امنیت کنترل تضمین سیستم های مدیریت دانش
امنیت کنترل تضمین سیستم های مدیریت دانش – ایران ترجمه – Irantarjomeh
مقالات ترجمه شده آماده گروه مدیریت – بازرگانی
مقالات ترجمه شده آماده کل گروه های دانشگاهی
مقالات
قیمت
قیمت این مقاله: 58000 تومان (ایران ترجمه - Irantarjomeh)
توضیح
بخش زیادی از این مقاله بصورت رایگان ذیلا قابل مطالعه می باشد.
امنیت کنترل تضمین سیستم های مدیریت دانش
شماره | ۲۰۵ |
کد مقاله | MNG205 |
مترجم | گروه مترجمین ایران ترجمه – irantarjomeh |
نام فارسی | کتاب مدیریت دانش – فصل ۲۵ . چارچوبی برای امنیت، کنترل و تضمین سیستم های مدیریت دانش |
نام انگلیسی | Handbook on Knowledge Management – CHAPTER 25: A Framework for Security, Control and Assurance of Knowledge Management Systems |
تعداد صفحه به فارسی | ۵۵ |
تعداد صفحه به انگلیسی | ۲۹ |
کلمات کلیدی به فارسی | مدیریت دانش, کنترل, امنیت, حسابرسی, اطمینان بخشی, حریم خصوصی |
کلمات کلیدی به انگلیسی | Knowledge Management, Security, Control, Audit, Assurance, Privacy |
مرجع به فارسی | کالج سیستم های اطلاعاتی، فن آوری و مدیریت، دانشگاه نیوسافت ولز، استرالیااسپرینگر |
مرجع به انگلیسی | Rodger Jamieson and Meliha HandzicSchool of Information Systems, Technology and Management, University of New SouthWales, Sydney, Australia; Springer |
کشور | استرالیا |
امنیت کنترل تضمین سیستم های مدیریت دانش
کتاب مدیریت دانش
فصل ۲۵
چارچوبی برای امنیت، کنترل و تضمین سیستم های مدیریت دانش
چکیده
با توجه به آن که مدیریت سازمانی درصدد بهره گیری از مزیت رقابتی از طریق ارتقا و به اشتراک گذاری دانش در کل سازمان می باشد شاهد گسترش سیستم های مدیریت دانش در سازمان ها می باشیم. متاسفانه در این زمینه یکسری مخاطرات و پیامدهای مربوط به سیستم های مدیریت دانش وجود دارند که ممکن است از کنترل و ممیزی مکفی برخوردار نبوده و یا احیانا ناقض حریم خصوصی و قوانین و دستور العمل های مرتبط باشند. این فصل این مسائل را بررسی کرده و چارچوبی را برای تضمین اطمینان بخشی سیستم های مدیریت دانش (KM) برای مدیریت عرضه می کند.
کلیدواژه ها : مدیریت دانش، کنترل، امنیت، حسابرسی، اطمینان بخشی، حریم خصوصی
امنیت کنترل تضمین سیستم های مدیریت دانش
۱- مقدمه
دانش یک منبع ارزشمند است که می تواند در موفقیت سازمانی نقش زیادی داشته باشد. اهداف کلیدی مدیریت دانش (KM) برای تسهیل، ایجاد، انتقال و به اشتراک گذاری دانش در میان پرسنل و مشتریان آن و تقویت یادگیری سازمانی و هوش می باشد. KM یک رویکرد چندرشته ای برای دست یابی به اهداف سازمانی و استفاده بهینه از دانش است. KM همچنین به عنوان یک مجموعه گسترده از شیوه های سازمانی و رویکردهای تولید، استخراج، انتشار نحوه دانش و محتوای دیگر مربوط به کسب و کار سازمانی تعریف شده است.
