مقاله نکات مدیریتی روز

[Cinderella 9,897]

*مدیریت اقتصادی ( انواع و کارکرد هر یک ) :

مساله مدیریت اقتصادی مهم ترین نقش را در استفاده بهینه از منابع در اختیار، سازماندهی نیروی انسانی و ارائه محصول از سوی هر بنگاه اقتصادی و نهاد خدمت رسان دارد. اگر در ایران بخواهیم به اجمال شیوه مدیریت اقتصادی معمول را تقسیم و توصیف کنیم به «چهار نوع مدیریت اقتصادی» می توان اشاره کرد.

1- مدیریت اقتصادی در بخش دولتی:

در این نوع مدیریت غالباً دغدغه ای برای تامین منابع وجود ندارد چراکه از طریق بودجه عمومی منابع در اختیار مدیر قرار می گیرد و به دلیل بوروکراسی حجیم دولتی شاخص های دقیقی برای اندازه گیری میزان کارایی و اثربخشی و استفاده بهینه از منابع در اختیار وجود ندارد. در مجموع این نوع مدیریت مبتنی بر مدیریت هزینه و روزمرگی است و به همین دلیل مشاهده می شود نسبت هزینه به فایده (محصول) به جای آنکه با افزایش بهره وری روندی کاهشی داشته باشد، به عکس روندی افزایشی دارد و روزبه روز بر حجم هزینه های دولت می افزاید و...

[Cinderella 9,897]

2- مدیریت اقتصادی در بخش عمومی:

در این نوع مدیریت تامین درآمد و منابع یکی از دغدغه های اصلی اداره بنگاه را تشکیل می دهد چرا که بدون تامین منابع اداره بنگاه ممکن نیست، از این رو مدیریت ناچار از برنامه ریزی برای تامین منابع و هزینه آن از طریق چرخه تولید کالا و خدمات است و به نسبتی که این چرخه خالی از دست اندازی به منابع بودجه عمومی و شرایط رانتی باشد بر کارایی و اثر بخشی و استفاده بهینه از منابع در اداره بنگاه می افزاید. در مجموع این نوع مدیریت مبتنی بر مدیریت هزینه- فایده است و به میزانی که بنگاه های این بخش استقلال مالی و اداری از دولت داشته باشند ناچار از کاهش هزینه و افزایش بهره وری و تولید برای ادامه حیات اقتصادی خواهد بود در نتیجه مدیریت اقتصادی آینده نگر و دقیق و پاسخگویی را می طلبد.

[Cinderella 9,897]

3- مدیریت اقتصادی در بخش خصوصی:

در این نوع مدیریت تامین سود حرف اول را می زند و اصل در اداره بنگاه دستیابی به سودی معقول است و به همین دلیل برنامه ریزی برای تداوم چرخه تولید و فروش محصول از طریق تامین سرمایه و منابع و محاسبه دقیق هزینه ها راهنمای عمل مدیریت اقتصادی بنگاه در هر مقطع است. در مجموع این نوع مدیریت مبتنی بر مدیریت هزینه - فایده با حاشیه سود انتظاری است و مدیریت اقتصادی بنگاه باید تمام تلاش و سعی خود را برای بهینه سازی استفاده از امکانات موجود و ارتقای بهره وری به منظور دستیابی به سود انتظاری به کار بندد و معیار سودآوری بنگاه شاخصی است که در هر مقطع کارایی و اثربخشی و استفاده بهینه از منابع را اندازه می گیرد و به مدیر نمره می دهد و جایگاه او را در قبولی یا ردی و ادامه کار تعیین می کند.

[Cinderella 9,897]

4- مدیریت اقتصادی نهادهای مدنی و صنفی:

در این نوع مدیریت انگیزه داوطلبانه افراد عضو حرف اول و آخر را می زند و چون تامین درآمد و منابع این بنگاه ها داوطلبانه صورت می گیرد اداره بنگاه و ارائه محصولش در برابر انتظاراتی که اعضا (و افراد هدف) دارند برنامه ریزی غلتانی را نیاز دارد.در مجموع این نوع مدیریت مبتنی بر مدیریت داوطلبانه با حداقل هزینه در برابر حداکثر خدمات دهی است و آنچه شاخص اندازه گیری اداره بهینه بنگاه است رضایتمندی اعضا (وافراد هدف) است که بازخورد آن را می توان در افزایش اعضا و گسترش دامنه فعالیت این نوع از بنگاه ها شاهد بود.

بر پایه آنچه آمد در این «چهار نوع مدیریت اقتصادی» در ایران به جرات می توان گفت آسان ترین آن، مدیریت اقتصادی در بخش دولتی است و سخت ترینش در بخش خصوصی و نهادهای مدنی و صنفی و از آنجا که در ایران غلبه کامل با بخش دولتی است می توان نتیجه گرفت ما بدترین وضعیت را به دلیل مدیریت اقتصادی در کشور داریم اما نکته جالب تر اینکه مدیریت اقتصادی در نهادهای مدنی و صنفی کمترین هزینه و بیشترین فایده را برای دولت و جامعه دارند از این رو در ادبیات اقتصادی از تعداد آنها در هر واحد ملی به عنوان شاخصی برای اندازه گیری میزان «سرمایه اجتماعی» استفاده می شود که در کشور ما مورد کمترین توجه و حمایت از سوی حاکمیت است البته تکلیف بخش خصوصی هم روشن است، به نظر نویسنده اگر قرار است که کشور ما راه توسعه و رشد را بپیماید و فردایی بهتر را برای ایران و ایرانی رقم زند جز از طریق گذار از مدیریت اقتصادی در بخش دولتی به مدیریت اقتصادی در بخش خصوصی و نهادهای مدنی و صنفی ممکن نیست و همانگونه که در قانون برنامه چهارم توسعه آمده بود نگاه و سیاست های حاکمیت در این زمینه باید دگرگونی اساسی یابد به ویژه آنکه نگاه دولت به بخش خصوصی و نهادهای مدنی و صنفی نباید نگاهی مبتنی بر رقابت باشد بلکه دولت باید اینها را به عنوان مکمل و همکار خود در پیمودن مسیر سخت و دشوار توسعه بپذیرد و میدان فعالیت را به روی آنها گشاده دارد از این رو هرگونه برخورد محدودکننده دولت با نهادهای مدنی و صنفی با هر بهانه و دلیلی را باید یک گام ضد توسعه ای و به ضرر نهایی اقتصاد کشور به شمار آورد.

[Cinderella 9,897]

كارمند تازه وارد

 

مردی به استخدام یك شركت بزرگ چندملیتی درآمد. در اولین روز كار خود، با كافه تریا تماس گرفت و فریاد زد: «یك فنجان قهوه برای من بیاورید.»

صدایی از آن طرف پاسخ داد: «شماره داخلی را اشتباه گرفته ای. می دانی تو با كی داری حرف می زنی؟»

كارمند تازه وارد گفت: «نه»

صدای آن طرف گفت: «من مدیر اجرایی شركت هستم، احمق.»

مرد تازه وارد با لحنی حق به جانب گفت: «و تو میدانی با كی حرف میزنی، بیچاره.»

مدیر اجرایی گفت: «نه»

كارمند تازه وارد گفت: «خوبه» و سریع گوشی را گذاشت.

[Cinderella 9,897]

پروانه

"نیكوس كازانتزاكیس (نویسنده زوربای یونانی) تعریف می‌كند كه در كودكی، پیله كرم ابریشمی را روی درختی می‌یابد، درست زمانی كه پروانه خود را آماده می‌كند تا از پیله خارج بشود. كمی منتظر می‌ماند، اما سرانجام‌، چون خروج پروانه طول می‌كشد، تصمیم می‌گیرد به این فرآیند شتاب ببخشد. با حرارت دهان‌اش پیله را گرم می كند، تا این كه پروانه خروج خود را آغاز می‌كند. اما بال‌هایش هنوز بسته‌اند و كمی بعد می‌میرد.

