ ಪರಿಕರಗಳ ಬಳಕೆಯನ್ನು ಒಳಗೊಂಡ ಸಂಕೀರ್ಣ ವಿಧಾನಗಳವರೆಗೆ ವಿವಿಧ ಅಪಾಯ ಮೌಲ್ಯಮಾಪನ ವಿಧಾನಗಳಿವೆ. ಆದಾಗ್ಯೂ, ಯಶಸ್ವಿ ಅಪಾಯ ನಿರ್ವಹಣಾ ಕಾರ್ಯವಿಧಾನಗಳ ಜಾಗತಿಕ ಅನುಭವವು ತುಲನಾತ್ಮಕವಾಗಿ ಸರಳವಾದ ಪ್ರಕ್ರಿಯೆಯನ್ನು ವಿವರಿಸುತ್ತದೆ, ಇದು ವ್ಯಾಪಾರ ಪ್ರಕ್ರಿಯೆಗಳ ಜ್ಞಾನವನ್ನು ಹೊಂದಿರುವ ತಜ್ಞರು, ತಾಂತ್ರಿಕ ತಜ್ಞರು ಮತ್ತು ಮಾಹಿತಿ ಭದ್ರತಾ ಕ್ಷೇತ್ರದಲ್ಲಿ ತಜ್ಞರ ಪಾಲ್ಗೊಳ್ಳುವಿಕೆಯೊಂದಿಗೆ ಹಣಕಾಸು ಸಂಸ್ಥೆಗಳ ವಿವಿಧ ವಿಭಾಗಗಳ ಭಾಗವಹಿಸುವಿಕೆಯನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ.
ಅಪಾಯಗಳನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದು ಘಟನೆಯ ಸಂಭವನೀಯತೆ ಅಥವಾ ಹಾನಿಯ ವೆಚ್ಚವನ್ನು ಒಳಗೊಂಡಂತೆ ಅವುಗಳನ್ನು ನಿಖರವಾಗಿ ಪ್ರಮಾಣೀಕರಿಸುವುದನ್ನು ಒಳಗೊಂಡಿರುವುದಿಲ್ಲ ಎಂದು ಒತ್ತಿಹೇಳುವುದು ಯೋಗ್ಯವಾಗಿದೆ. ಅಂತಹ ಡೇಟಾ ಲಭ್ಯವಿಲ್ಲ ಏಕೆಂದರೆ ನಷ್ಟಗಳನ್ನು ಕಂಡುಹಿಡಿಯಲಾಗುವುದಿಲ್ಲ ಮತ್ತು ನಿರ್ವಹಣೆಗೆ ಸೂಚಿಸದಿರಬಹುದು. ಹೆಚ್ಚುವರಿಯಾಗಿ, ದುರ್ಬಲ ಭದ್ರತಾ ನಿಯಂತ್ರಣಗಳಿಂದ ಉಂಟಾದ ಹಾನಿಯನ್ನು ಸರಿಪಡಿಸುವ ಸಂಪೂರ್ಣ ವೆಚ್ಚಗಳು ಮತ್ತು ಈ ನಿಯಂತ್ರಣಗಳ ನಿರ್ವಹಣಾ ವೆಚ್ಚಗಳ ಡೇಟಾ ಸೀಮಿತವಾಗಿದೆ. ತಂತ್ರಜ್ಞಾನದಲ್ಲಿನ ನಿರಂತರ ಬದಲಾವಣೆಗಳು ಮತ್ತು ಆಕ್ರಮಣಕಾರರಿಗೆ ಲಭ್ಯವಿರುವ ಸಾಫ್ಟ್ವೇರ್ ಮತ್ತು ಪರಿಕರಗಳ ಕಾರಣ, ಹಿಂದಿನ ವರ್ಷಗಳಲ್ಲಿ ಸಂಗ್ರಹಿಸಿದ ಅಂಕಿಅಂಶಗಳ ಬಳಕೆಯನ್ನು ಪ್ರಶ್ನಾರ್ಹವಾಗಿದೆ. ಪರಿಣಾಮವಾಗಿ, ಯಾವ ನಿಯಂತ್ರಣವು ಹೆಚ್ಚು ವೆಚ್ಚ-ಪರಿಣಾಮಕಾರಿಯಾಗಿದೆ ಎಂಬುದನ್ನು ನಿರ್ಧರಿಸಲು ನಷ್ಟದ ಅಪಾಯದೊಂದಿಗೆ ನಿಯಂತ್ರಣಗಳ ವೆಚ್ಚವನ್ನು ನಿಖರವಾಗಿ ಹೋಲಿಸುವುದು ಕಷ್ಟ, ಆದರೆ ಅಸಾಧ್ಯವಲ್ಲ. ಯಾವುದೇ ಸಂದರ್ಭದಲ್ಲಿ, ವ್ಯಾಪಾರ ಘಟಕ ವ್ಯವಸ್ಥಾಪಕರು ಮತ್ತು ಮಾಹಿತಿ ಭದ್ರತಾ ವೃತ್ತಿಪರರು ಸೂಕ್ತವಾದ ನಿಯಂತ್ರಣಗಳನ್ನು ನಿರ್ಧರಿಸುವಾಗ ಅವರಿಗೆ ಲಭ್ಯವಿರುವ ಉತ್ತಮ ಮಾಹಿತಿಯನ್ನು ಅವಲಂಬಿಸಬೇಕು.
ಭದ್ರತಾ ಕಾರ್ಯಕ್ರಮದಲ್ಲಿ ತೊಡಗಿರುವ ವ್ಯಾಪಾರ ಘಟಕದ ವ್ಯವಸ್ಥಾಪಕರು ಮತ್ತು ವ್ಯವಸ್ಥಾಪಕರಿಗೆ ಜವಾಬ್ದಾರಿಗಳನ್ನು ಸ್ಥಾಪಿಸಿ
ವ್ಯಾಪಾರ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಬೆಂಬಲಿಸುವ ಮಾಹಿತಿ ಸಂಪನ್ಮೂಲಗಳ ಭದ್ರತೆಯ ಮಟ್ಟವನ್ನು (ಗೌಪ್ಯತೆ) ನಿರ್ಧರಿಸಲು ವ್ಯಾಪಾರ ಘಟಕ ವ್ಯವಸ್ಥಾಪಕರು ಪ್ರಾಥಮಿಕ ಜವಾಬ್ದಾರಿಯನ್ನು ಹೊಂದಿರಬೇಕು. ಯಾವ ಮಾಹಿತಿ ಸಂಪನ್ಮೂಲವು ಹೆಚ್ಚು ನಿರ್ಣಾಯಕವಾಗಿದೆ ಎಂಬುದನ್ನು ನಿರ್ಧರಿಸಲು ಉತ್ತಮ ಸಾಮರ್ಥ್ಯ ಹೊಂದಿರುವ ವ್ಯಾಪಾರ ಘಟಕ ವ್ಯವಸ್ಥಾಪಕರು, ಹಾಗೆಯೇ ಅದರ ಸಮಗ್ರತೆ, ಗೌಪ್ಯತೆ ಅಥವಾ ಲಭ್ಯತೆ ರಾಜಿ ಮಾಡಿಕೊಂಡರೆ ವ್ಯವಹಾರದ ಮೇಲೆ ಸಂಭವನೀಯ ಪರಿಣಾಮ. ಹೆಚ್ಚುವರಿಯಾಗಿ, ವ್ಯಾಪಾರ ಘಟಕ ವ್ಯವಸ್ಥಾಪಕರು ವ್ಯಾಪಾರ ಪ್ರಕ್ರಿಯೆಗಳಿಗೆ ಹಾನಿ ಮಾಡುವ ನಿಯಂತ್ರಣಗಳನ್ನು (ಯಾಂತ್ರಿಕತೆ) ಸೂಚಿಸಬಹುದು. ಹೀಗಾಗಿ, ನಿಯಂತ್ರಣಗಳ ಆಯ್ಕೆಯಲ್ಲಿ ಅವರನ್ನು ಒಳಗೊಳ್ಳುವ ಮೂಲಕ, ನಿಯಂತ್ರಣಗಳು ಅವಶ್ಯಕತೆಗಳನ್ನು ಪೂರೈಸುತ್ತವೆ ಮತ್ತು ಯಶಸ್ವಿಯಾಗಿ ಕಾರ್ಯಗತಗೊಳ್ಳುತ್ತವೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಬಹುದು.
