اخبار

چتر امنیت بر روی اطلاعات شرکت پتروشیمی فجر

چتر امنیت بر روی اطلاعات شرکت پتروشیمی فجر
امنیت صد در صد در سیستمی ممکن است بدست آید که آن سیستم خاموش باشد، از برق کشیده شده باشد، اطراف آن محافظ فیزیکی باشد، آن محافظ داخل حفاظ سیمانی باشد و این مجموعه را درون لایه‌ای از آتش قرار دهید؛ تازه آنوقت هم نمی‌توان از امنیت اطلاعات آن سیستم رایانه کاملا مطمئن بود.

روابط عمومی شرکت پتروشیمی فجر در هر دوره از فعالیت ماهانه خود سعی دارد با یکی از روسای امور شرکت در زمینه‌های مختلف شغلی مصاحبه کند. در همین راستا در دفتر مهندس مرتضی رحیمی، رئیس برنامه ریزی و فن آوری اطلاعات حاضر شدیم تا به بهانه دریافت گواهی ملی مدیریت امنیت اطلاعات با ایشان گفت‌و‌گویی داشته باشیم.

مهندس رحیمی لیسانس مهندس الکترونیک و فوق لیسانس مهندسی فن آوری اطلاعات مدیریت در سال 1377 با کارآموزی در شرکت پتروشیمی رازی آغاز بکار کرده است و پس از گذراندن مشاغلی چون مهندس تعمیرات ابزار دقیق، کار‌شناس اداره مهندسی کار‌شناس ارشد ابزار دقیق در رازی، از سال 1387 همکاری خود را با فجر آغاز کرد.

سید مرتضی رحیمی پس از ورود به شرکت فجر، ابتدا به عنوان کار‌شناس و سپس به عنوان مدیر پروژه واحد هوای طرح توسعه پتروشیمی فجر مشغول به کار شد. وی که پیش از سال 93 به صورت جسته گریخته در واحد برنامه ریزی و اطلاعات مدیریت همکاری داشت، از ابتدای سال 94 تاکنون به عنوان رئیس این واحد در حال انجام خدمت است.

ISMS در واقع یک استاندارد بر مبنای ایزو است که با شماره 27001 از سری 27000 به عنوان استاندارد شاخص در زمینه امنیت اطلاعات شناخته می‌شود و نگاه غالب آن به اینگونه است که اطلاعات را به عنوان سرمایه شرکت تلقی می‌کند.

این استاندارد سرمایه اطلاعاتی را به عنوان زیر ساخت هر سازمان در نظر می‌گیرد و راهکار‌ها و دستورالعملهای جهانی که ارائه می‌دهد، برای حفظ سرمایه اطلاعاتی است.

محافظت از سرمایه‌های اطلاعاتی هر شرکت برپایه یک مثلث صورت می‌گیرد؛ حفظ محرمانگی، حفظ صحت و دقت و دسترسی پذیری توسط کسانی که به اطلاعات نیاز دارند سه ضلع این مثلث را تشکیل می‌دهند.

مطابق این استاندارد، اضلاع سه گانه ISMS باید به صورت یک سیستم متوازن در کنار هم قرار گیرند به طوری که هیچکدام از این عناصر نه باید آنچنان سخت گرفته شوند که قواعد دیگر را محدود کند و نه آنچنان کم اهمیت که کارایی خود را از دست دهد و سیستم از هم بگسلد. در واقع صحت، سرعت و امنیت سه اصل جدایی ناپذیر و متوازن استاندارد مدیریت امنیت اطلاعات (ISMS) هستند.

پایه سیستم امنیت اطلاعات، مدیریت ریسک در محیط فن آوری اطلاعات است و در فضای فن آوری اطلاعات فجر هم در ابتدای امر پلان ریسکهای امنیت اطلاعات بررسی و برای رفع 90 ریسک شناسایی شده برنامه ریزی لازم انجام و اجرا شد. این برنامه‌های بهبود توسط سازمانی ذیصلاح مورد ممیزی قرار گرفت و شرکت پتروشیمی فجر در این ارزیابی سربلند خارج شد و توانست گواهینامه ISMS را دریافت کند.

شرکت پتروشیمی فجر کماکان برای تمامی ریسکهای خود برنامه رفع دارد و بازنگری لیست ریسکهای خود را نیز به صورت دوره‌ای توسط کمیته‌های سه گانه‌ای در دست اجرا دارد.

هر استانداردی قصد دارد فعالیت‌ها را روشمند کند. روشهای کاری تمامی کارکنان شرکت مشخص است و براساس‌‌ همان تعاریف فرایندهای مرتبط شرکت را براساس استاندارد به روز رسانی کردیم.