كازانتزاكیس می‌گوید : بلوغی صبورانه با یاری خورشید لازم بود، اما من انتظار كشیدن را نمی‌دانستم. آن جنازه كوچك تا به امروز، یكی از سنگین‌ترین بارها بر روی وجدانم بوده . اما همان جنازه باعث شد بفهمم كه فقط یك گناه كبیره حقیقی وجود دارد : فشار آوردن بر قوانین بزرگ كیهان. بردباری لازم است، و نیز انتظار زمان موعود را كشیدن، و با اعتماد راهی را دنبال كردن كه خداوند برای زندگی ما برگزیده است. ""

اگر ما یک کارمند با هوش و دانا وبا جسارت داریم آیا باید تجربه های درست و نادرست خود را به او تحمیل کنیم. اگر او بخواهد آنچه را انجام دهد که ما قبلا تجربه کرده ایم دیگر چه نیازی به هوش و ذکاوت و جسارت او داریم ؟

اغلب مدیران ما بر این باور هستند که کارکنان فرمان بر ومطیع سرمایه های سازمان هستند !

بزرگ فکر کن ، کوچک عمل کن .همین حالا شروع کن. امام علی (ع)

[Cinderella 9,897]

*پنج استراتژی جهت هوشمندانه کارکردن :

بیشتر افراد این توصیه را شنیده اند که باید هوشمندانه تر کار کنند و نه سختکوشتر ، اما هنوز تعداد کمی واقعاً از این توصیه پیروی می کنند. این روزها اکثریتصاحبان تجارت و مدیران برای دستیابی به اهدافشان ساعتهای طولانی مشغول کار هستند. اگر شما مجبورید برای تکمیل کارتان ساعتها بیشتر از یک روز عادی کاری کارکنید. اینامر نشان می دهد شما کار را به گونه ای اشتباه انجام می دهید. در اینجا ۵ استراتژیبرای کمک به شما در هوشمندانه کار کردن بجای سختکوشی را بیان می کنیم.

● استراتژی اول: تمرکز

فکر می کنید در یک ساعت کاری نمونه چند دقیقه تمرکز کامل دارید؟ممکن است درک این مطلب که این زمان چقدر اندک می باشد شما را متعجب کند.محققان نشانداده اند که اکثریت افراد میتوانند بین ۵ تا ۱۰ دقیقه در هر ساعت کاری بیشتر موثرباشند. اگر فکر می کنید که این گفته اغراق آمیز است میتوانید این آزمایش ساده راانجام دهید.یک دفترچه یادداشت و یک خودکار در کنار خود نگه دارید و شروع کنید بهآگاه شدن از سطح تمرکزتان. هر وقت که تشخیص دادید که روی کار در تمرکز کامل نیستیدمدت زمانی را که حواستان پرت بوده است یادداشت کنید. اگر این تمرین را بخوبی انجامدهید خودتان را کاملاً شوکه خواهید کرد. اگر شما بتوانید مهارت خودتان را در ایجادتمرکز کامل در طول ساعتهای کاری گسترش دهیدشما از میزان تولیدتان متعجب خواهید شد.

● استرتژی دوم:تسلط

تسلط هنر استفاده از ابزارها جهت افزایشکیفیت در کار و محصول شما می باشد. ابزار می تواند تکنولوژی نظیر نرم افزار هایکامپیوتری باشد یا میتواند استراتژی های سازمانی نظیر سیستم های بهتر باشد .شمادرحال حاضر از چه میزان قدرت تسلطی جهت به حداکثر رساندن نتایج کار برخوردار هستید .برای مثال فروشنده ای که از طریق سمینارها و سمینارهای تلویزیونی دست به فروشمیزند محتمل است که نسبت به کسی که فرد به فرد می فروشد میزان فروش بیشتری کسب کند. چه کاری می توانید انجام دهید تا بر زمان ، دانش، یا مهارت مسلط شوید؟

 

● استراتژی سوم: نمایندگی ( وکالت )

یک طبقه خاص از نفوذ وکالت میباشد.نمایندگی یعنی بکارگرفتن افراد دیگر جهت انجام قسمتهایی از کار شما. بنابراینبه همان اندازه وقتتان برای فعالیتهای سود آور آزاد می شود .بیائید دوباره به مثالفروشنده نظر بیاندازیم. اگر فروشنده بخصوصی در فروش نهایی( closing) خیلی مهارتدارد این امر ممکن است این احساس را ایجادکند که این فرد میتواند وظایف مدیریتیوابسته با فروش را بعنوان یک نماینده انجام دهد بنابراین فروشنده می تواند زمانبیشتری را برای فروش نهایی صرف کند. اگر سود حاصل از فروش نسبت به هزینه نمایندگیبیشتر باشد میتوان گفت شما سیستم خوبی دارید.اغلب شنیدن این نکته در بین شکایتهایصاحبان تجارت که فروشندگان آنها از آینده نگری و انتظار تنفر دارند و واقعاً درمورد آن احساس بدی دارند مرا مبهوت میکند. در کسب کار خودم من همیشه افراد آیندهنگر حرفه ای که در این زمینه خوب بودند بکارگرفته ام که با اینکار وقت را برای تیمفروشندگی آزاد نمودند تا آنها کاری را که بخوبی عمل میکنند انجام دهند.: و این کارفقط فروشندگی بود! و البته این استراتژی در عین حال که همه خوشحال هستند سود آوراست .

 

● استراتژی چهارم: مدیریت زمان

من اغلب این مطلب را می شنوم که تجار می گویند که میزانکارمند یک بخش بخصوص خیلی زیاد است زیرا آنها ساعتهای زیادی تلف میکنند تا کار راتکمیل نمایند. نظر من عکس این مطلب است. اگر شما نمی توانید در یک روز عادیکاری،کارتان را تکمیل نماید پس احتمالاً دچار کمبود تمرکز، تسلط، و مهارت های وکالتهستید یا یک مدیر وقت نشناس می باشید.مدیریت زمان هنر سازماندهی خودتان استبنابراین شما کار خود را در یک روز تجاری استاندارد خاتمه خواهید داد. اگر شما آنرابا دیگر مهارتهایتان ترکیب کنید(رئوس مطالب بالا) سپس شما می توانید یک مقدار عظیماز تولید در یک روز کاری را بدست آورید و نیاز به ساعات اضافی ندارید.سازماندهی یکروز از پایان روز قبلی شروع می شود.اگر شما اینکار را انجام دهید پس از آن مغزتانبه شما کمک خواهد کرد که بیشتر موثر باشید.برآورد شده است که ۵۰% زمان استراحت شمابه سازماندهی مغز و ساختار دادن دانش و تجربیات کسب شده در طول روز اختصاص دارد. اگر شما کارهای روز آینده را برنامه ریزی کنید شما در می یابید که فرایند های روحیطبیعی در زمان استراحت کار می کنند با شما تا شما را در بدست آوردن برنامه زمانیکمک کنند .اساس مدیریت زمان را یاد بگیرید و هر روز از آنها استفاده کنید.