ಅಪಾಯಗಳನ್ನು ನಿರಂತರವಾಗಿ ನಿರ್ವಹಿಸಿ
ನಿಯಂತ್ರಣಗಳು ಸಮರ್ಪಕ ಮತ್ತು ಪರಿಣಾಮಕಾರಿ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಮಾಹಿತಿ ಭದ್ರತೆಗೆ ನಿರಂತರ ಗಮನದ ಅಗತ್ಯವಿದೆ. ಮೊದಲೇ ಗಮನಿಸಿದಂತೆ, ಆಧುನಿಕ ಮಾಹಿತಿ ಮತ್ತು ಸಂಬಂಧಿತ ತಂತ್ರಜ್ಞಾನಗಳು, ಹಾಗೆಯೇ ಮಾಹಿತಿ ಭದ್ರತೆಗೆ ಸಂಬಂಧಿಸಿದ ಅಂಶಗಳು ನಿರಂತರವಾಗಿ ಬದಲಾಗುತ್ತಿವೆ. ಅಂತಹ ಅಂಶಗಳಲ್ಲಿ ಬೆದರಿಕೆಗಳು, ತಂತ್ರಜ್ಞಾನಗಳು ಮತ್ತು ಸಿಸ್ಟಮ್ ಕಾನ್ಫಿಗರೇಶನ್ಗಳು, ತಿಳಿದಿರುವ ಸಾಫ್ಟ್ವೇರ್ ದುರ್ಬಲತೆಗಳು, ಸ್ವಯಂಚಾಲಿತ ವ್ಯವಸ್ಥೆಗಳು ಮತ್ತು ಎಲೆಕ್ಟ್ರಾನಿಕ್ ಡೇಟಾದ ವಿಶ್ವಾಸಾರ್ಹತೆಯ ಮಟ್ಟ ಮತ್ತು ಡೇಟಾ ಮತ್ತು ಕಾರ್ಯಾಚರಣೆಗಳ ವಿಮರ್ಶಾತ್ಮಕತೆ ಸೇರಿವೆ.
ಕೇಂದ್ರೀಕೃತ ನಿರ್ವಹಣೆಯನ್ನು ಹೊಂದಿಸಿ
ನಿರ್ವಹಣಾ ತಂಡವು ಪ್ರಾಥಮಿಕವಾಗಿ ವ್ಯಾಪಾರ ಘಟಕಗಳಿಗೆ ಸಲಹೆಗಾರ ಅಥವಾ ಸಲಹೆಗಾರನಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ ಮತ್ತು ಮಾಹಿತಿ ಭದ್ರತಾ ವಿಧಾನಗಳನ್ನು (ಉಪಕರಣಗಳು) ವಿಧಿಸಲು ಸಾಧ್ಯವಿಲ್ಲ.
ಪ್ರಮುಖ ಕ್ರಮಗಳಿಗಾಗಿ ನಾಯಕತ್ವ ತಂಡವನ್ನು ನಿರ್ಧರಿಸಿ
ಸಾಮಾನ್ಯವಾಗಿ, ನಾಯಕತ್ವದ ತಂಡವು (1) ಪ್ರಕ್ರಿಯೆಯ ವೇಗವರ್ಧಕ (ವೇಗವರ್ಧಕ) ಆಗಿರಬೇಕು, ಮಾಹಿತಿ ಸುರಕ್ಷತೆಯ ಅಪಾಯಗಳನ್ನು ನಿರಂತರವಾಗಿ ಪರಿಹರಿಸಲಾಗಿದೆ ಎಂದು ಖಚಿತಪಡಿಸುತ್ತದೆ; (2) ಸಾಂಸ್ಥಿಕ ಘಟಕಗಳಿಗೆ ಕೇಂದ್ರ ಸಲಹಾ ಸಂಪನ್ಮೂಲ; (3) ಮಾಹಿತಿ ಭದ್ರತೆಯ ಸ್ಥಿತಿ ಮತ್ತು ತೆಗೆದುಕೊಂಡ ಕ್ರಮಗಳ ಬಗ್ಗೆ ಸಂಸ್ಥೆಯ ನಿರ್ವಹಣಾ ಮಾಹಿತಿಯನ್ನು ಸಂವಹನ ಮಾಡುವ ಸಾಧನವಾಗಿದೆ. ಹೆಚ್ಚುವರಿಯಾಗಿ, ನಾಯಕತ್ವದ ತಂಡವು ನಿಯೋಜಿಸಲಾದ ಕಾರ್ಯಗಳ ಕೇಂದ್ರೀಕೃತ ನಿರ್ವಹಣೆಗೆ ಅವಕಾಶ ನೀಡುತ್ತದೆ, ಇಲ್ಲದಿದ್ದರೆ ಈ ಕಾರ್ಯಗಳನ್ನು ಸಂಸ್ಥೆಯ ವಿವಿಧ ಭಾಗಗಳಿಂದ ನಕಲು ಮಾಡಬಹುದು.
ಸಂಸ್ಥೆಯ ಹಿರಿಯ ನಿರ್ವಹಣೆಗೆ ಸುಲಭ ಮತ್ತು ಸ್ವತಂತ್ರ ಪ್ರವೇಶದೊಂದಿಗೆ ನಾಯಕತ್ವದ ತಂಡವನ್ನು ಒದಗಿಸಿ
ಸಂಸ್ಥೆಯ ಉನ್ನತ ನಿರ್ವಹಣೆಯೊಂದಿಗೆ ನಾಯಕತ್ವದ ಗುಂಪಿನ ವ್ಯವಸ್ಥಾಪಕರು ಮಾಹಿತಿ ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳ ಚರ್ಚೆಯ ಅಗತ್ಯವನ್ನು ನಾವು ಗಮನಿಸುತ್ತೇವೆ. ಅಂತಹ ಸಂಭಾಷಣೆಯು ನಮಗೆ ಪರಿಣಾಮಕಾರಿಯಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸಲು ಮತ್ತು ಭಿನ್ನಾಭಿಪ್ರಾಯಗಳನ್ನು ತಪ್ಪಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ. ಇಲ್ಲದಿದ್ದರೆ, ಹೊಸ ಸಾಫ್ಟ್ವೇರ್ ಉತ್ಪನ್ನಗಳ ತ್ವರಿತ ಅನುಷ್ಠಾನವನ್ನು ಬಯಸುವ ವ್ಯಾಪಾರ ಘಟಕ ವ್ಯವಸ್ಥಾಪಕರು ಮತ್ತು ಸಿಸ್ಟಮ್ ಡೆವಲಪರ್ಗಳೊಂದಿಗೆ ಸಂಘರ್ಷದ ಸಂದರ್ಭಗಳು ಸಾಧ್ಯ ಮತ್ತು ಆದ್ದರಿಂದ, ಸಾಫ್ಟ್ವೇರ್ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವ ದಕ್ಷತೆ ಮತ್ತು ಸೌಕರ್ಯಗಳಿಗೆ ಅಡ್ಡಿಯಾಗಬಹುದಾದ ನಿಯಂತ್ರಣಗಳ ಬಳಕೆಯನ್ನು ಸವಾಲು ಮಾಡಬಹುದು. ಹೀಗಾಗಿ, ಉನ್ನತ ಮಟ್ಟದಲ್ಲಿ ಮಾಹಿತಿ ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳನ್ನು ಚರ್ಚಿಸುವ ಅವಕಾಶವು ಅಪಾಯಗಳನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ಅರ್ಥಮಾಡಿಕೊಳ್ಳುತ್ತದೆ ಮತ್ತು ಅಂತಿಮ ನಿರ್ಧಾರಗಳನ್ನು ತೆಗೆದುಕೊಳ್ಳುವ ಮೊದಲು ಸಹಿಸಿಕೊಳ್ಳಬಲ್ಲದು ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಬಹುದು.
