معرفی مدیریت «امنیت اطلاعات» در بورس اوراق بهادار تهران
مدیریت «امنیت اطلاعات» در شرکت بورس اوراق بهادار تهران تحت نظارت مستقیم مدیرعامل شرکت در راستای برآوردهسازی اهداف امنیتی و کاهش حوادث مرتبط با امنیت اطلاعات در کلیه فرآیندهای کسبوکاری شرکت، تشکیل شده است.
اهداف مدیریت امنیت اطلاعات
توجه و اهتمام در حفظ محرمانگی، یکپارچگی و دسترسپذیری داراییهای اطلاعاتی شرکت و اطلاعات ذینفعان؛
کاهش سطح حوادث امنیت اطلاعات و بهکارگیری روشهای مناسب برای مقابله و واکنش بهموقع به حوادث امنیت اطلاعات؛
رعایت الزامات امنیتی برای پایداری سرویسها و ارتقاء فرآیندهای پشتیبان مدیریت امنیت اطلاعات؛
فرهنگسازی و آموزشهای لازم در راستای نیازهای شرکت برای ارتقاء دانش امنیت اطلاعات پرسنل؛
مدیریت مخاطرات امنیت اطلاعات و تداوم کسبوکار؛
شناسایی و برآوردهسازی انتظارات و الزامات مشتریان و سایر ذینفعان، حصول و نگهداشت خشنودی ایشان و اطمینان از حفظ و صیانت از حریم خصوصیشان؛
افزایش انطباق با الزامات قانونی و مقررات ملی در حوزه امنیت اطلاعات.
فعالیتهای مدیریت امنیت اطلاعات
فعالیتهای مدیریت امنیت اطلاعات به ۴ دسته اصلی تقسیم میشوند که عبارتند از پیادهسازی استانداردها و ابلاغیات بالادستی، مرکز عملیات امنیت، ارزیابی امنیتی و مقاومسازی و اطلاع رسانیها و آگاهیرسانیها در زمینه مسائل و مخاطرات امنیت اطلاعات.
۱- پیادهسازی استانداردها و ابلاغیات بالادستی
اجرا و پیادهسازی الزامات بالادستی شامل الزامات امنیت اطلاعات مرکز نظارت بر امنیت اطلاعات بازار سرمایه(مکنا)، مرکز مدیریت راهبردی افتا و پدافند غیر عامل؛
پیادهسازی سیستم مدیریت امنیت اطلاعات (ISMS) بر اساس استاندارد ISO/IEC 27001:2013؛
تدوین خطمشیها، دستورالعملها و روشهای اجرایی حوزه امنیت اطلاعات؛
مدیریت و ارزیابی ریسکهای حوزه فناوری اطلاعات ؛
ممیزی دورهای الزامات امنیت اطلاعات.
۲- مرکز عملیات امنیت
جمع آوری لاگها؛
پایش مستمر کلیه رخدادهای امنیت اطلاعات و وضعیت امنیت شبکه؛
رسیدگی به حوادث امنیت اطلاعات.
۳- ارزیابی امنیتی و مقاوم سازی
ارزیابی امنیتی سامانهها و سرویسهای شرکت؛
ارائه چکلیستهای امنسازی و مقاومسازی؛
ارائه راهکارهای بهبود امنیت شبکه.
۴- اطلاع رسانیها و آگاهیرسانیها در زمینه مسائل و مخاطرات امنیت اطلاعات
آگاهیرسانی امنیت اطلاعات در پرتال سازمانی از طریق مجموعه فایلهای آموزشی تدوینشده؛
اطلاعرسانی آخرین رویدادها و اخبار امنیت از طریق گروههای شبکه اجتماعی داخل سازمان؛
برگزاری دورههای آموزشی مرتبط با سیستم مدیریت امنیت اطلاعات.