● استراتژی پنجم: اولویت بندی فعالیتها

مطمئن هستم قاعده۸۰/۲۰ را می دانید: ۸۰% از نتایج کار شما از ۲۰% تلاشهایتان بدست می آید. دلیل اینکه این مطلب در مورد افراد زیادی صدق می کند اینست که آنها نمی دانند کهکدام تلاش آنها بهترین نتایج را ببار می آورد. اگر شما رکوردها را خوب نگه داریدسپس می توانید قاعده ۸۰/۲۰ را تغییر دهید تا بطور موثر تر برای شما عمل کند.اگر شمامی دانستید که کدام ۲۰% از فعالیت شما بهترین نتایج را تولید می کند سپس شما میتوانستید خودتان را سازماندهی کنید تا وقت بیشتری صرف اینگونه کارها بکنید. وبنابراین سود شما را در هر ساعت افزایش می داد. اگر شما می دانستید خصوصیات ۲۰% ازمشتریانتان را که ۸۰% کسب تان را می دهند شما می توانستید آن گروه از مشتریان راهدف قرار دهید. فرانک بتگر با استفاده از قانون ۸۰/۲۰ در جهت مزیتش از یک نمایندهبیمه شکست خورده به پردرآمدترین نماینده بیمه در آمریکا تبدیل شد. کتاب او هنوز دردسترس است و ارزش خوبی برای مطالعه دارد

.

استراتژی شما : فقط این۵استراتژی را در کارتان اجرا کنید تا نتایج آن بروز نماید.

شما الان ۵استراتژی دارید و تنها کاری که شما باید انجام دهید اینست که نظر بیاندازید بهراههایی که می توانید به این استراتژی ها برای خودتان و کارتان بیافزائید . موفق باشید .

[Cinderella 9,897]

نكات و نتيجه هاي خوب

(شناخت روانى، روان‌ پزشک)

نقل قول:

به هنگام بازديد از يک بيمارستان روانى، از روان‌ پزشک پرسيدم شما چطور مي‌فهميد که يک بيمار روانى به بسترى شدن در بيمارستان نياز دارد يا نه؟

روان‌پزشک گفت: ما وان حمام را پر از آب مي‌کنيم و يک قاشق چايخورى، يک فنجان و يک سطل جلوى بيمار مي‌گذاريم و از او مي‌خواهيم که وان را خالى کند. من گفتم: آهان! فهميدم. آدم عادى بايد سطل را بردارد چون بزرگ‌ تر است. روان‌پزشک گفت: نه! آدم عادى درپوش زير آب وان را بر مي‌دارد... شما مي‌خواهيد تختتان کنار پنجره باشد؟

نتیجه گیری :

1. راه حل هميشه در گزينه هاي پيشنهادي نيست.

2. در حل مشکل و در هنگام تصميم گيري، هدفمان يادمان نرود . در حکايت فوق هدف خالي کردن آب وان است نه استفاده از ابزار پيشنهادي.

 

3. همه راه حل ها هميشه در تير رس نگاه نيست.

[Cinderella 9,897]

در پایان مصاحبه شغلی برای استخدام در شرکتی، مدیر منابع انسانی شرکت از مهندس جوان صفر کیلومتر ام آی تی پرسید:

« برای شروع کار، حقوق مورد انتظار شما چیست؟»

مهندس گفت:

«حدود ۷۵۰۰۰ دلار در سال، بسته به اینکه چه مزایایی داده شود.»

مدیر منابع انسانی گفت:

«خب، نظر شما درباره ۵ هفته تعطیلی، ۱۴ روزتعطیلی با حقوق، بیمه کامل درمانی و حقوق بازنشستگی ویژه و خودروی شیک و مدل بالا چیست؟»

مهندس جوان از جا پرید و با تعجب پرسید:

«شوخی می‌کنید؟ »

مدیر منابع انسانی گفت:

«بله، اما یادت باشه اول تو شروع کردی»

[Cinderella 9,897]

عتیقه‌فروشی در روستایی به منزل رعیتی ساده وارد شد. دید کاسه‌ای نفیس و قدیمی دارد که در گوشه‌ای افتاده و گربه در آن آب می‌خورد. دید اگر قیمت کاسه را بپرسد رعیت ملتفت مطلب می‌شود و قیمت گرانی بر آن می‌نهد. لذا گفت: عموجان چه گربه قشنگی داری آیا حاضری آن را به من بفروشی؟ رعیت گفت: چند می‌خری؟ گفت: یک درهم. رعیت گربه را گرفت و به دست عتیقه‌فروش داد و گفت: خیرش را ببینی. عتیقه‌فروش پیش از خروج از خانه با خونسردی گفت: عموجان این گربه ممکن است در راه تشنه‌اش شود بهتر است کاسه آب را هم به من بفروشی. رعیت گفت: قربان من به این وسیله تا به حال پنج گربه فروخته‌ام. کاسه فروشی نیست.

 

هرگز فکر نکنید، همیشه بیش از دیگران می دانید

[Cinderella 9,897]

پسر کوچکی وارد مغازه ای شد، جعبه نوشابه را به سمت تلفن هل داد. بر روی جعبه رفت تا دستش به دکمه های تلفن برسد و شروع کرد به گرفتن شماره. مغازه دار متوجه پسر بود و به مکالماتش گوش می داد.

پسرک پرسید: «خانم، می توانم خواهش کنم کوتاه کردن چمن های حیاط خانه تان را به من بسپارید؟»

زن پاسخ داد: «کسی هست که این کار را برایم انجام می دهد.»

پسرک گفت: «خانم، من این کار را با نصف قیمتی که او می دهد انجام خواهم داد.»

زن در جوابش گفت که از کار این فرد کاملا راضی است.

پسرک بیشتر اصرار کرد و پیشنهاد داد: «خانم، من پیاده رو و جدول جلوی خانه را هم برایتان جارو می کنم. در این صورت شما در یکشنبه زیباترین چمن را در کل شهر خواهید داشت.» مجددا زن پاسخش منفی بود.

پسرک در حالی که لبخندی بر لب داشت، گوشی را گذاشت. مغازه دار که به صحبت های او گوش داده بود به سمتش رفت و گفت: «پسر…، از رفتارت خوشم آمد؛ به خاطر اینکه روحیه خاص و خوبی داری دوست دارم کاری به تو بدهم.»

پسر جوان جواب داد:

«نه ممنون، من فقط داشتم عملکردم را می سنجیدم. من همان کسی هستم که برای این خانم کار می کند.»

[Cinderella 9,897]

هر زمان شایعه ای روشنیدیدو یا خواستید شایعه ای را تکرار کنید این فلسفه را در ذهن خود داشته باشید!

در یونان باستان سقراط به دلیل خرد و درایت فراوانش مورد ستایش بود. روزی فیلسوف بزرگی که از آشنایان سقراط بود،با هیجان نزد او آمد و گفت:سقراط میدانی راجع به یکی ازشاگردانت چه شنیده ام؟ سقراط پاسخ داد:”لحظه ای صبر کن.قبل از اینکه به من چیزی بگویی از تومی خواهم آزمون کوچکی را که نامش سه پرسش است پاسخ دهی.”

مرد پرسید:سه پرسش؟سقراط گفت:بله درست است.قبل از اینکه راجع به شاگردم بامن صحبت کنی،لحظه ای آنچه را که قصدگفتنش را داری امتحان کنیم.

اولین پرسش حقیقت است.کاملا مطمئنی که آنچه را که می خواهی به من بگویی حقیقت دارد؟مرد جواب داد:”نه،فقط در موردش شنیده ام.”سقراط گفت:”بسیار خوب،پس واقعا نمیدانی که خبردرست است یا نادرست .