سازمان ها در یک دنیای شکننده کار می کنند و با بلایای طبیعی، تروریسم، تروریسم سایبری، جرم الکترونیکی، و طیفی از تهدیده های دیگر به اطلاعات و منابع دانش آنها و سیستم ها سر و کار دارند. متاسفانه خطرات و عواقبی مرتبط با سیستم های مدیریت دانش وجود دارند، که در صورتی که به صورت کافی کنترل شده و حسابرسی شده نباشند، ممکن است سبب زیان یا آسیب به سازمان شود و ممکن است مسائل حریم خصوصی و قانون گذاری را نقض کند. برای حفاظت از دارایی های دانش در برابر این تهدیدها، سازمان ها باید به شکل مناسب امنیت را برقرار کنند و اقدامات را برای مقابله با این تهدیدها کنترل کنند. یک فرایند مدیریت در توجه به تهدیدات و اقدامات امنیتی مناسب مدیریت ریسک است. این فصل این مباحث را ارزیابی می کند و یک چارچوب و دستاورالعمل ها را برای مدیریت جهت اطمینان بخشی به سیستم های KM آنها فراهم می کند.
این فصل ابتدا به دیدگاه مدیریت ارشد از یک حاکمیت KM و دیدگاه مدیریت ریسک، امنیت ریسک و مکانیزم های کنترل درگیر در KM می پردازد که با استفاده از یک چارچوب مدیریت دانش ارائه شده توسط شرکت Standards Australia طرح ریزی شده اند. پس اطمینان از سیستم های مدیریت دانش در راستای نظارت مستمر و حسابرسی از جریان دانش در داخل و خارج مخازن دانش یک سازمان محسوب می شود. در نهایت این فصل به مباحث حریم خصوصی مربوطه و استفاده از دانش در سیستم های مدیریت دانش توجه می کند.
امنیت کنترل تضمین سیستم های مدیریت دانش
۲- حاکمیت مدیریت دانش و مدیریت ریسک
سازمان ها با تکامل تکنولوژی مستمر و کسب و کار جدید از جمله شبکه های مجازی و اینترنت، برنامه های کاربردی یکپارچه با شرکای کسب و کار، عملیات کسب و کار جدید از جمله کسب و کار الکترونیکی و مدیریت دانش مواجه می شوند. مسائل بطور مداوم در مورد توانایی حفظ هماهنگی این محیط با اهداف کسب و کار افزایش یافته اند. حاکمیت IT کلید تسهیل و ترویج کسب و کار شرکت برای کار منسجم با مدیران فن آوری و در ارتباط با جهات هیات مدیره می باشد. یک جنبه حاکمیت IT باید شامل حاکمیت مدیریت دانش باشد تا اطمینان حاصل شود که استراتژی های مدیریت دانش، زیرساخت ها و فن آوری دانش در ارتباط با راهبردهای IT و جهات هیات مدیره سازمان قرار دارند.
اول، مهم است اطمینان حاصل شود که مدیریت دانش موضوعی است که توسط شرکت و کمیته حاکمیت IT مورد توجه قرار گرفته است. حاکمیت مدیریت دانش باید تضمین کند که اهداف مدیریت دانش بخشی از فرایند برنامه ریزی راهبردی و سطوح برنامه ریزی راهبردی IT و شرکتی است. زمانی که مسائل کلیدی امنیت KM، کنترل، و تضمین حسابرسی از زیرساخت ها و سیستم های مدیریت دانش در نظر گرفته شود، مهم است که یک راهبرد مدیریت ریسک در نظر گرفته شود و حسابرسان IT داخلی و بیرونی و پرسنل امنیتی در این فرایند مشاوره دهند. این پرسنل ها قادر به ارائه مشاوره در شناسایی خطرات و سوء استفاده در سیستم های مدیریت دانش هستند و به کنترل ها و امنیت مناسب برای کاهش این ریسک ها و تهدیدها کمک می کنند. راهنمایی در این حوزه را می توان از موسسه IT Governance در مورد حاکمیت امنیت اطلاعات بدست آورد.
