Abstract:
اطلاعات شرکت در هر نوع و شکل آن،جزء داراییهای شرکت محسوب میشود.این بدین معنی است که مسئولیت نهایی امنیت اطلاعات1باید بر عهده شرکت باشد و تنها با نقش کارمند ارشد امنیت اطلاعات2یا نقشهای مشابه کفایت نشود.گرچه مسئولیت تعیین و به کارگیری اکثر تکنیکهای مرتبط با امنیت اطلاعات برعهده کارمند ارشد امنیت اطلاعات است با این حال مدیریت شرکت باید نظارت جامع3و مانعی برای اطمینان از اثر بخشی امنیت انجام دهد.بدون تردید مدیر عامل و هیات مدیره نقش مهمی در کشف و حذف کارشکنیها دارد از طرفی باتوجه به نقش غیرقابل انکار فنآوری اطلاعات4 در دنیای امروز،بیتوجهی و سهل انگاری در این رابطه نمیتواند گزینهی راهبردی مناسبی باشد لذا مدیریت به ناچار باید نظارت دقیقی در این بخش داشته باشد.
Machine summary:
"گرچه مسئولیت تعیین و به کارگیری اکثر تکنیکهای مرتبط با امنیت اطلاعات برعهده کارمند ارشد امنیت اطلاعات است با این حال مدیریت شرکت باید نظارت جامع3و مانعی برای اطمینان از اثر بخشی امنیت انجام دهد.
بنابراین افراد مسئول امنیت اطلاعات دارای نقشهای متنوعی مثل رئیس هیأت مدیره،مدیر عامل و سایر اعضای هیأت مدیره،مدیران کسب و کار،مدیران (به تصویر صفحه مراجعه شود) شکل 1:ساختار سازمانی معمول برای امنیت ریسک،اعضای کمیته حسابرسی، اعضای کمیته امنیت،حسابرسان و کارکنان است.
با این حال برخی گزارشها و آمارهای منتشره همانند گزارش مرکز برنامههای اجرایی"گارتنر"در مورد کارمندان ارشد اطلاعات11(7002)حاوی مطالب متفاوتی است که در آن بیان شده،امنیت اطلاعات از ده اولویت اصلی بسیاری از شرکتها برای اولین بار در طی سالهای گذشته حذف شده و نیز از رتبه 2 به رتبه 6 در ده سرمایهگذاری فنآوری اصلی کاهش یافته است.
با این حال مهمترین موضوع در این زمینه نیاز به حاکمیت یا نظارت است که در رابطه با موارد زیر اساسی است: تعیین مسئولیتها و امتیازات تصمیمگیری به صورت واضح ایجاد یک چارچوب اطمینان نسبت به شفافیت فعالیتها از طریق معیارهای مناسب اطمینان نسبت به تامین نیازها و الزامات قانونی اطمینان نسبت به تامین الزامات قانونی اطمینان نسبت به اینکه منابع به صورت صحیح و مقتضی مورد استفاده قرار میگیرد و اینکه ارزش مورد انتظار از منابع کسب شده است.
مدیر ارشد اطلاعات همچنین مسئول اطمینان در این مورد است که اعضای هیأت مدیره و سایر مدیران ارشد تجاری از عملکرد فنآوری اطلاعات به اندازه کافی برای ایفای مسئولیتهای حاکمیتی فنآوری اطلاعات شامل موارد امنیت،درک و اطلاع دارند."