حالا بیا پرسش دوم را بگویم،”پرسش خوبی”آنچه را که در موردشاگردم می خواهی به من بگویی خبرخوبی است؟”مردپاسخ داد:”نه،برعکس…“سقراط ادامه داد:”پس می خواهی خبری بد در مورد شاگردم که حتی درموردآن مطمئن هم نیستی بگویی؟”مردکمی دستپاچه شد و شانه بالا انداخت سقراط ادامه داد:

“و اما پرسش سوم سودمند بودن است.آن چه را که می خواهی در مورد شاگردم به من بگویی برایم سودمند است؟”مرد پاسخ داد:”نه،واقعا…” سقراط نتیجه گیری کرد:”اگرمی خواهی به من چیزی رابگویی که نه حقیقت داردونه خوب است و نه حتی سودمند است پس چرا اصلا آن رابه من می گویی؟

[Cinderella 9,897]

مديریت منابع انسانی پیشرفته

 

 

• برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

  • ورود
  • یا
  • ثبت نام
  
  
• برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

  • ورود
  • یا
  • ثبت نام
  
  
• برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

  • ورود
  • یا
  • ثبت نام
  
  
• برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

  • ورود
  • یا
  • ثبت نام
  
  
• برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

  • ورود
  • یا
  • ثبت نام
  
  
• برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

  • ورود
  • یا
  • ثبت نام
  
  
• برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

  • ورود
  • یا
  • ثبت نام
  
  
• برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

  • ورود
  • یا
  • ثبت نام
  
  
• برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

  • ورود
  • یا
  • ثبت نام
  
  
• برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

  • ورود
  • یا
  • ثبت نام
  
  
• برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

  • ورود
  • یا
  • ثبت نام
  
  
• برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

  • ورود
  • یا
  • ثبت نام
  
  
• برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

  • ورود
  • یا
  • ثبت نام
  
  

منبع: وب سايت مديرتي ايران

[Cinderella 9,897]

استانداردهای امنیت

 

تهیه کننده: لطف اله علی پور

به علت حجم بالای مطالب ، در چند قسمت مطالب ارائه می شود.

مقدمه:

امنیت از دیرباز یکی از اجزای اصلی زیرساخت‌های فناوری اطلاعات به شمار می‌رفته است. تهدیدهای امنیتی تنها منحصر به تهدیدات الکترونیکی نیستند، بلکه هر شبکه باید از نظر فیزیکی نیز ایمن گردد. خطرات الکترونیکی غالباً شامل تهدیدات هکرها و نفوذگران خارجی و داخلی در شبکه‌ها می باشند. در حالی که امنیت فیزیکی شامل کنترل ورود و خروج پرسنل به سایت‌های شبکه و همچنین روال‌های سازمانی نیز هست. برای پیاده سازی امنیت در حوزه‌های فوق، علاوه بر ایمن‌سازی سخت‌افزاری شبکه، نیاز به تدوین سیاست‌های امنیتی در حوزه فناوری اطلاعات در یک سازمان نیز می باشد. در این راستا لازم است از روال‌های استانداردی استفاده شود که به واسطه آن‌ها بتوان ساختار یک سازمان را برای پیاده سازی فناوری اطلاعات ایمن نمود. استاندارد BS7799 که در این شماره قصد معرفی آن را داریم به چگونگی پیاده سازی امنیت در همه ابعاد در یک سازمان می پردازد.

آشنایی با مراحل طی شده در زمینه امنیت اطلاعات

امنیت اطلاعات دارای مراحل مختلفی بوده که در بازه های زمانی مختلف این مراحل با دیدگاه های خاص خودشان طی گردیده است. اولین مرحله که تا دهه ۸۰ میلادی به طول انجامید ، امنیت را فقط با دیدگاه فنی مشاهده می نمود و برقراری آن را منوط به امنیت کامپیوتر و دستگاه های جانبی می دانستند اما با گذشت زمان متوجه شدند که بیشتر تجاوزات امنیتی از طریق مسائلی همچون ضعف های مدیریتی (از لحاظ امنیتی ) و عوامل انسانی ( بدلیل ندیدن آموزش های امنیتی پرسنل سازمان مربوطه ) می باشد لذا از اواسط دهه ۸۰ میلادی تا اواسط دهه ۹۰ میلادی هم به طول انجامید ، بحث مدیریت امنیت اطلاعات مطرح شد که در آن امنیت اطلاعات را منوط به خط مشی امنیت اطلاعات و ساختار های سازمانی می دانستند اما در اواسط دهه ۹۰ میلادی این مرحله تکمیل تر گردید که آمیزه ای از دو مرحله قبلی و پارامترهای دیگری همچون تعریف استراتژی های امنیتی و خط مشی های امنیتی بر اساس نیاز های اصلی سازمان و مدیریت آن می باشد. این مرحله شامل مولفه هایی نظیر استاندارد سازی امنیت اطلاعات ، گواهینامه هیا بین المللی ، فرهنگ سازی امنیت اطلاعات در سازمان و پیاده سازی معیارهای ارزیابی دائمی و پویای امنیت اطلاعات می باشد که این مرحله هنوز ادامه دارد و در حال تکمیل شدن است

 

چگونگی روند رو به رشد استاندارد های امنیت

استانداردهای امنیت قابل تقسیم به دو گروه اصلی می باشند که گروه اول در رابطه با امنیت از لحاظ فنی، و گروه دوم در رابطه با امنیت از لحظ مدیریتی است. استانداردهای امنیتی فنی در زمینه هائی نظیر امضاء دیجیتال، رمزنگاری کلید عمومی، رمزنگاری متقارن، توابع درهم ساز، توابع رمزنگاری احراز اصالت پیام و غیره کاربرد دارند. گروه دوم که استانداردهای امنیتی مدیریتی می باشند، قسمت های مختلف مدیریت سازمان را در بر می گیرند. در حال حاضر مجموعه ای ا استانداردهای مدیریتی و فنی امنیت اطلاعات و ارتباطات، ارائه شده اند که استاندارد مدیریتی BS7799 موسسه استاندارد انگلیس، استاندارد مدیریتی ISO/IEC 17799 (نسخه جدید آن ISO/IEC 27001 می باشد) و گزارش فنی ISO/IEC TR 13335 موسسه بین المللی استاندارد، از برجسته ترین استانداردها و راهنماهای فنی محسوب می گردند . در این استانداردها، نکات زیر مورد توجه قرار گرفته است :

۱. تعیین مراحل ایمن سازی و نحوه شکل گیری چرخه امنیت

۲. جزئیات مراحل ایمن سازی و تکنیکهای فنی مورد استفاده در هر مرحله

 

1. لیست و محتوای طرحها و برنامه های امنیت اطلاعات مورد نیاز سازمان
   
2. ضرورت و جزئیات ایجاد تشکیلات سیاستگذاری، اجرائی و فنی تامین امنیت
   
3. کنترل های امنیتی موردنیاز برای هر یک از سیستم های اطلاعاتی و ارتباطی
   

استاندارد BS 7799

استاندارد BS7799 اولین استاندارد مدیریت امنیت است که توسط موسسه استاندارد انگلیس ارائه شده است. نسخه اول این استاندارد (BS7799-1) در سال ۱۹۹۵ و در یک بخش و با عنوانBS7799-1: Code of Practice for Information Security Management منتشر گردید. و نسخه دوم آن (BS7799-2) که در سال ۱۹۹۹ ارائه شد، علاوه بر تغییر نسبت به نسخه اول، متشکل از دو بخش مستقل ارائه گردید. هدف از تدوین این استاندارد ارائه پیشنهاداتی در زمینه مدیریت امنیت اطلاعات برای کسانی است که مسئول طراحی، پیاده سازی یا پشتیبانی مسائل امنیتی در یک سازمان می باشند. این استاندارد متشکل از ۳۵ هدف امنیتی و ۱۲۷ اقدام بازدارنده برای تامین اهداف تعیین شده می‌باشد که جزئیات و چگونگی‌ها را مطرح نمی کند بلکه سرفصل‌ها و موضوعات کلی را بیان می کند. طراحان استاندارد BS7799 اعتقاد دارند که در تدوین این استاندارد، ممکن است کنترل ها و راهکارهای مطرح شده برای همه سازمان ها قابل استفاده نباشد ویا نیاز به کنترلهای بیشتری باشد که این استاندارد، آنها را پوشش نداده است