۲٫۱٫ مدیریت ریسک
مدیریت ریسک یک فرایند گسترده است که ریسک ها، امنیت و کنترل های زیرساختار و سیستم های KM را شناسایی می کند. استفاده از استاندارد مدیریت ریسک، مثل AS/NZS4360 نیز ممکن است توسط کمیته حاکمیت KM در نظر گرفته شود. یک مثال از این فرایند مدیریت ریسک در شکل۱ نشان داده شده است. کمیته حاکمیت KM به انتصاب افراد برای انجام این فرایند مدیریت ریسک نیاز دارد. ما به مدیر دانش سازمان همراه با حسابرس داخلی IT و مدیران امنیتی انتصاب افراد مناسب برای انجام این وظیفه را پیشنهاد می کنیم. استانداردهای حسابرسی IT (ISACF, COBiT 3rd Edition, 2000) و چارچوب حاکمیت IT ابداع شده توسط نهاد حاکمیت IT (ISACF, K-Net, 2001)نیز باید راهنمایی لازم در این زمینه را فراهم کند.
۲٫۲٫ چارچوب مدیریت دانش
کمیته حاکمیت KM نیز لازم است در نظر داشته باشد که کدام فن آوری های KM در تمامی سازمان بکار گرفته خواهند شد. مثال های فن آوری های KM شامل :
* موتورهای بازیابی ؛
* مدیریت محتوی
* مدیریت رکوردها و سند
* سیستم های یادگیری
* سیستم های طبقه بندی خودکار نظیر شبکه های عصبی، سیستم های پردازش معنایی یا زبانی
* فن اوری های هوش مصنوعی شامل عوامل هوشمند، رگرسیون، AI و همبستگی، سیستم های خبره، استدلال موردی، داده ها و متن کاوی و سیستم های قاعده مند ؛
* سیستم های ارتباط شامل پست الکترونیک ،فروم های بحث، ابزار گروهی و
* آرشیوبندی.
هر یک از این تکنولوژی ها ریسک ها و امنیت و کنترل مکانیزم های خود را دارند. با این حال، این تکنولوژی ها لازم است از دیدگاه یک چارچوب مدیریت دانش در نظر گرفته شود و تنها یک بخش از مبانی دانش برای پشتیبانی از فرایند دانش در یک سازمان می باشد. برای نمایش، Standards Australia یک چارچوب مدیریت دانش رابرای هدایت مخاطبان تدوین کرد که مدیریت دانش را در سازمان ها تنظیم می کند.
۲٫۳٫ اهداف امنیتی مدیریت دانش
یکی از عناصر بنیادی مخازن دانش سند است که مخزن اصلی است که در آن دانش ذخیره و به اشتراک گذاشته شده است. قانون NSW Evidence 1995 یک تعریف اسنادی را ارائه می کند که مستقل از نوع رسانه آن می باشد :
یک سند به معنای هر نوع ثبت اطلاعات و شامل موارد زیر می باشد :
* هر چیزی که در آن نوشتن انجام شده است ؛ یا
* هر چیزی که در آن نمادها، شکل ها، نمادها یا ارقام، علامت یا سوراخ ها یک معنا را برای افراد واجد شرایط برای تفسیر آنها دارد یا
* هر چیزی که از طریق آن تصاویر، صداها یا نوشته ها می توانند با یا بدون کمک هر چیز دیگر بازتولید شدند یا
* یک نقشه، طرح، ترسیم یا عکس.
همینطور، Australian Standard برای مدیریت پرونده ها اسناد را به عنوان واحدهای ساختاری اطلاعات ضبط شده، منتشر شده یا منتشرنشده در قالب الکترونیک یا کپی سخت تعریف می کند و به صورت واحدهای گسسته در سیستم های اطلاعات مدیریت شد.
امنیت کنترل تضمین سیستم های مدیریت دانش
۳- ریسک ها، امنیت و کنترل ها
این بخش ابتدا اهداف مربوط به یک مرور مدیریتی KM را شناسایی کرده و یک انتخاب از ریسک های مربوط به محیط KM را ذکر می کند. ضرورت کنترل و امنیت برای حفاظت و عملیات درست سیستم های KM با ارجاع خاص به مخازن دانش در نظر گرفته شده اند.