 خوشبختانه این امر باعث شد که رفتار فردی کارکنان هم دچار تغییرات مثبت شد. اکنون هر کدام از افراد شاغل در فناوری اطلاعات شرکت ما برنامه کاری دارند و شاخص‌های تعریف شده، میزان و نحوه عملکرد مثبت آن‌ها را به نمایش خواهد گذارد.

قصد اجرای این استاندارد از حدود یک سال و نیم پیش در واحد برنامه ریزی و اطلاعات مدیریت وجود داشت و خوشبختانه شرکت پتروشیمی فجر اولین شرکت صنعت نفت است که در حوزه ملی این استاندارد را پیاده سازی کرده است.

این استاندارد پس از یک دوره ممیزی داخلی و یک ممیزی خارجی بدون هیچ اشکال ماژور در تیرماه 97 موفق به دریافت گواهینامه 27001 شدیم. علاوه بر این ما نسبت به انجام تست نفوذ در یک لایه اقدام کردیم و در آن نیز سربلند بیرون آمدیم. لازم به ذکر است که در این استاندارد تست نفوذ الزام نیست و این کار به صورت داوطلبانه انجام شد.

ممکن است برخی همکاران ما حوزه ISMS را صرفا محدود به فن آوری اطلاعات ببینند در حالی که طبق تعریف، ISMS به هیچ وجه در حوزه IT خلاصه نمی‌شود. در هر مکان، اداره، امور و واحدی که نوعی از اطلاعات وجود داشته باشد الزامات ISMS در آنجا اجرا می‌شوند و می‌تواند در آن زمینه به شما راهکار دهد.

رفتار صحیح با سرمایه اطلاعاتی سازمان در ISMS تعریف شده است. در حال حاضر ما صرفا در سطح راهبری فن آوری اطلاعات وارد عمل شده‌ایم که عمده‌ترین بخشی است که اطلاعات در آن وجود دارند. بخش عمده کار در سطح مجتمع است که بایستی با انجام طیف وسیعی از اقدامات از جمله فرهنگ سازی آن را پیاده سازی کرد.

سه کمیته راهبری ISMS، کمیته تغییرات و کمیته برخورد با حوادث امنیت اطلاعات سه کمیته استاندارد مدیریت امنیت اطلاعات در شرکت پتروشیمی فجر را تشکیل می‌دهند.

برای ورود به توضیحات بخش IT باید ابتدا از تعریف آن شروع کنم: IT به هیچ وجه به معنی کامپیو‌تر و شبکه نیست در حالی که فن آوری اطلاعات فرا‌تر از اینهاست. کامپیو‌تر و شبکه ابزار کار ماست. خیلی علاقمندیم که نگاه به کار ما به همین صورت تغییر کند. همکاران بنده در IT علاقه دارند که سرویسی که همکاران از ما انتظار دارند سرویس فن آوری اطلاعات باشد چرا که سرویس خدمات کامپیوتری تنها بخشی از کار ماست.

اما در خصوص زیرساخت‌ها باید گفت که روشهای کاری که اخیرا پیش گرفته‌ایم و مهم‌ترین آن مسئله استاندارد سازی کارهاست که‌‌ همان باعث شد تعدادی پروژه تعریف شود؛ اولین پروژه گرفتن گواهینامه استاندارد بود که به حمدالله در مرحله نخست به اتمام رسید. این پروژه به نوبه خود منجر به تعریف چندین پروژه دیگر شد.

جاری سازی مدیریت دانش و قدرتمند سازی سیستم امنیت اطلاعات به لحاظ فیزیکی، که این پروژه باعث شد ساختار فیزیکی شبکه شرکت را تغییر دهیم. تغییر زیرساخت شبکه بایستی در شرایطی اجرا می‌شد که هیچ سیستمی خاموش نمی‌شد و هیچکدام از سرویسهای شرکت معلق نمی‌ماند که خوشبختانه در حال حاضر با قوت در جریان است.

سرورهای مجازی با کارایی و ظرفیت بسیار بالا‌تر تا پایان تابستان در سرویس خواهند بود و همچنین تمامی سیستم ذخیره سازی شرکت در یک فضای چند برابر با سرعت و قابلیت اعتماد بالا در اختیار کاربران خواهد بود.

باید خاطر نشان کرد که تمامی این تغییرات در شرکت با سرمایه گذاری بالغ بر 5 میلیارد ریال انجام شده است.

۱۹ دی ۱۳۹۴ ۰۰:۰۰
تعداد بازدید : ۲۰
کد خبر : ۲۸۶

نظرات بینندگان

تعداد کاراکتر باقیمانده: 500
نظر خود را وارد کنید