 

در سال ۲۰۰۰ میلادی بخش اول استاندارد BS7799-2 بدون هیچگونه تغییری توسط موسسه بین المللی استاندارد بعنوان استاندارد ISO/IEC 17799 منتشر گردید. وشامل سر فصل های ذیل است:

 

• تدوین سیاست امنیتی سازمان
  
• تشکیلات امنیتی
  
• طبقه بندی سرمایه ها و تعیین کنترلهای لازم
  
• امنیت پرسنلی
  
• امنیت فیزیکی و پیرامونی
  
• مدیریت ارتباطات و بهره برداری
  
• کنترل دسترسی
  
• توسعه و پشتیبانی سیستم ها
  
• مدیریت تداوم فعالیت
  
• سازگاری
  

این استاندارد مجددا در سال ۲۰۰۲ میلادی بازنویسی و منتشر گردید. در سال ۲۰۰۵ دوباره این استاندارد بازنویسی و با دو نام BS ISO/IEC 17799:2005 و BS 7799-1:2005 در یک سند انتشاریافت. این نسخه متشکل از ۳۹ هدف امنیتی و ۱۳۴ اقدام بازدارنده است. تغییراتی که این استاندارد نسبت به استاندارد قبل آن کرده است عبارت است از:

الف- افزایش یافتن یک فصل جدید و تغیییر نمودن بعضی از فصول گذشته

ب- تغییر وحذف شدن بعضی از کنترلهای قدیمی و اضافه شدن ۱۷ کنترل جدید

ج- افزایش تعداد کنترل‌ها به ۱۳۴عدد

[Cinderella 9,897]

استانداردهای امنیت ، بخش دوم

تهیه کننده: لطف اله علی پور

نحوه عملکرد استاندارد bs 7799

در راستای تحقق دومین هدف پیدایش این استاندارد که به آن اشاره شد، یعنی کمک به کاربران سرفصل‌هایی برای نحوه پیاده سازی امنیت در یک سازمان که در حقیقت یک کاربر سیستم های امنیتی می باشد، تعیین شده است که عبارتند از:

‌ ● تعیین مراحل ایمن سازی و نحوه شکل گیری چرخه امنیت‌

● جزییات مراحل ایمن سازی و تکنیک‌های فنی مورد استفاده در هر مرحله‌

● لیست و محتوای طرح ها و برنامه های امنیت اطلاعات مورد نیاز سازمان‌

● ضرورت و جزییات ایجاد تشکیلات سیاستگذاری، اجرایی و فنی تامین امنیت‌

● کنترل‌های امنیتی مورد نیاز برای هر یک از سیستم های اطلاعاتی و ارتباطی‌

● تعریف سیاست‌های امنیت اطلاعات‌

● تعریف قلمرو سیستم مدیریت امنیت اطلاعات و مرزبندی آن متناسب با نوع نیازهای سازمان

● انجام و پذیرش برآورد مخاطرات، متناسب با نیازهای سازمان‌

● پیش بینی زمینه ها و نوع مخاطرات بر اساس سیاست‌های امنیتی تدوین شده‌

● انتخاب هدف‌های کنترل و کنترل‌های مناسب که قابل توجیه باشند، از لیست کنترل‌های همه جانبه

● تدوین دستور‌العمل های عملیاتی‌

 

 

 

مدیریت امنیت شبکه

‌

به منظور تعیین اهداف امنیت، ابتدا باید سرمایه‌های مرتبط با اطلاعات و ارتباطات سازمان، شناسایی شده و سپس اهداف تامین امنیت برای هریک از سرمایه‌ها، مشخص شود.‌سرمایه‌های مرتبط با شبکه سازمان عبارتند از: سخت افزار، نرم‌افزار، اطلاعات، ارتباطات، کاربران.

اهداف امنیتی سازمان‌ها باید به صورت کوتاه‌مدت و میان‌مدت تعیین گردد تا امکان تغییر آن‌ها متناسب با تغییرات تکنولوژی‌ها و استانداردهای امنیتی وجود داشته باشد. عمده اهداف کوتاه مدت در خصوص پیاده‌سازی امنیت در یک سازمان عبارتند از:

- جلوگیری از حملات و دسترسی‌های غیرمجاز علیه سرمایه های شبکه‌

- مهار خسارت‌های ناشی از ناامنی موجود در شبکه‌

- کاهش رخنه پذیری‌

 

 

اهداف میان‌مدت نیز عمدتاً عبارتند از:

 

 

• تامین صحت عملکرد، قابلیت دسترسی برای نرم‌افزارها و سخت‌افزارها و محافظت فیزیکی صرفاً برای سخت افزارها
  

 

 

• تامین محرمانگی، صحت و قابلیت دسترسی برای ارتباطات و اطلاعات متناسب با طبقه بندی آن‌ها از حیث محرمانگی و حساسیت‌
  

 

 

• تامین قابلیت تشخیص هویت، حدود اختیارات و پاسخگویی، حریم خصوصی و آگاهی‌رسانی امنیتی برای کاربران شبکه، متناسب با طبقه‌بندی اطلاعات قابل دسترس و نوع کاربران‌
  

 

 

 

 

 

استاندارد bs7799 دارای ۱۰ گروه کنترلی می باشد که هرگروه شامل چندین کنترل زیرمجموعه است بنابراین در کل ۱۲۷ کنترل برای داشتن سیستم مدیریت امنیت اطلاعات مدنظر قراردارد. این ده گروه کنترلی عبارتند از :

 

 

• ۱.تدوین سیاست امنیتی سازمان: در این قسمت، به ضرورت تدوین و انتشار سیاست های امنیتی اطلاعات و ار تباطات سازمان ، بنحوی که کلیه مخاطبین سیاست ها در جریان جزئیات آن قرار گیرند، تاکید شده است . همچنین جزئیات و نحوه نگارش سیاست های امنیتی اطلاعات و ارتباطات سازمان، ارائه شده است.
  

 

 

• ۲-ایجاد تشکیلات تامین امنیت سازمان:در این قسمت، ضمن تشریح ضرورت ایجاد تشکیلات امنیت اطلاعات و ارتباطات سازمان، جزئیات این تشکیلات در سطوح سیاستگذاری، اجرائی و فنی به همراه مسئولیت های هر یک از سطوح، ارائه شده است.
  

 

 

• -۳ دسته بندی سرمایه ها و تعیین کنترل های لازم : در این قسمت، ضمن تشریح ضرورت دسته بندی اطلاعات سازمان، به جزئ یات تدوین راهنمای دسته بندی اطلاعات سازمان پرداخته و محورهای دسته بندی اطلاعات را ارائه نموده است.
  

 

 

 

 

 

• -۴ امنیت پرسنلی : در این قسمت، ضمن اشاره به ضرورت رعایت ملاحظات امنیتی در بکارگیری پرسنل، ضرورت آموزش پرسنل در زمینه امنیت اطلاعات و ارتباطات، مطرح شده و لیستی ازمسئولیت های پرسنل در پروسه تامین امنیت اطلاعات و ارتباطات سازمان، ارائه شده است.
  