ಬಜೆಟ್ ಮತ್ತು ಸಿಬ್ಬಂದಿಯನ್ನು ನಿರ್ಧರಿಸಿ ಮತ್ತು ನಿಯೋಜಿಸಿ
ನಿಮ್ಮ ಮಾಹಿತಿ ಭದ್ರತಾ ಕಾರ್ಯಕ್ರಮಕ್ಕಾಗಿ ಗುರಿಗಳನ್ನು ಯೋಜಿಸಲು ಮತ್ತು ಹೊಂದಿಸಲು ಬಜೆಟ್ ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಕನಿಷ್ಠ, ಬಜೆಟ್ ನೌಕರರ ಸಂಬಳ ಮತ್ತು ತರಬೇತಿ ವೆಚ್ಚಗಳನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ. ನಾಯಕತ್ವ ತಂಡದ (ಭದ್ರತಾ ಘಟಕ) ಸಿಬ್ಬಂದಿ ಮಟ್ಟವು ಬದಲಾಗಬಹುದು ಮತ್ತು ನಿಗದಿತ ಗುರಿಗಳು ಮತ್ತು ಪರಿಗಣನೆಯಲ್ಲಿರುವ ಯೋಜನೆಗಳ ಮೇಲೆ ಅವಲಂಬಿತವಾಗಿರುತ್ತದೆ. ಮೊದಲೇ ಗಮನಿಸಿದಂತೆ, ತಾಂತ್ರಿಕ ತಜ್ಞರು ಮತ್ತು ವ್ಯಾಪಾರ ಘಟಕಗಳ ಉದ್ಯೋಗಿಗಳು ಗುಂಪಿನಲ್ಲಿ ಕೆಲಸದಲ್ಲಿ ತೊಡಗಿಸಿಕೊಳ್ಳಬಹುದು.
ಉದ್ಯೋಗಿಗಳ ವೃತ್ತಿಪರತೆ ಮತ್ತು ತಾಂತ್ರಿಕ ಜ್ಞಾನವನ್ನು ಹೆಚ್ಚಿಸಿ
ಸಂಸ್ಥೆಯೊಳಗಿನ ಜನರು ಮಾಹಿತಿ ಭದ್ರತಾ ಕಾರ್ಯಕ್ರಮದ ವಿವಿಧ ಅಂಶಗಳಲ್ಲಿ ತೊಡಗಿಸಿಕೊಂಡಿರಬೇಕು ಮತ್ತು ಸೂಕ್ತವಾದ ಕೌಶಲ್ಯ ಮತ್ತು ಜ್ಞಾನವನ್ನು ಹೊಂದಿರಬೇಕು. ಉದ್ಯೋಗಿಗಳ ವೃತ್ತಿಪರತೆಯ ಅಗತ್ಯ ಮಟ್ಟವನ್ನು ತರಬೇತಿಯ ಮೂಲಕ ಸಾಧಿಸಬಹುದು, ಇದನ್ನು ಸಂಸ್ಥೆಯ ತಜ್ಞರು ಮತ್ತು ಬಾಹ್ಯ ಸಲಹೆಗಾರರು ನಡೆಸಬಹುದು.
ಅಗತ್ಯ ನೀತಿಗಳು ಮತ್ತು ಸೂಕ್ತ ನಿಯಂತ್ರಣಗಳನ್ನು ಅಳವಡಿಸಿ
ಮಾಹಿತಿ ಭದ್ರತಾ ನೀತಿಗಳು ಕೆಲವು ಕಾರ್ಯವಿಧಾನಗಳ ಅಳವಡಿಕೆಗೆ ಆಧಾರವಾಗಿದೆ ಮತ್ತು ನಿಯಂತ್ರಣ (ನಿರ್ವಹಣೆ) ವಿಧಾನಗಳ (ಯಾಂತ್ರಿಕತೆ) ಆಯ್ಕೆಯಾಗಿದೆ. ಆಡಳಿತವು ತನ್ನ ಅಭಿಪ್ರಾಯಗಳನ್ನು ಮತ್ತು ಬೇಡಿಕೆಗಳನ್ನು ಉದ್ಯೋಗಿಗಳು, ಗ್ರಾಹಕರು ಮತ್ತು ವ್ಯಾಪಾರ ಪಾಲುದಾರರಿಗೆ ತಿಳಿಸುವ ಪ್ರಾಥಮಿಕ ಕಾರ್ಯವಿಧಾನವಾಗಿದೆ. ಮಾಹಿತಿ ಭದ್ರತೆಗಾಗಿ, ಆಂತರಿಕ ನಿಯಂತ್ರಣದ ಇತರ ಕ್ಷೇತ್ರಗಳಂತೆ, ನೀತಿಯ ಅವಶ್ಯಕತೆಗಳು ನೇರವಾಗಿ ಅಪಾಯದ ಮೌಲ್ಯಮಾಪನದ ಫಲಿತಾಂಶಗಳನ್ನು ಅವಲಂಬಿಸಿರುತ್ತದೆ.
ನೀತಿಗಳು ಮತ್ತು ವ್ಯಾಪಾರ ಅಪಾಯಗಳ ನಡುವಿನ ಸಂಬಂಧವನ್ನು ಸ್ಥಾಪಿಸಿ
ಬಳಕೆದಾರರಿಗೆ ಪ್ರವೇಶಿಸಬಹುದಾದ ಮತ್ತು ಅರ್ಥವಾಗುವಂತಹ ಸಾಕಷ್ಟು ನೀತಿಗಳ ಸಮಗ್ರ ಸೆಟ್ ಮಾಹಿತಿ ಭದ್ರತಾ ಕಾರ್ಯಕ್ರಮವನ್ನು ಸ್ಥಾಪಿಸುವ ಮೊದಲ ಹಂತಗಳಲ್ಲಿ ಒಂದಾಗಿದೆ. ಗುರುತಿಸಲಾದ ಅಪಾಯಗಳು ಮತ್ತು ಸಂಭವನೀಯ ಭಿನ್ನಾಭಿಪ್ರಾಯಗಳಿಗೆ ಸಕಾಲಿಕ ಪ್ರತಿಕ್ರಿಯೆಗಾಗಿ ನೀತಿಗಳ ನಿರಂತರ ಬೆಂಬಲ (ಹೊಂದಾಣಿಕೆ) ಪ್ರಾಮುಖ್ಯತೆಯನ್ನು ಒತ್ತಿಹೇಳುವುದು ಯೋಗ್ಯವಾಗಿದೆ.
ನೀತಿಗಳು ಮತ್ತು ಮಾರ್ಗಸೂಚಿಗಳ ನಡುವಿನ ವ್ಯತ್ಯಾಸ
ಮಾಹಿತಿ ಭದ್ರತಾ ನೀತಿಗಳನ್ನು ರಚಿಸುವ ಸಾಮಾನ್ಯ ವಿಧಾನವು (1) ಸಂಕ್ಷಿಪ್ತ, ಉನ್ನತ ಮಟ್ಟದ ನೀತಿಗಳು ಮತ್ತು (2) ಅಭ್ಯಾಸ ಮಾರ್ಗಸೂಚಿಗಳು ಮತ್ತು ಮಾನದಂಡಗಳಲ್ಲಿ ಒದಗಿಸಲಾದ ಹೆಚ್ಚು ವಿವರವಾದ ಮಾಹಿತಿಯನ್ನು ಒಳಗೊಂಡಿರಬೇಕು. ಹಿರಿಯ ನಿರ್ವಹಣೆಯಿಂದ ಅಂಗೀಕರಿಸಲ್ಪಟ್ಟ ಮೂಲಭೂತ ಮತ್ತು ಕಡ್ಡಾಯ ಅವಶ್ಯಕತೆಗಳನ್ನು ನೀತಿಗಳು ಒದಗಿಸುತ್ತವೆ. ಎಲ್ಲಾ ವ್ಯಾಪಾರ ಘಟಕಗಳಿಗೆ ಅಭ್ಯಾಸ ಮಾರ್ಗಸೂಚಿಗಳು ಕಡ್ಡಾಯವಾಗಿರುವುದಿಲ್ಲ. ಈ ವಿಧಾನವು ಹಿರಿಯ ನಿರ್ವಹಣೆಗೆ ಮಾಹಿತಿ ಭದ್ರತೆಯ ಪ್ರಮುಖ ಅಂಶಗಳ ಮೇಲೆ ಕೇಂದ್ರೀಕರಿಸಲು ಅನುಮತಿಸುತ್ತದೆ, ಜೊತೆಗೆ ವ್ಯಾಪಾರ ಘಟಕದ ವ್ಯವಸ್ಥಾಪಕರಿಗೆ ನಮ್ಯತೆಯನ್ನು ಒದಗಿಸುತ್ತದೆ ಮತ್ತು ನೌಕರರಿಗೆ ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ನೀತಿಗಳನ್ನು ಸುಲಭಗೊಳಿಸುತ್ತದೆ.
