برچسب: مدیریتی

مدیریت ریسک‌های فناوری اطلاعات در سازمان، به روش Microsoft

طبق تعریف شرکت معظم مایکروسافت:
ریسک در فناوری اطلاعات، احتمال رخنه کردن آسیب‌پذیریهایی در فضای کار است که منجر به از دست رفتن بخشی از قابلیت اعتماد، صحت و دسترسی پذیری یک منبع یا دارایی (سخت‌افزار، نرم‌افزار، اطلاعات و غیره) می‌گردد.
در نتیجه مدیریت ریسک، میزان آمادگی یک سازمان، شرکت یا گروه برای مقابله و جلوگیری، پذیرش یا اصلاح یک ریسک یا تبعات آن می‌باشد.
مبحث مدیریت ریسک در امنیت اطلاعات (ITS) یکی از استانداردهای مهمی است که هر سازمان مرتبط با IT باید در استقرار آن کوشا باشد. این استانداردها در رده ISO 27000 تا 27011 قرار می‌گیرند. در این رابطه مستندات و آزمون‌های زیادی از شرکت Microsoft منتشر شده است که خلاصه یکی از آنها به صورت زیر است. (یک مورد کلی)
برای بررسی میزان آمادگی سازمان خود جهت استقرار یک سیستم مدیریت ریسک جامع، 17 مورد زیر را مطالعه نموده و در هر مورد به خود امتیازی از 0 تا 5 اختصاص دهید. معیار امتیاز دهی در هر مورد به صورت زیر است:
0: چنین روالی در سازمان ما وجود ندارد. (Non-existent)
1: بدون برنامه قبلی و به صورت موردی انجام شده است. (Ad-Hoc)
2: بدون برنامه صحیح، گاهی تکرار می‌شود. (Repeatable)
3: روال تعریف شده‌ای وجود دارد. (Defined Process)
4: روال تعریف شده و به خوبی مدیریت می‌گردد. (Managed)
5: به خوبی و به بهترین شکل ممکن انجام می‌شود. (Optimized)
موارد مورد بررسی:
  1. روالها و خط مشی‌های امنیت اطلاعات در این سازمان، روشن، صریح، کامل و مستند شده هستند.
  1. تمامی مسئولین و کارکنانی که موقعیت شغلی آنها در ارتباط مستقیم با امنیت اطلاعات است، به خوبی با مسئولیت و نقش خود در این راستا آشنا شده‌اند.
  1. سیاست و خط مشی امنیتی کاملا روشن و مستند شده‌ای در رابطه با اشخاص ثالث (Third party) وضع شده است. به عنوان مثال شرکت‌های ثالثی که در حال طراحی یک نرم‌افزار یا ابزار خاص برای منابع درونی سازمان هستند، از حق دسترسی کافی نسبت به منابع سازمان و اطلاعات مربوطه برخوردار هستند. اما این حق دسترسی فقط به اندازه حداقل نیاز آنها تعریف شده است.
  1. فهرست دارایی‌ها و منابع (IT) سازمان مانند انواع سخت‌افزارها، نرم‌افزارها و پایگاه‌های داده‌ای (انباره اطلاعات) کاملا دقیق و بروز می‌باشد.
  1. برای جلوگیری از دسترسی غیر مجاز افراد داخلی و خارجی به اطلاعات محرمانه سازمان، روندهای کنترلی مناسبی تدارک دیده شده است.
  1. به منظور اطلاع رسانی و آگاهی کاربران از خط مشی‌ها و ملزومات امنیت اطلاعات، ندابیر مناسبی مانند خبرنامه‌ها، نشریه یا برنامه‌های آموزشی تدارک دیده شده است.
  1. دسترسی فیزیکی به شبکه کامپیوتری و دیگر منابع امنیتی اطلاعاتی، تنها با عبور از کنترل‌های موثر و مناسب امکان‌پذیر است.
  1. تمامی سیستم‌های کامپیوتری جدید سازمان، با استفاده از روال‌ها و ابزارهای خودکار (مانند سیستم پشتیبان‌گیری یا غیره)  به استاندارد امنیتی تعریف شده در سازمان مقید می‌شوند.
  1. برای بروز رسانی و نصب وصله‌های امنیتی مناسب نرم‌افزارها، از سیستم خودکار و موثری استفاده می‌شود که بخش عمده کامپیوترهای سازمان از آن تغذیه می‌شوند.
  1. گروهی برای واکنش نسبت به حوادث امنیتی و بررسی علل آنها تدارک دیده شده است. تمامی وقایع امنیتی توسط این گروه ثبت و بررسی شده تا ریشه بروز آنها کاملا شناسایی شود.
  1. سازمان از یک برنامه ضد ویروس جامع و قدرتمند با چندین لایه حفاظتی استفاده می‌نماید.
  1. خط مشی کنترل کاربران سازمان، جامع و مستند شده بوده و از راهکارهای خودکار (مثلا برنامه‌های اتوماسیونی و یا اکتیودایرکتوری) برای اعطای حق دسترسی مناسب به کارکنان و یا لغو حق دسترسی ثبت شده استفاده می‌کند.
  1. روند کنترل و مانیتورینگ مناسبی برای بررسی دسترسی‌ها به منابع شبکه، داده‌ها و سیستمها وجود داشته که در صورت کشف نفوذ، می‌توان فرد خاطی را شناسایی نمود.
  1. توسعه دهندگان سیستم‌ها نسبت به استانداردهای امنیتی و روندهای بررسی کیفیت کار، آگاهی کاملی داشته و برای رعایت آنها به خوبی آموزش دیده‌اند.
  1. برنامه‌های حفظ امنیت کاری به صورت مستمر مورد تمرین قرار می‌گیرند.
  1. مستندات، برنامه و شرح کار مناسبی برای بررسی میزان انطباق فرآیندهای سازمان با خط مشی‌های امنیتی تعریف شده وجود دارد.
  1. از بازرسی و ممیزی خارجی با زمان‌بندی مناسب برای کشف عدم انطباق نسبت به استانداردها استفاده می‌گردد.
در پایان امتیازات ثبت شده را جمع نموده و با اعداد زیر مقایسه کنید:
امتیاز  کمتر از 35: بهتر است که نسبت به ایجاد یک کارگروه مدیریت ریسک در سازمان اقدام نموده و کار آنها را با بررسی یکی از واحدها یا فرآیندهای سازمان آغاز کنید.
امنیاز 35 تا 50: اقدامات موثر و مفیدی انجام شده است. باید بررسی ریسک را در مابقی فرآیندهای سازمان نیز به انجام برسانید.
امتیاز بیش از 50: سازمان شما برای استفاده کامل از یک سیستم مدیریت ریسک امنیتی آماده است.
پ.ن: جهت توضیحات بیشتر در این رابطه می‌توانید به مستندات سری استانداردهای ISO 27000 و مجموعه Microsoft’s Security Risk Management Guide مراجعه کنید.