 

 

• ۵.امنیت فیزیکی و پیرامونی : این قسمت، اهمیت و ابعاد امنیت فیزیکی، جزئیات محافظت از تجهیزات و کنترلهای موردنیاز برای این منظور، ارائه شده است.
  
• ۶. مدیریت ارتباطات: در این قسمت، ضرورت و جزئیات روالهای اجرائی موردنیاز، بمنظور تعیین مسئولیت هریک از پرسنل، روالهای مربوط به سفارش، خرید، تست و آموزش سیستم ها، محافظت درمقابل نرم افزارهای مخرب، اقدامات موردنیاز در خصوص ثبت وقایع و پشتیبان گیری ازاطلاعات، مدیریت شبکه، محافظت از رسانه ها و مسئولیت های مربوط به درخواست، تحویل، تست و سایر موارد تغییر نرم افزارها ارائه شده است.
  

 

 

 

 

 

• -۷ کنترل دسترسی: در این قسمت، نیازمندیهای کنترل دسترسی، نحوه مدیریت دسترسی پرسنل،مسئولیت های کاربران، ابزارها و مکانیزم های کنترل دسترسی در شبکه، کنترل دسترسی در سیستم عاملها و نرم افزارهای کاربردی، استفاده از سیستم های مانیتورینگ و کنترل دسترسی در ارتباط از راه دور به شبکه ارائه شده است.
  
• -۸ نگهداری و توسعه سیستم ها : در این قسمت، ضرورت تعیین نیازمندیهای امنیتی سیستم ها، امنیت د ر سیستم های کاربردی، کنترلهای رمزنگاری، محافظت از فایلهای سیستم و ملاحظات امنیتی موردنیازدر توسعه و پشتیبانی سیستم ها، ارائه شده است.
  

 

 

• -۹ مدیریت تداوم فعالیت سازمان : در این قسمت، رویه های مدیریت تداوم فعالیت، نقش تحلیل ضربه در تداوم فعالیت، طراحی و تدو ین طرح های تداوم فعالیت، قالب پیشنهادی برای طرح تداوم فعالیت سازمان و طرح های تست، پشتیبانی و ارزیابی مجدد تداوم فعالیت سازمان، ارائه شده است.
  

 

 

• -۱۰ پاسخگوئی به نیازهای امنیتی : در این قسمت، مقررات موردنیاز در خصوص پاسخگوئی به نیازهای امنیتی، سیاست های امنیتی موردنیاز و ابزارها و مکانیزم های بازرسی امنیتی سیستم ها، ارائه شده است.
  

 

 

 

تهدیدهای امنیتی

تهدیدهای بالقوه برای امنیت شبکه‌های کامپیوتری به صورت عمده عبارتند از:

● فاش شدن غیرمجاز اطلاعات در نتیجه استراق‌سمع داده‌ها یا پیام‌های در حال مبادله روی شبکه‌

● قطع ارتباط و اختلال در شبکه به واسطه یک اقدام خرابکارانه‌

● تغییر و دستکاری غیر مجاز اطلاعات یا یک پیغام ارسال‌شده برای جلوگیری از این صدمات باید سرویس‌های امنیتی زیر در شبکه‌های کامپیوتری ارائه شود و زمانی که یکی از سرویس‌های امنیتی نقص شود بایستی تمامی تدابیر امنیتی لازم برای کشف و جلوگیری رخنه در نظر گرفته شود:

● محرمانه ماندن اطلاعات‌

● احراز هویت فرستنده پیغام‌

● سلامت داده‌ها در طی انتقال یا نگهداری‌

● کنترل دسترسی و امکان منع افرادی که برای دسترسی به شبکه قابل اعتماد نمی باشد.

● در دسترس بودن تمام امکانات شبکه برای افراد مجاز و عدم امکان اختلال در دسترسی‌

 

 

 

 

 

 

 

 

 

فوائد استاندارد

bs7799 و لزوم پیاده سازی

 

استاندارد bs7799 قالبی مطمئن برای داشتن یک سیستم مورد اطمینان امنیتی می باشد. در زیر به تعدادی از فوائد پیاده سازی این استاندارد اشاره شده است:

 

- اطمینان از تداوم تجارت و کاهش صدمات توسط ایمن ساختن اطلاعات و کاهش تهدیدها

- اطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از داده ها

- قابل اطمینان کردن تصمیم گیری ها و محک زدن سیستم مدیریت امنیت اطلاعات

- ایجاد اطمینان نزد مشتریان و شرکای تجاری

- امکان رقابت بهتر با سایر شرکت ها

– ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات

- بخاطر مشکلات امنیتی اطلاعات و ایده های خود را در خارج سازمان پنهان نسازید

 

در حال حاضر، مجموعه‌ای از استانداردهای مدیریتی و فنی ایمن‌سازی فضای تبادل اطلاعات سازمان‌ها ارائه شده‌اند که استاندارد مدیریتی bs7799 موسسه استاندارد انگلیس، استاندارد مدیریتی iso/iec 17799 موسسه بین‌المللی استاندارد و گزارش فنی iso/iec tr 13335 موسسه بین‌المللی استاندارد از برجسته‌ترین استانداردها و راهنماهای فنی در این زمینه محسوب می‌گردند.

 

در این استانداردها، نکات زیر مورد توجه قرار گرفته شده است:

 

۱ - تعیین مراحل ایمن‌سازی و نحوه شکل‌گیری چرخه امنیت اطلاعات و ارتباطات سازمان

۲ - جرئیات مراحل ایمن‌سازی و تکنیکهای فنی مورد استفاده در هر مرحله

۳ - لیست و محتوای طرح‌ها و برنامه‌های امنیتی موردنیاز سازمان

۴ - ضرورت و جزئیات ایجاد تشکیلات سیاستگذاری، اجرائی و فنی تامین امنیت اطلاعات و ارتباطات

سازمان

۵ - کنترل‌های امنیتی موردنیاز برای هر یک از سیستم‌های اطلاعاتی و ارتباطی سازمان

[Cinderella 9,897]

استاندارد ایزو ۲۷۰۰۱

استاندارد ISO 27001 (نسخه به روز BS7799) یا به عبارتی همان استاندارد ISO/IEC 17799 می باشد ،نکته قابل اشاره در این زمینه همسانی این استاندارد با استاندارد ISO9000 می‌باشد. قسمت سوم استاندارد BS7799 در حقیقت توسعه سیستم ISMS می‌باشد. درست مانند تغییرات ایجاد شده در استاندارد ISO9004.

استاندارد ISO 27001 استانداردی یکپارچه می باشد که در قسمت بعد از این ارائه به توضیح کامل بندهای آن می پردازیم .

سازمان بین المللی استانداردISO)

international organization for standardization

محل آن درکشور سوئیس شهر ژنو

تحت پوشش سازمان ملل یاصندوق بین المللی پول نیست

سازمانی مستقل واعضای آن از۱۴۶کشور تشکیل شده است

وظیفه آن تدوین استاندارد می باشد

فعالیتهای ممیزی وصدور گواهینامه راانجام نمی دهد

باتوجه به نیازهای جهانی تغییر می کند.