ನಾಯಕತ್ವದ ತಂಡವು ನೀತಿಗಳನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಿ
ವ್ಯಾಪಾರ ಘಟಕದ ವ್ಯವಸ್ಥಾಪಕರು, ಆಂತರಿಕ ಲೆಕ್ಕ ಪರಿಶೋಧಕರು ಮತ್ತು ಕಾನೂನು ಸಲಹೆಗಾರರ ಸಹಯೋಗದೊಂದಿಗೆ ಸಂಸ್ಥೆಯ ಮಾಹಿತಿ ಭದ್ರತಾ ನೀತಿಗಳನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಲು ನಿರ್ವಹಣಾ ತಂಡವು ಜವಾಬ್ದಾರರಾಗಿರಬೇಕು. ಹೆಚ್ಚುವರಿಯಾಗಿ, ಸ್ಟೀರಿಂಗ್ ಗುಂಪು ಬಳಕೆದಾರರ ಪ್ರಶ್ನೆಗಳಿಗೆ ಅಗತ್ಯವಾದ ಸ್ಪಷ್ಟೀಕರಣಗಳು ಮತ್ತು ಉತ್ತರಗಳನ್ನು ಒದಗಿಸಬೇಕು. ಇದು ತಪ್ಪು ತಿಳುವಳಿಕೆಗಳನ್ನು ಪರಿಹರಿಸಲು ಮತ್ತು ತಡೆಯಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ ಮತ್ತು ನೀತಿಗಳ (ಮಾರ್ಗಸೂಚಿಗಳು) ವ್ಯಾಪ್ತಿಗೆ ಒಳಪಡದ ಅಗತ್ಯ ಕ್ರಮಗಳನ್ನು ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ.
ಅಗತ್ಯವಿದ್ದಲ್ಲಿ ಬಳಕೆದಾರರು ಇತ್ತೀಚಿನ ಆವೃತ್ತಿಗಳನ್ನು ಪ್ರವೇಶಿಸಲು ನೀತಿಗಳು ಲಭ್ಯವಾಗುವಂತೆ ಮಾಡಬೇಕು. ಸಂಸ್ಥೆಯ ಮಾಹಿತಿ ಸಂಪನ್ಮೂಲಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ನೀಡುವ ಮೊದಲು ಬಳಕೆದಾರರು ಅವರು ನೀತಿಗಳೊಂದಿಗೆ ಪರಿಚಿತರಾಗಿದ್ದಾರೆ ಎಂದು ಸಹಿ ಮಾಡಬೇಕು. ಬಳಕೆದಾರರು ಭದ್ರತಾ ಘಟನೆಯಲ್ಲಿ ತೊಡಗಿಸಿಕೊಂಡಿದ್ದರೆ, ಈ ಒಪ್ಪಂದವು ಅವರು ಅಥವಾ ಆಕೆಗೆ ಸಂಸ್ಥೆಯ ನೀತಿಗಳ ಬಗ್ಗೆ ತಿಳಿಸಲಾಗಿದೆ ಎಂಬುದಕ್ಕೆ ಪುರಾವೆಯಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ ಮತ್ತು ಅವುಗಳನ್ನು ಉಲ್ಲಂಘಿಸಿದರೆ ಸಂಭವನೀಯ ನಿರ್ಬಂಧಗಳು.
ಜಾಗೃತಿಯನ್ನು ಉತ್ತೇಜಿಸಿ
ಯಶಸ್ವಿ ಮಾಹಿತಿ ಸುರಕ್ಷತೆಗಾಗಿ ಬಳಕೆದಾರರ ಸಾಮರ್ಥ್ಯವು ಪೂರ್ವಾಪೇಕ್ಷಿತವಾಗಿದೆ ಮತ್ತು ನಿಯಂತ್ರಣಗಳು ಸರಿಯಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತಿವೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ. ಬಳಕೆದಾರರು ತಮಗೆ ತಿಳಿದಿಲ್ಲದ ಅಥವಾ ಅರ್ಥಮಾಡಿಕೊಳ್ಳದ ನೀತಿಯನ್ನು ಅನುಸರಿಸಲು ಸಾಧ್ಯವಿಲ್ಲ. ಸಂಸ್ಥೆಯ ಮಾಹಿತಿ ಸಂಪನ್ಮೂಲಗಳಿಗೆ ಸಂಬಂಧಿಸಿದ ಅಪಾಯಗಳ ಅರಿವಿಲ್ಲದೆ, ಅಪಾಯಗಳನ್ನು ತಗ್ಗಿಸಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾದ ನೀತಿಗಳನ್ನು ಜಾರಿಗೊಳಿಸುವ ಅಗತ್ಯವನ್ನು ಅವರು ನೋಡುವುದಿಲ್ಲ.
ಅಪಾಯಗಳು ಮತ್ತು ಸಂಬಂಧಿತ ನೀತಿಗಳ ಕುರಿತು ಬಳಕೆದಾರರು ಮತ್ತು ಇತರ ಉದ್ಯೋಗಿಗಳಿಗೆ ನಿರಂತರ ತರಬೇತಿ
ನಿರ್ವಹಣಾ ತಂಡವು ಒಂದು ರೀತಿಯಲ್ಲಿ ಅಥವಾ ಇನ್ನೊಂದು ರೀತಿಯಲ್ಲಿ ಸಂಸ್ಥೆಯ ಮಾಹಿತಿ ಸುರಕ್ಷತೆಯ ಮೇಲೆ ಪ್ರಭಾವ ಬೀರುವ ಉದ್ಯೋಗಿಗಳ ನಿರಂತರ ತರಬೇತಿಗಾಗಿ ಕಾರ್ಯತಂತ್ರವನ್ನು ಒದಗಿಸಬೇಕು. ಸಂಸ್ಥೆಯೊಳಗೆ ಸಂಸ್ಕರಿಸಿದ ಮಾಹಿತಿಯೊಂದಿಗೆ ಸಂಬಂಧಿಸಿದ ಅಪಾಯಗಳ ಹಂಚಿಕೆಯ ತಿಳುವಳಿಕೆ ಮತ್ತು ಆ ಅಪಾಯಗಳನ್ನು ತಗ್ಗಿಸಲು ನೀತಿಗಳು ಮತ್ತು ನಿಯಂತ್ರಣಗಳ ಮೇಲೆ ತಂಡವು ಗಮನಹರಿಸಬೇಕು.
ಸ್ನೇಹಪರ ವಿಧಾನವನ್ನು ಬಳಸಿ
ಸಂಸ್ಥೆಯ ನೀತಿಗಳನ್ನು ಪ್ರವೇಶಿಸಲು ಮತ್ತು ಬಳಕೆದಾರರಿಗೆ ಶಿಕ್ಷಣ ನೀಡಲು ನಿರ್ವಹಣಾ ತಂಡವು ವಿವಿಧ ತರಬೇತಿ ಮತ್ತು ಪ್ರೋತ್ಸಾಹಕ ವಿಧಾನಗಳನ್ನು ಬಳಸಬೇಕು. ಸಂಸ್ಥೆಯ ಎಲ್ಲಾ ಉದ್ಯೋಗಿಗಳೊಂದಿಗೆ ವರ್ಷಕ್ಕೊಮ್ಮೆ ನಡೆಯುವ ಸಭೆಗಳನ್ನು ತಪ್ಪಿಸಬೇಕು, ಇದಕ್ಕೆ ವಿರುದ್ಧವಾಗಿ, ಉದ್ಯೋಗಿಗಳ ಸಣ್ಣ ಗುಂಪುಗಳಲ್ಲಿ ತರಬೇತಿಯನ್ನು ಉತ್ತಮವಾಗಿ ನಡೆಸಲಾಗುತ್ತದೆ.