مدیر یک دقیقه‌ای (One Minute Manager)

در ادامه تجربه موفق قبلی با “کلید در وضعیت روشن”، این بار کتاب معروف مدیر یک دقیقه‌ای از دکتر کنت بلانچارد را انتخاب کردم.
دکتر کنت بلانچارد اکنون به عنوان عضو هیئت امناء دانشگاه و به عنوان استاد رشته تربیت مشاور، رهبری و رفتار سازمانی در دانشگاه ماسوچوست مشغول فعالیت است.

one minute manager farsi book cover
به اعتقاد دکتر کنت بلانچارد، کلید انجام بهتر امور، این است که به کارکنان کمک کنیم که احساس بهتری نسبت به خود پیدا کنند، چرا که بهترین کارایی افراد زمانی صورت می‌گیرد که آنها احساس خوبی نسبت به خود دارند.


در واقع این کتاب به این دلیل مدیریت یک دقیقه‌ای نامیده شده که می‌گوید، یک مدیر می‌تواند در زمانی خیلی کوتاه، نتایج بسیار بزرگی از همکاران خود بگیرد.

در این راستا، سه راز بزرگ مدیریت موفق یک دقیقه‌ای در این کتاب معرفی می‌گردد:
1- اهداف یک دقیقه‌ای 2- … 3- …

پیشنهاد می‌کنم این کتاب را جهت مطالعه تهیه نمایید.

در ذیل، به نقل قول چند متن زیبا از نسخه اصلی کتاب فوق می‌پردازیم:

  • one minute manager english book cover People who produce good results feel good about themselves.
  • The best minute I spend is the one I invest in people.
  • A problem only exists if there is a difference between what is actually happening and what you desire to happen.
  • Achieving good performance for most people is a journey, not a destination.
  • Look at you goals, look at your performance. See if your behaviour matches your goals.
  • Never attack a person’s value as a person. Only reprimand their behaviour.
  • Only positive consequences encourage good future performance.

کلید در وضعیت روشن

به ندرت پیش می‌آمد که به کتابی در زمینه‌ای به غیر از رشته خودم و علاوه بر آن الکترونیک، گرافیک، طراحی و گاهی داستان و طنز علاقمند شوم.کلید در وضعیت روشن

اما پس از دیدن عنوان این کتاب، با کمی کنجکاوی، چند خطی از آن را مطالعه نموده و به ارزش آن پی بردم.
قلم سید مهدی عراقی در این کتاب، راه‌حل مشکل‌ترین مسائل مدیریتی را در قالب تجربیاتی شیرین و پندآموز به تصویر کشیده است.
ایشان به عنوان یک مدیر موفق، ارزشمندترین اطلاعات و تجربیات خود را در 10 سال اداره شرکت کنتورسازی ایران مطابق با اصول کلاسیک و صحیح مدیریتی و تبدیل آن به سازمانی موفق و پیشرو بیان نموده‌اند.


  • آرشیو:

  • .
    Copyright (c) 2010 www.mshams.ir