تولداستانداردمدیریت امنیت اطلاعات

استاندارد ISO/IEC 27001توسط کمیته فنی مشترک ISO/IEC JTC 1 (فناوری اطلاعات ،زیر کمیته SC 27 ،فنون امنیتی فناوری اطلاعات )تهیه شده است. ودرسال ۲۰۰۵ موردبازنگری قرارگرفت

مزایای استقرار استاندارد ایزو ۲۷۰۰۱

 

• اطمینان از تداوم تجارت و کاهش صدمات توسط ایمن ساختن اطلاعات و کاهش تهدیدها
  
• اطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از داده ها
  

 

• -قابل اطمینان کردن تصمیم گیری ها و محک زدن سیستم مدیریت امنیت اطلاعات
  

 

• ایجاد اطمینان نزد مشتریان و شرکای تجاری
  
• امکان رقابت بهتر با سایر شرکت ها
  

 

• ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات
  

 

• بخاطر مشکلات امنیتی اطلاعات و ایده های خود را در خارج سازمان پنهان نسازید
  

۴- الزامات سیستم مدیریت امنیت اطلاعات

Information security management system requirements

4-1-الزامات کلی

سازمان باید یک سیستم مدیریت امنیت اطلاعات رامطابق باالزامات این استاندارد بین المللی درچارچوب تمامی فعالیتهای کلان کسب وکار سازمان ومخاطراتی که با آن مواجه است ایجاد، مستند ،مستقرونگهداری نمایدوبطورمستمربهبوددهدوچگونگی تحقق این الزامات رانیز مشخص نماید

 

۴-۲ ایجاد ومدیریت سیستم امنیت اطلاعات

Establishing and managing the ISMS

سازمان باید موارد زیر را انجام دهد :

الف) سازمان باید دامنه کاربرد ومرزهای سیستم امنیت اطلاعات خودرا بر مبنای ویژگیهای کسب وکار ،سازمان ،مکان ،دارائی ها و فناوری آن تعریف ومدون نماید و مشتمل برجزئیات وتوجیه برای کناره گذاری هر چیزی از دامنه

ب ) مدیریت رده بالا باید خط مشی سیستم امنیت اطلاعات بر مبنای ویژگی های کسب و کار ،سازمان ،مکان ،دارائی ها و فناوری آن تعریف که:

۱) مشتمل بر چارچوبی برای تعیین اهداف وایجاد یک درک کلان از مسیر و مبانی برای اقدام با توجه به امنیت اطلاعات .

۲) در بر گیرنده کسب وکار ،الزامات قانونی یا آیین نامه و تعهدات امنیتی قراردادی باشد.

۳)با مفاد مدیریت مخاطرات راهبردی سازمان که درایجاد و نگهداری سیستم مدیریت امنیت اطلاعات لحاظ خواهد شد ،هماهنگ شود .

۴) معیاری ایجاد کند که مطابق آن مخاطرات ارزیابی خواهند شد .

۵) توسط مدیریت تصویب شود

ج ) تعریف رویکرد برآورد سازی مخاطرات سازمان

 

۱)شناسایی یک متدولوژی بر آورد مخاطرات متناسب

۲)ایجاد معیاری برای پذیرش مخاطرات وشناسایی سطوح قابل قبول

 

د )شناسایی مخاطرات

 

۱)شناسایی دارائی های واقع دردامنه سیستم

۲)شناسایی تهدیدهای بالقوه وبالفعل متوجه دارائی ها

۳)شناسایی آسیبهای بالقوه و بالفعل حاصل از تهدیدها

۴)شناسایی آسیبهای حاصل از عدم رعایت امنیت ،محرمانگی ،یکپارچگی

۵) تحلیل و ارزیابی مخاطرات

۱) برآورد تاثیرات کسب و کار که حاصل از عدم رعایت سیستم امنیت اطلاعات

۲) برآورد واقع گرایانه احتمال بروز نقیصه های امنیتی ، با در نظر گرفتن تهدید ها و آسیب های امنیتی

۳) تخمین سطوح مخاطرات

۴) مقایسه این مخاطرات با معیارهای پذیرش و تعیین این که در حد قابل قبول هستند یا نیاز به اقدامات اصلاحی دارند

و) شناسایی و ارزیابی گزینه هایی برای برطرف سازی مخاطرات:

 

۱)به کار گیری کنترلهای مناسب

۲)پذیرش مخاطرات به صورت آگاهانه وهدفمند

۳)اجتناب از مخاطرات

۴)انتقال مخاطرات کسب و کاربه طرف های دیگر

ز)گزینش اهداف کنترلی و کنترل هایی به منظور برطرف سازی مخاطرات:

 

ح)دریافت مصوبه مدیریت برای مخاطرات باقیمانده پیشنهادی

 

ط)دریافت مجوز مدیریت برای پیاده سازی واجرای سیستم مدیریت امنیت اطلاعات

 

ی)تهیه بیانیه کاربست که شامل موارد زیر باشد:

۱-اهداف کنترلی برگزیده و دلایل انتخاب آنها

۲-اهداف کنترلی وکنترلهایی که در حال حاضرپیاده سازی شده اند

۳-کناره گذاری هریک از اهداف کنترلی وتوجیه کناره گذاری آنها

۴-۲-۲-پیاده سازی واجرای سیستم مدیریت امنیت اطلاعات

 

سازمان باید موارد زیر را انجام دهد

 

الف )قاعده مند کردن یک طرح برطرف سازس مخاطرات ،به منظور مدیریت کردن مخاطرات امنیت اطلاعات ،که اقدام مدیریتی مناسب ،منابع ،مسئولیت ها واولویت ها را شناسایی کند

ب )پیاده سازی طرح طرح برطرف سازی مخاطرات به منظور دستیابی به اهداف کنترلی شناسایی شده،که دربرگیرنده ملاحظات مالی وتخصیص نقش ها ومسئولیت ها باشد

ج) پیاده سازی کنترل های برگزیده شده به منظور برآورده سازی اهداف کنترلی

د)تعریف چگونگی سنجش اثربخشی کنترل ها وارائه نتایج قابل قیاس وتجدید پذیر بعد از تعیین برآورداثربخشی کنترل ها

یادآوری :اندازه گیری اثربخشی کنترل ها ،به مدیران وکارکنان اجازه می دهد تا تعیین کند که کنترل ها،تاچه اندازه اهداف کنترلی طرح ریزی شده را حاصل می نمایند.

 

ه)پیاده سازی برنامه های آموزشی وآگاه سازی

و)مدیریت عملیات سیستم مدیریت امنیت اطلاعات

ز)مدیریت منابع برای سیستم مدیریت امنیت اطلاعات

ح)پیاده سازی روش های اجرایی ودیگرکنترل ها که قادر به توانمند ساختن آشکارسازی سریع وقایع امنیتی وپاسخ دهی به حوادث امنیتی باشد .

۴-۲-۳-پایش وبازنگری سیستم مدیریت امنیت اطلاعات

 

سازمان باید موارد زیر را انجام دهد:

 

الف )اجرای روش های اجرایی پایش و دیگر کنترل ها به منظور:

۱)تشخیص سریع خطاها در نتایج پردازش ها

۲)شناسایی سریع نقص هاوحوادث امنیتی موفق ونا تمام

۳)قادر ساختن مدیریت به اطمینان اجرای فعالیتها آنگونه که انتظارمی رود

۴)کمک درتشخیص وقایع امنیتی واز آن طریق ،پیشگیری از حوادث امنیتی بوسیله استفاده از نشانگرها

۵)تعیین اثربخشی اقدامات صورت گرفته برای رفع نقایص امنیتی

ب) تعهدبازنگری قاعده منداثربخشی سیستم مدیریت امنیت اطلاعات با توجه به نتایج ممیزیهای امنیتی ، نتایج انداره گیریهای اثر بخشی ، حوادث ، پیشنهادها و بازخوردهای تمامی طرفهای ذینفع