ನೀತಿಗಳು ಮತ್ತು ನಿಯಂತ್ರಣಗಳ ಪರಿಣಾಮಕಾರಿತ್ವವನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಿ ಮತ್ತು ಮೌಲ್ಯಮಾಪನ ಮಾಡಿ
ಯಾವುದೇ ರೀತಿಯ ಚಟುವಟಿಕೆಯಂತೆ, ಮಾಹಿತಿ ಸುರಕ್ಷತೆಯು ನಿಯಂತ್ರಣಕ್ಕೆ ಒಳಪಟ್ಟಿರುತ್ತದೆ ಮತ್ತು ನಿಗದಿತ ಗುರಿಗಳೊಂದಿಗೆ ನಿಯಂತ್ರಣದ ನೀತಿಗಳು ಮತ್ತು ವಿಧಾನಗಳ (ವಿಧಾನಗಳು) ಸಮರ್ಪಕತೆಯನ್ನು (ಅನುಸರಣೆ) ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಆವರ್ತಕ ಮರುಮೌಲ್ಯಮಾಪನಕ್ಕೆ ಒಳಪಟ್ಟಿರುತ್ತದೆ.
ಅಪಾಯಗಳ ಮೇಲೆ ಪ್ರಭಾವ ಬೀರುವ ಮತ್ತು ಮಾಹಿತಿ ಸುರಕ್ಷತೆಯ ಪರಿಣಾಮಕಾರಿತ್ವವನ್ನು ಸೂಚಿಸುವ ಅಂಶಗಳನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಿ
ನಿಯಂತ್ರಣವು ಪ್ರಾಥಮಿಕವಾಗಿ (1) ನಿಯಂತ್ರಣಗಳ ಲಭ್ಯತೆ ಮತ್ತು ಅಪಾಯವನ್ನು ಕಡಿಮೆ ಮಾಡಲು ಅವುಗಳ ಬಳಕೆ ಮತ್ತು (2) ಬಳಕೆದಾರರ ತಿಳುವಳಿಕೆಯನ್ನು ಸುಧಾರಿಸಲು ಮತ್ತು ಘಟನೆಗಳ ಸಂಖ್ಯೆಯನ್ನು ಕಡಿಮೆ ಮಾಡಲು ಮಾಹಿತಿ ಭದ್ರತಾ ಪ್ರೋಗ್ರಾಂ ಮತ್ತು ನೀತಿಗಳ ಪರಿಣಾಮಕಾರಿತ್ವವನ್ನು ಮೌಲ್ಯಮಾಪನ ಮಾಡುವುದು. ಅಂತಹ ಲೆಕ್ಕಪರಿಶೋಧನೆಗಳು ಪರೀಕ್ಷಾ ನಿಯಂತ್ರಣ ವಿಧಾನಗಳನ್ನು (ವಿಧಾನಗಳು), ಸಂಸ್ಥೆಯ ನೀತಿಗಳೊಂದಿಗೆ ಅವುಗಳ ಅನುಸರಣೆಯನ್ನು ನಿರ್ಣಯಿಸುವುದು, ಭದ್ರತಾ ಘಟನೆಗಳನ್ನು ವಿಶ್ಲೇಷಿಸುವುದು ಮತ್ತು ಮಾಹಿತಿ ಭದ್ರತಾ ಕಾರ್ಯಕ್ರಮದ ಪರಿಣಾಮಕಾರಿತ್ವದ ಇತರ ಸೂಚಕಗಳನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ. ನಾಯಕತ್ವದ ತಂಡದ ಪರಿಣಾಮಕಾರಿತ್ವವನ್ನು ಆಧರಿಸಿ ನಿರ್ಣಯಿಸಬಹುದು, ಉದಾಹರಣೆಗೆ, ಆದರೆ ಈ ಕೆಳಗಿನವುಗಳಿಗೆ ಸೀಮಿತವಾಗಿಲ್ಲ:
- ನಡೆಸಿದ ತರಬೇತಿಗಳು ಮತ್ತು ಸಭೆಗಳ ಸಂಖ್ಯೆ;
- ಪೂರ್ಣಗೊಂಡ ಅಪಾಯದ ಮೌಲ್ಯಮಾಪನ(ಗಳು) ಸಂಖ್ಯೆ;
- ಪ್ರಮಾಣೀಕೃತ ತಜ್ಞರ ಸಂಖ್ಯೆ;
- ಸಂಸ್ಥೆಯ ಉದ್ಯೋಗಿಗಳ ಕೆಲಸವನ್ನು ಸಂಕೀರ್ಣಗೊಳಿಸುವ ಘಟನೆಗಳ ಅನುಪಸ್ಥಿತಿ;
- ಮಾಹಿತಿ ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳಿಂದಾಗಿ ವಿಳಂಬದೊಂದಿಗೆ ಜಾರಿಗೆ ತರಲಾದ ಹೊಸ ಯೋಜನೆಗಳ ಸಂಖ್ಯೆಯಲ್ಲಿ ಕಡಿತ;
- ಕನಿಷ್ಠ ಮಾಹಿತಿ ಭದ್ರತಾ ಅವಶ್ಯಕತೆಗಳಿಂದ ಸಂಪೂರ್ಣ ಅನುಸರಣೆ ಅಥವಾ ಒಪ್ಪಿಗೆ ಮತ್ತು ದಾಖಲಾದ ವಿಚಲನಗಳು;
- ಅನಧಿಕೃತ ಪ್ರವೇಶ, ನಷ್ಟ ಅಥವಾ ಮಾಹಿತಿಯ ಅಸ್ಪಷ್ಟತೆಗೆ ಕಾರಣವಾಗುವ ಘಟನೆಗಳ ಸಂಖ್ಯೆಯನ್ನು ಕಡಿಮೆ ಮಾಡುವುದು.
ಭವಿಷ್ಯದ ಪ್ರಯತ್ನಗಳನ್ನು ಸಂಘಟಿಸಲು ಮತ್ತು ನಿರ್ವಹಣೆ ಹೊಣೆಗಾರಿಕೆಯನ್ನು ಹೆಚ್ಚಿಸಲು ಸಂಶೋಧನೆಗಳನ್ನು ಬಳಸಿ
ಸ್ಥಾಪಿತ ಮಾಹಿತಿ ಭದ್ರತಾ ನೀತಿಗಳ ಅನುಸರಣೆಗೆ ಸಂಸ್ಥೆಯನ್ನು ತರಲು ನಿಯಂತ್ರಣಗಳು ಖಂಡಿತವಾಗಿಯೂ ಸಹಾಯ ಮಾಡುತ್ತವೆ, ಆದರೆ ಮಾಹಿತಿ ಭದ್ರತಾ ಕಾರ್ಯಕ್ರಮವನ್ನು ಸುಧಾರಿಸಲು ಫಲಿತಾಂಶಗಳನ್ನು ಬಳಸದ ಹೊರತು ನಿಯಂತ್ರಣಗಳ ಸಂಪೂರ್ಣ ಪ್ರಯೋಜನಗಳನ್ನು ಸಾಧಿಸಲಾಗುವುದಿಲ್ಲ. ನಿಯಂತ್ರಣ ಪರಿಶೀಲನೆಯು ಮಾಹಿತಿ ಭದ್ರತಾ ವೃತ್ತಿಪರರು ಮತ್ತು ವ್ಯವಹಾರ ನಿರ್ವಾಹಕರಿಗೆ (1) ಹಿಂದೆ ಗುರುತಿಸಲಾದ ಅಪಾಯಗಳನ್ನು ಮರುಮೌಲ್ಯಮಾಪನ ಮಾಡಲು, (2) ಕಾಳಜಿಯ ಹೊಸ ಕ್ಷೇತ್ರಗಳನ್ನು ಗುರುತಿಸಲು, (3) ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ನಿಯಂತ್ರಣಗಳು ಮತ್ತು ಜಾರಿ ಮಾಹಿತಿ ಸುರಕ್ಷತೆಯ ಸಮರ್ಪಕತೆ ಮತ್ತು ಸೂಕ್ತತೆಯನ್ನು ಮರುಮೌಲ್ಯಮಾಪನ ಮಾಡುತ್ತದೆ ) ಹೊಸ ವಿಧಾನಗಳು ಮತ್ತು ನಿಯಂತ್ರಣ ಕಾರ್ಯವಿಧಾನಗಳ ಅಗತ್ಯಗಳನ್ನು ಗುರುತಿಸುವುದು, (5) ನಿಯಂತ್ರಣ ಪ್ರಯತ್ನಗಳನ್ನು ಮರುನಿರ್ದೇಶಿಸುವುದು (ನಿಯಂತ್ರಣ ಕ್ರಮಗಳು). ಹೆಚ್ಚುವರಿಯಾಗಿ, ವ್ಯಾಪಾರ ಘಟಕಗಳಲ್ಲಿನ ಅಪಾಯಗಳನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ಮತ್ತು ತಗ್ಗಿಸಲು ಜವಾಬ್ದಾರಿಯುತ ವ್ಯಾಪಾರ ವ್ಯವಸ್ಥಾಪಕರ ಕಾರ್ಯಕ್ಷಮತೆಯನ್ನು ಮೌಲ್ಯಮಾಪನ ಮಾಡಲು ಫಲಿತಾಂಶಗಳನ್ನು ಬಳಸಬಹುದು.