ج ) سنجش اثربخشی کنترلها بمنظورتصدیق اینکه الزامات امنیتی براورده شده اند

د) بازنگری براوردهای مخاطرات در فواصل زمانی طرح ریزی شده و بازنگری مخاطرات باقیمانده و شناسایی سطح قابل قبول مخاطرات با توجه به تغییرات در :

۱ )سازمان

 

۲)فناوری

۴-۲-۴-نگهداری وبهبود سیستم مدیریت امنیت اطلاعات

 

سازمان بایستی به صورت منظم موارد ذیل راانجام دهد

 

الف)پیاده سازی بهبودهای شناسایی شده درسیستم مدیریت امنیت اطلاعات

ب)انجام اقدامات اصلاحی وپیشگیرانه مناسب

ج) انتقال اطلاعات مربوط به اقدامات وبهبودها،به تمامی طرفهای ذینفع وتوافق در مورد چگونگی ادامه کار

د)اطمینان از اینکه بهبودها،اهداف موردنظرشان را حاصل می کنند

۳)اهداف و فرایندهای کسب و کار

۴)تهدیدهای شناسایی شده

۵)اثربخشی کنترل های پیاده سازی شده

۶)رویدادهای برونی همانند تغییرات در فضای قانونی یا آیین نامه ای و شرایط اجتماعی وتغییر در تعهدات قراردادی

ه)انجام ممیزی های داخلی سیستم مدیریت امنیت اطلاعات درفواصل زمانی طرح ریزی شده

و)تعهد به بازنگری مدیریت قاعده مند سیستم مدیریت امنیت اطلاعات

ز)بروزرسانی طرحهای امنیتی باتوجه به نتایج پایش وبازنگری

ح)ثبت اقدامات ووقایع اثربخش وکارا بر سیستم مدیریت امنیت

[Cinderella 9,897]

گزیده: وقتى سطح پیچیدگى هاى سازمان از توان مدیریت آن بالاتر مى رود باید بگونه اى به مدیریت کمک کرد تا بتواند این پیچیدگى را مهار کند. براى مثال مى توان تعداد مدیران میانى را افزایش داد تا آنها سازمان را پایش کنند.

power point

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

• ورود
• یا
• ثبت نام

 

 

منبع: وب سايت مديريتي ايران

[Cinderella 9,897]

کشاورزی الاغ پیری داشت که روزی به داخل یک چاه بدون آب افتاد .

کشاورز هر چه سعی کرد نتوانست الاغ را از چاه بیرون بیاورد. مردم روستا و کشاورز برای آنکه حیوان بیچاره زیاد زجر نکشد، تصمیم گرفتند چاه را با خاک پر کنند تا الاغ زود تر بمیرد و سختی زیادی را تحمل نکند .

مردم با سطل و بیل ، روی سر الاغ خاک می ریختند. اما الاغ هر بار خاکهای روی بدنش را می تکاند و زیر پایش می ریخت و وقتی خاک زیر پایش بالا می آمد سعی می کرد روی خاکها بایستد. روستایی ها همینطور به زنده به گور کردن الاغ بیچاره ادامه دادند و الاغ هم همینطور به بالا آمدن ادامه داد تا اینکه به لبه چاه رسید و بیرون آمد.

پند ها :

 

• تهدیدات در هر سزمانی وجود دارد که بایست راه مقابله و بیرون آمدن از آن ها را پیدا نمود .
  
• گاهی اوقات راه های نابودی سازمان (ادغام ، انحلال ، واگذاری و …) همان راه نجات سازمان می باشد .
  

 

• تهدیدات را می توان به فرصتی برای تجدد حیات تبدیل نمود .
  
• مشکلات زندگی مثل تلی از خاک بر سر ما میریزند و ما مثل همیشه دو اتنخاب داریم. اول اینکه اجازه بدهیم مشکلات ما را زنده به گور کنند و دوم اینکه از مشکلات سکویی بسازیم برای صعود.
  
• الاغ در روبرو شدن با یک مشکل، به شکل ظاهری آن که تهدید بود توجه نکرد بلکه با رویکرد متفاوت جنبه فرصت آن را یافت و از آن بهره برد.
  
• از تمام منابع ، حتی منابعی که سبب نابودی ما را فراهم می آورند (در اینجا خاک) باید برای بقا و ارتقای خود و سازمان استفاده نمود.
  
• خلاقیت و نوآوری حتی در بحرانی ترین شرایط کارساز می باشد .
  
• در بحران و مدیریت آن از منابع به طور احسنت استفاده نمایید .
  

منبع: وب سايت مديريتي ايران

[Cinderella 9,897]

حکایت :

مردی در کنار رودخانه‌ای ایستاده بود. ناگهان صدای فریادی را می‌شنود و متوجه می‌شود که کسی در حال غرق شدن است. فوراً به آب می‌پرد و او را نجات می‌دهد. اما پیش از آن که نفسی تازه کند فریادهای دیگری را می‌شنود و باز به آب می‌پرد و دو نفر دیگر را نجات می‌دهد. اما پیش از این که حالش جا بیاید صدای چهار نفر دیگر را که کمک می‌خواهند می‌شنود. او تمام روز را صرف نجات افرادی می‌کند که در چنگال امواج خروشان گرفتار شده‌اند غافل از این که چند قدمی بالاتر دیوانه‌ای مردم را یکی یکی به رودخانه می‌انداخت.

تحلیل مدیریتی :

برخی مدیران و سازمانها این گونه عمل می‌کنند. در این سازمانها به جای درمان ریشه، به کندن برگ های زرد رغبت بیشتری نشان داده می‌شود. به عبارت دیگر به جای علت یابی و رفع مشکلات، صرفاً به اصلاح آنها می‌پردازند. آیا بهتر نیست ضمن چاره‌جویی برای عوارض و مسائل پیش‌آمده، بر روی علل هم تأثیر گذاشت تا مسئله به طور همه جانبه حل شده و از اتلاف سرمایه ها و منابع با ارزش جلوگیری شود؟

[Cinderella 9,897]

هنگامی ‌که ناسا برنامه فرستادن فضانوردان به فضا را آغاز کرد، با مشکل کوچکی روبرو شد. آنها دریافتند که خودکارهای موجود در فضای بدون ‌جاذبه کار نمی‌کنند. (جوهر خودکار به سمت پایین جریان نمی‌یابد و روی سطح کاغذ نمی‌ریزد.) برای حل این مشکل آنها شرکت مشاورین اندرسون را انتخاب‌کردند. تحقیقات بیش‌از یک دهه طول‌کشید، ۱۲میلیون دلار صرف شد و در نهایت آنها خودکاری طراحی کردند که در محیط بدون جاذبه می‌نوشت، زیر آب کار می‌کرد، روی هر سطحی حتی کریستال می‌نوشت و از دمای زیرصفر تا ۳۰۰ درجه‌ سانتیگراد کار می‌کرد.

روس‌ها راه‌حل ساده‌تری داشتند: آنها از مداد استفاده کردند!

شرح حکایت

 

• این داستان مصداقی برای مقایسه دو روش در حل مسئله است: تمرکز روی مشکل(نوشتن در فضا) یا تمرکز روی راه‌حل(نوشتن در فضا با خودکار).
  

 

• به مسائل ساده نگاه کنید .
  
• ارزش تحقیقات ، کشف و اختراع غیر قابل اندازی گیری است .
  
• مهندسی مجدد را فراموش نکنید .
  
• بر روی مسائل و مشکلات ابتدا تفکر نموده و در پی راه حل در آیید ، در صورت عدم توانایی برای حل مسئله از دیگران و یافته هایشان کمک بگیرید .زیرا ممکن است بهترین راهی هنوز وجود داشته باشد .