ಹೊಸ ವಿಧಾನಗಳು ಮತ್ತು ನಿಯಂತ್ರಣಗಳನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಿ
(1) ಮಾಹಿತಿ ಭದ್ರತಾ ವೃತ್ತಿಪರರು ಅಭಿವೃದ್ಧಿಪಡಿಸುವ ತಂತ್ರಗಳು ಮತ್ತು ಪರಿಕರಗಳ (ಅಪ್ಲಿಕೇಶನ್ಗಳು) ಪಕ್ಕದಲ್ಲಿಯೇ ಇರುತ್ತಾರೆ ಮತ್ತು ಮಾಹಿತಿ ವ್ಯವಸ್ಥೆಗಳು ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ಗಳ ದುರ್ಬಲತೆಯ ಬಗ್ಗೆ ಇತ್ತೀಚಿನ ಮಾಹಿತಿಯನ್ನು ಹೊಂದಿದ್ದಾರೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳುವುದು ಮುಖ್ಯವಾಗಿದೆ, (2) ಹಿರಿಯ ನಿರ್ವಹಣೆ ಅವರು ಮಾಡಲು ಅಗತ್ಯವಾದ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಹೊಂದಿದ್ದಾರೆ ಎಂದು ಖಚಿತಪಡಿಸುತ್ತದೆ ಇದು.
ಸ್ನೇಹಿತರೇ! ಚರ್ಚಿಸಲು ನಾವು ನಿಮ್ಮನ್ನು ಆಹ್ವಾನಿಸುತ್ತೇವೆ. ನೀವು ನಿಮ್ಮ ಸ್ವಂತ ಅಭಿಪ್ರಾಯವನ್ನು ಹೊಂದಿದ್ದರೆ, ಕಾಮೆಂಟ್ಗಳಲ್ಲಿ ನಮಗೆ ಬರೆಯಿರಿ.
ಪರಿಕಲ್ಪನೆಯಲ್ಲಿ ಪ್ರಸ್ತುತಪಡಿಸಲಾದ ಕಾರ್ಯಗಳು, ಮಾಹಿತಿ ಭದ್ರತಾ ವ್ಯವಸ್ಥೆಯ ಸಂಘಟನೆ ಮತ್ತು ಕಾರ್ಯಾಚರಣೆಯ ತತ್ವಗಳು ಮತ್ತು ಮುಖ್ಯ ಬೆದರಿಕೆಗಳ ಆಧಾರದ ಮೇಲೆ ಬ್ಯಾಂಕಿನ ನಿರ್ವಹಣಾ ಮಂಡಳಿಯ ಅಧ್ಯಕ್ಷರು ಬ್ಯಾಂಕಿನಲ್ಲಿ ಮಾಹಿತಿ ಸುರಕ್ಷತೆಯ ಸಾಮಾನ್ಯ ನಿರ್ವಹಣೆಯನ್ನು ನಿರ್ವಹಿಸುತ್ತಾರೆ.
ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣೆಯಲ್ಲಿ ಬ್ಯಾಂಕಿನ ಚಟುವಟಿಕೆಗಳ ಕೆಳಗಿನ ಕ್ಷೇತ್ರಗಳನ್ನು ನಿರ್ಧರಿಸಲಾಗುತ್ತದೆ:
- - ಸ್ವಯಂಚಾಲಿತ ವ್ಯವಸ್ಥೆಗಳು ಮತ್ತು ನೆಟ್ವರ್ಕ್ಗಳಲ್ಲಿ ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣೆಯ ಸಂಘಟನೆ;
- - ಭಾಷಣ ಮಾಹಿತಿ ರಕ್ಷಣೆಯ ಸಂಘಟನೆ;
- - ವಾಣಿಜ್ಯ ರಹಸ್ಯವನ್ನು ಒಳಗೊಂಡಿರುವ ಮಾಹಿತಿಯನ್ನು ಸಂಸ್ಕರಿಸುವ ಮತ್ತು ಸಂಗ್ರಹಿಸುವ ಬ್ಯಾಂಕಿನ ಸೌಲಭ್ಯಗಳ ಭೌತಿಕ ರಕ್ಷಣೆಯನ್ನು ಖಾತರಿಪಡಿಸುವುದು;
- - ಸಾಮಾನ್ಯ ವ್ಯವಹಾರ ದಾಖಲೆ ಹರಿವಿನ ಸಂಘಟನೆಯಲ್ಲಿ ಭಾಗವಹಿಸುವಿಕೆ;
- - ಗೌಪ್ಯ ದಾಖಲೆಗಳ ಚಲಾವಣೆಯಲ್ಲಿರುವ ಸಂಘಟನೆ ಮತ್ತು ರಕ್ಷಣೆ.
ಭದ್ರತಾ ಕ್ರಮಗಳ ನಿರ್ವಹಣೆ, ಬಳಕೆದಾರರ ಹಕ್ಕುಗಳ ಸ್ಥಾಪನೆ ಮತ್ತು ನಿಯಂತ್ರಣವನ್ನು ಕೇಂದ್ರೀಯವಾಗಿ ಕೈಗೊಳ್ಳಬೇಕು, ನಿರ್ದಿಷ್ಟ ವ್ಯವಸ್ಥೆಗಳು ಮತ್ತು ನೆಟ್ವರ್ಕ್ನ ವಿಭಾಗಗಳಲ್ಲಿ ಮಾಹಿತಿಯ ಪ್ರಕ್ರಿಯೆ ಮತ್ತು ಪ್ರಸರಣದ ವಿಶಿಷ್ಟತೆಗಳನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಳ್ಳಬೇಕು. ವ್ಯವಸ್ಥೆಗಳು ಮತ್ತು ನೆಟ್ವರ್ಕ್ಗಳಲ್ಲಿ ಮಾಹಿತಿ ಸುರಕ್ಷತೆಯನ್ನು ಖಾತ್ರಿಪಡಿಸುವ ಕೆಲಸವನ್ನು ನೇರವಾಗಿ ಇವರಿಂದ ಕೈಗೊಳ್ಳಲಾಗುತ್ತದೆ:
- - ಮಾಹಿತಿ ಭದ್ರತಾ ಇಲಾಖೆ;
- - ಸಿಸ್ಟಮ್ ಮತ್ತು ನೆಟ್ವರ್ಕ್ ನಿರ್ವಾಹಕರು;
- - ಬ್ಯಾಂಕಿನ ವಿಭಾಗಗಳಲ್ಲಿ ಮಾಹಿತಿ ಭದ್ರತೆಗೆ ಜವಾಬ್ದಾರರಾಗಿರುವ ವ್ಯಕ್ತಿಗಳು;
- - ಆರ್ಥಿಕ ಭದ್ರತಾ ಆಡಳಿತದ ಆಡಳಿತ ವಿಭಾಗ.
ಮಾಹಿತಿ ಭದ್ರತಾ ಇಲಾಖೆಯು ಬ್ಯಾಂಕಿನ ವ್ಯವಸ್ಥೆಗಳು ಮತ್ತು ನೆಟ್ವರ್ಕ್ಗಳಲ್ಲಿ ಕೇಂದ್ರೀಕೃತ ನಿರ್ವಹಣೆ ಮತ್ತು ಮಾಹಿತಿ ಸುರಕ್ಷತೆಯ ನಿಯಂತ್ರಣಕ್ಕೆ ಆಧಾರವಾಗಿದೆ. ಮಾಹಿತಿ ಸುರಕ್ಷತೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಮತ್ತು ಮಾಹಿತಿ ಭದ್ರತೆಯ ಮೇಲೆ ಬ್ಯಾಂಕಿನ ನಿಯಂತ್ರಕ ದಾಖಲೆಗಳ ಅನುಷ್ಠಾನವನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲು ನಿರಂತರ, ಯೋಜಿತ ಮತ್ತು ಉದ್ದೇಶಿತ ಕೆಲಸವನ್ನು ಸಂಘಟಿಸುವುದು ಮಾಹಿತಿ ಭದ್ರತಾ ಇಲಾಖೆಯ ಮುಖ್ಯ ಕಾರ್ಯವಾಗಿದೆ.
ಬ್ಯಾಂಕಿನ ಮಾಹಿತಿ ತಂತ್ರಜ್ಞಾನ ವಿಭಾಗದ ಉದ್ಯೋಗಿಗಳು ಸಿಸ್ಟಂಗಳು ಮತ್ತು ನೆಟ್ವರ್ಕ್ಗಳ ನಿರ್ವಾಹಕರಾಗಿ ನೇಮಕಗೊಂಡಿದ್ದಾರೆ ಮತ್ತು ಸಿಸ್ಟಮ್ಗಳು ಮತ್ತು ನೆಟ್ವರ್ಕ್ಗಳ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಮತ್ತು ಸಿಸ್ಟಮ್ಗಳು ಮತ್ತು ನೆಟ್ವರ್ಕ್ಗಳಿಗೆ ವೈಫಲ್ಯ-ಮುಕ್ತ ಕಾರ್ಯಾಚರಣೆ ಮತ್ತು ಮರುಪಡೆಯುವಿಕೆ ಯೋಜನೆಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಜವಾಬ್ದಾರರಾಗಿರುತ್ತಾರೆ. ನಿರ್ವಾಹಕರ ಮುಖ್ಯ ಕಾರ್ಯಗಳು:
- 1. ವ್ಯವಸ್ಥೆಗಳು ಮತ್ತು ನೆಟ್ವರ್ಕ್ಗಳ ನೇರ ನಿರ್ವಹಣೆ, ವ್ಯವಸ್ಥೆಗಳು ಮತ್ತು ನೆಟ್ವರ್ಕ್ಗಳ ಸಮಗ್ರತೆಯನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುವುದು;
- 2. ತೊಂದರೆ-ಮುಕ್ತ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಖಾತ್ರಿಪಡಿಸುವುದು ಮತ್ತು ವೈಫಲ್ಯಗಳು ಮತ್ತು ವೈಫಲ್ಯಗಳ ಸಂದರ್ಭದಲ್ಲಿ ಸಿಸ್ಟಮ್ಗಳ ಕಾರ್ಯವನ್ನು ಮರುಸ್ಥಾಪಿಸುವುದು.
ಬ್ಯಾಂಕಿನ ರಚನಾತ್ಮಕ ವಿಭಾಗಗಳ ನೌಕರರು ಇಲಾಖೆಗಳಲ್ಲಿ ಮಾಹಿತಿ ಭದ್ರತೆಗೆ ಜವಾಬ್ದಾರರಾಗಿರುತ್ತಾರೆ. ಸ್ವಯಂಚಾಲಿತ ವ್ಯವಸ್ಥೆಗಳು ಮತ್ತು ಬ್ಯಾಂಕಿನ ನೆಟ್ವರ್ಕ್ಗಳಲ್ಲಿ ಕೆಲಸದ ನಿಯಮಗಳ ಇಲಾಖೆಯ ನೌಕರರು ಅನುಷ್ಠಾನವನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುವುದು ಅವರ ಮುಖ್ಯ ಕಾರ್ಯವಾಗಿದೆ.
ಮಾಹಿತಿ ಸುರಕ್ಷತೆಯನ್ನು ಖಾತ್ರಿಪಡಿಸುವ ವಿಷಯದಲ್ಲಿ ಶಾಖೆಯ ಆಡಳಿತ ಇಲಾಖೆಗಳ ಮುಖ್ಯ ಕಾರ್ಯವೆಂದರೆ ಶಾಖೆಯಲ್ಲಿ ಮಾಹಿತಿಯನ್ನು ರಕ್ಷಿಸಲು ಸಂಪೂರ್ಣ ಶ್ರೇಣಿಯ ಕ್ರಮಗಳನ್ನು ಸಂಘಟಿಸುವುದು ಮತ್ತು ನಿರ್ವಹಿಸುವುದು.
ಭಾಷಣ ಮಾಹಿತಿಯನ್ನು ರಕ್ಷಿಸುವ ಕ್ರಮಗಳ ಸಂಘಟನೆ, ಯೋಜನೆ ಮತ್ತು ಅನುಷ್ಠಾನವನ್ನು ಆರ್ಥಿಕ ಭದ್ರತಾ ಇಲಾಖೆಯು ನಡೆಸುತ್ತದೆ. ಭಾಷಣ ಮಾಹಿತಿ ರಕ್ಷಣೆಯ ಮುಖ್ಯ ಉದ್ದೇಶಗಳು:
- 1. ಗೌಪ್ಯ ಮಾಹಿತಿಯನ್ನು ನಿರ್ವಹಿಸುವ ಮತ್ತು ಅದರ ಬಹಿರಂಗಪಡಿಸುವಿಕೆಯನ್ನು ತಡೆಗಟ್ಟುವ ಕಾರ್ಯವಿಧಾನ ಮತ್ತು ನಿಯಮಗಳೊಂದಿಗೆ ಬ್ಯಾಂಕ್ ಉದ್ಯೋಗಿಗಳ ಅನುಸರಣೆಯನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುವುದು;
- 2. ಭಾಷಣ ಮಾಹಿತಿಯ ಸೋರಿಕೆಯ ಸಂಭವನೀಯ ಚಾನಲ್ಗಳ ಗುರುತಿಸುವಿಕೆ ಮತ್ತು ನಿಗ್ರಹ;
- 3. ಬ್ಯಾಂಕಿನ ವಿಭಾಗಗಳಲ್ಲಿ ಭಾಷಣ ಮಾಹಿತಿಯ ರಕ್ಷಣೆಯ ವಿಧಾನದ ಮಾರ್ಗದರ್ಶನ.
ಭಾಷಣ ಮಾಹಿತಿಯ ರಕ್ಷಣೆಯ ಮೇಲೆ ಸಾಮಾನ್ಯ ನಿಯಂತ್ರಣವನ್ನು ಆರ್ಥಿಕ ಭದ್ರತಾ ಇಲಾಖೆಯು ನಡೆಸುತ್ತದೆ.
ಬ್ಯಾಂಕಿನ ಸೌಲಭ್ಯಗಳ (ಹೆಚ್ಚುವರಿ ಕಛೇರಿಗಳು ಮತ್ತು ಶಾಖೆಗಳನ್ನು ಒಳಗೊಂಡಂತೆ) ಸಂಘಟನೆ ಮತ್ತು ಭೌತಿಕ ರಕ್ಷಣೆಯನ್ನು ಒದಗಿಸುವುದು, ಅಲ್ಲಿ ಗೌಪ್ಯ ಮಾಹಿತಿಯನ್ನು ಸಂಸ್ಕರಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಸಂಗ್ರಹಿಸಲಾಗುತ್ತದೆ, ಬ್ಯಾಂಕಿನ ಆರ್ಥಿಕ ಭದ್ರತಾ ವಿಭಾಗವು ನಿರ್ವಹಿಸುತ್ತದೆ. ದೈಹಿಕ ರಕ್ಷಣೆಯ ಮುಖ್ಯ ಉದ್ದೇಶಗಳು:
- 1. ಅನಧಿಕೃತ ವ್ಯಕ್ತಿಗಳಿಂದ ಸಂಭವನೀಯ ನುಗ್ಗುವಿಕೆ ಮತ್ತು ಅತಿಕ್ರಮಣದಿಂದ ಕಟ್ಟಡಗಳು, ಕಚೇರಿ ಆವರಣಗಳು ಮತ್ತು ಪಕ್ಕದ ಪ್ರದೇಶಗಳ ರಕ್ಷಣೆಯನ್ನು ಸಂಘಟಿಸುವುದು ಮತ್ತು ಅವರಿಂದ ಸಂಭವನೀಯ ಕಳ್ಳತನ, ಅಸ್ಪಷ್ಟತೆ ಮತ್ತು ರಹಸ್ಯ ಮಾಹಿತಿಯ ನಾಶವನ್ನು ಹೊರತುಪಡಿಸಿ;
- 2. ಬ್ಯಾಂಕ್ನ ಉದ್ಯೋಗಿಗಳು ಮತ್ತು ಸಂದರ್ಶಕರು ಬ್ಯಾಂಕಿನ ಪ್ರದೇಶದ ಮೇಲೆ ಅಂಗೀಕಾರ ಮತ್ತು ನಡವಳಿಕೆಯ ಆದೇಶ ಮತ್ತು ನಿಯಮಗಳನ್ನು ಅನುಸರಿಸುತ್ತಾರೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳುವುದು;
- 3. ಅವುಗಳ ಸಂಗ್ರಹಣೆ ಮತ್ತು ಸಾಗಣೆಯ ಸಮಯದಲ್ಲಿ ವಸ್ತು ಸಂಗ್ರಹ ಮಾಧ್ಯಮದ ಭೌತಿಕ ಸುರಕ್ಷತೆ.
ಬ್ಯಾಂಕಿನ ವಿಭಾಗಗಳಲ್ಲಿ ಗೌಪ್ಯ ದಾಖಲೆಗಳ ರಕ್ಷಣೆಯ ಸಂಘಟನೆಯನ್ನು ವಹಿಸಲಾಗಿದೆ:
- - ಬ್ಯಾಂಕಿನ ಮಂಡಳಿಯ ಉಪಾಧ್ಯಕ್ಷ - ಮೇಲ್ವಿಚಾರಣೆಯ ಇಲಾಖೆಗಳು ಮತ್ತು ವಿಭಾಗಗಳಲ್ಲಿ;
- - ಇಲಾಖೆಗಳ ಮುಖ್ಯಸ್ಥರು (ಇಲಾಖೆಗಳ ಮುಖ್ಯಸ್ಥರು) - ಇಲಾಖೆಗಳಲ್ಲಿ (ಇಲಾಖೆಗಳು);
- - ವಿಭಾಗಗಳ ಮುಖ್ಯಸ್ಥರು - ಇಲಾಖೆಗಳಲ್ಲಿ;
- - ಶಾಖಾ ವ್ಯವಸ್ಥಾಪಕರು (ಹೆಚ್ಚುವರಿ ಕಚೇರಿಗಳ ನಿರ್ದೇಶಕರು) - ಶಾಖೆಗಳಲ್ಲಿ (ಹೆಚ್ಚುವರಿ ಕಚೇರಿಗಳು).
ವ್ಯಾಪಾರ ರಹಸ್ಯ (ಗೌಪ್ಯ ಕಚೇರಿ ಕೆಲಸ) ಒಳಗೊಂಡಿರುವ ಮಾಹಿತಿಯನ್ನು ಒಳಗೊಂಡಿರುವ ವಸ್ತು ಮಾಧ್ಯಮದ ಲೆಕ್ಕಪತ್ರದ ಸಂಘಟನೆಯನ್ನು ಬ್ಯಾಂಕ್ನ ಆಡಳಿತ ಮತ್ತು ಸಿಬ್ಬಂದಿ ಇಲಾಖೆ ಮತ್ತು ಆರ್ಥಿಕ ಭದ್ರತಾ ಇಲಾಖೆಗೆ ಶಾಖೆಗಳಲ್ಲಿ (ಶಾಖೆಗಳು) ವಹಿಸಲಾಗಿದೆ - ಈ ಉದ್ದೇಶಗಳಿಗಾಗಿ ವಿಶೇಷವಾಗಿ ನಿಯೋಜಿಸಲಾದ ಉದ್ಯೋಗಿಗಳಿಗೆ ಶಾಖೆಯ ಆದೇಶದ ಮೂಲಕ (ಶಾಖೆ).
ಬ್ಯಾಂಕ್ನಲ್ಲಿ ಬಳಸಲಾದ ಎನ್ಕ್ರಿಪ್ಶನ್ ಪರಿಕರಗಳ ಪಾಸ್ವರ್ಡ್-ಕೀ ಮತ್ತು ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ವಸ್ತುಗಳನ್ನು ರೆಕಾರ್ಡ್ ಮಾಡಲು ಮತ್ತು ಸಂಗ್ರಹಿಸಲು, ಮಾಹಿತಿ ಭದ್ರತಾ ಇಲಾಖೆಯೊಳಗೆ ಗೌಪ್ಯ ಕಚೇರಿ ಕೆಲಸದ ಸ್ವತಂತ್ರ ವಿಭಾಗವನ್ನು ಆಯೋಜಿಸಲಾಗಿದೆ. ಗೌಪ್ಯ ದಾಖಲೆ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಯನ್ನು ಆಯೋಜಿಸುವ ಮುಖ್ಯ ಉದ್ದೇಶಗಳು:
- - ಗೌಪ್ಯ ಕಚೇರಿ ಕೆಲಸದ ಪ್ರದೇಶದಲ್ಲಿ ಸಿಬ್ಬಂದಿಗಳ ಆಯ್ಕೆ ಮತ್ತು ನಿಯೋಜನೆ;
- - ಬ್ಯಾಂಕಿನಲ್ಲಿ ಗೌಪ್ಯ ದಾಖಲೆ ಹರಿವಿನ ಸಂಘಟನೆ;
- - ಮುಚ್ಚಿದ ಪತ್ರವ್ಯವಹಾರದ ಅನುಷ್ಠಾನ;
- - ಗೌಪ್ಯ ದಾಖಲೆಗಳ ಲೆಕ್ಕಪತ್ರ ನಿರ್ವಹಣೆ ಮತ್ತು ನಿಯಂತ್ರಣದ ಸಂಘಟನೆ;
- - ಪ್ರದರ್ಶಕರಿಗೆ ಗೌಪ್ಯ ದಾಖಲೆಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು ಅನುಮತಿಸುವ ಅನುಮತಿ ವ್ಯವಸ್ಥೆಯ ಸಂಘಟನೆ ಮತ್ತು ಅನುಷ್ಠಾನ.
ಸ್ಪಷ್ಟವಾದ ಮಾಧ್ಯಮದ ಮೇಲಿನ ಮಾಹಿತಿಯ ರಕ್ಷಣೆಗಾಗಿ ಅಗತ್ಯತೆಗಳ ಅನುಸರಣೆಯ ಮೇಲಿನ ಪ್ರಸ್ತುತ ನಿಯಂತ್ರಣವನ್ನು ಬ್ಯಾಂಕಿನ ಆರ್ಥಿಕ ಭದ್ರತಾ ವಿಭಾಗಕ್ಕೆ ನಿಯೋಜಿಸಲಾಗಿದೆ.
ಜವಾಬ್ದಾರಿ
ಬ್ಯಾಂಕಿನ ವಾಣಿಜ್ಯ ರಹಸ್ಯವನ್ನು ರೂಪಿಸುವ ಮಾಹಿತಿಯನ್ನು ಬಹಿರಂಗಪಡಿಸುವ ಜವಾಬ್ದಾರಿ ಮತ್ತು ಅಂತಹ ಮಾಹಿತಿಯನ್ನು ಹೊಂದಿರುವ ದಾಖಲೆಗಳು, ಉತ್ಪನ್ನಗಳು ಮತ್ತು ಮ್ಯಾಗ್ನೆಟಿಕ್ ಮಾಧ್ಯಮದ ನಷ್ಟವನ್ನು ರಷ್ಯಾದ ಒಕ್ಕೂಟದ ಪ್ರಸ್ತುತ ಶಾಸನಕ್ಕೆ ಅನುಗುಣವಾಗಿ ಸ್ಥಾಪಿಸಲಾಗಿದೆ.
ವ್ಯಾಪಾರ ರಹಸ್ಯವನ್ನು ಹೊಂದಿರುವ ಮಾಹಿತಿಯ ಬಹಿರಂಗಪಡಿಸುವಿಕೆ ಮತ್ತು ನಷ್ಟದ ಜವಾಬ್ದಾರಿಯು ಅದನ್ನು ಪ್ರವೇಶಿಸುವ ಪ್ರತಿಯೊಬ್ಬ ಬ್ಯಾಂಕ್ ಉದ್ಯೋಗಿಯೊಂದಿಗೆ ವೈಯಕ್ತಿಕವಾಗಿ ಇರುತ್ತದೆ.