۳٫۱٫ فرایند بررسی مدیریت دانش
قبل از شروع یک بررسی در این زمینه، اهداف مرور بازرسی KM باید تدوین شوند. اهداف مروری ممکن است شامل موارد زیر باشد :
* تعیین اندازه استفاده از KM و اثر KM روی سازمان ؛
* شناسایی پرسنل مربوطه به تحقیق حسابرسی و درک مسئولیت آنها
* شناسایی مکان که در آن دانش استفاده شده است
* شناخت و مستندسازی فن آوری ها و اجزای KM و نحوه ارتباط آنها با همدیگر و با فن آوری ها و سیستم های اطلاعاتی دیگر
* شناسایی ریسک های مربوط به محیط KM، زیرساختار و سیستم ها
* شناسایی انواع مکانیزم های امنیتی، کنترل و تضمین در محیط KM
* ارزیابی امنیتی KM، کنترل، و مکانیزم تضمین / قابلیت بازرسی؛
* بررسی اسناد و مدارک و در نظر گرفتن KM قانونی از توسعه سیستم های مدیریت دانش؛
* جمع آوری شواهد بازرسی از طریق بکارگیری تکنیک های نظارت بازرسی KM و
* نتیجه گیری با یک ارزیابی پس از نتایج تست مرور شناخته شده اند.
پس از تدوین اهداف مرور بازرسی KM، KM ممکن است برخی مراحل اصلی در این فرایند با نام شناسایی ریسک ها و در نظر گرفتن مکانیزم های امنیتی را در نظر گیرد که در بخش های زیر بحث شده اند.
۳٫۲٫ ریسک ها در محیط KM
موسسه joint Computer Security و اداره جرائم کامپیوتری FBI جزئیات انواع ریسک ها، نقض های امنیت و حملاتی که سازمان ها در محیط متلاطم امروز با آنها مواجه هستند را ذکر کرده اند. جدول ۱ انواع ریسک ها در محیط KM را نشان می دهد که لازم است توسط مدیریت، پرسنل امنیت و بازرسی در نظر گرفته شوند.
۳٫۳٫ کنترل وامنیت در محیط KM
هالسد و جوشی عواملی را بررسی می کنند که یر مدیریت دانش در سازمان ها اثر می گذارند. یکی از اثرات مدیریتی روی KM کنترل است که شامل دو مبحث مهم حفاظت و کیفیت منابع دانش است. آنها معتقدند که حفاظت از منابع دانش از طریق اصلاح موارد غیرمجاز و شبیه سازی های نادرست برای مدییت کارآمد دانش حیاتی است. آنها اظهار می کنند که مدیریت لازم است به اعتبار دانش (دقت، ثبات و قطعیت )، کاربرد دانش ( شفافیت، معنا، ارتباط و اهمیت ) در زمان اعمال کنترل های کافی برای کیفیت دانش توجه داشته باشد. امنیت و کنترل بحث شده در این فصل با اعتبار دانش مرتبط هستند.
۳٫۴٫ مسائل امنیت و کنترل با مخازن دانش
برخی مسائل مربوط به مخازن دانش وجود دارند. یکی از مسائل به این مورد مربوط می شود که مخازن دانش کجا واقع شده اند و چه کسی مسئولیت این کار و امنیت آن می باشد. اگر مخازن دانش به همان صورت پایگاه های داده های شرکتی کنترل شود، ممکن است تحت امنیتی قرار داشته باشد که برای تمامی سیستم های عمده IT دیگر مشخص شده است. با این حال، اگر مخازن دانش در یک محیط کاربر پایانی در سرور دانش قرار داشته باشد پس این سیستم ها ممکن است به طور ناکافی کنترل شده باشند. در نتیجه، سیستم های مدیریت دانش ممکن است امنیت دسترسی به سیستم را نداشته باشند، کنترل ناکافی و فاقد روش های پشتیبانی و بازیابی باشند.
امنیت کنترل تضمین سیستم های مدیریت دانش
۴- بازرسی و ممیزی مدیریت دانش
همانند شناسایی ریسک ها و اعمال مکانیزم های کنترل و امنیتی برای کاهش یا کنترل ریسک ها، KM نیز باید سیستم ها و محیط را ارزیابی کند. این بخش کنترل جریان های دانش، مکانیزم های هشداردهنده آنلاین و بازرسی سیستم های دانش را برای تضمین بخشی به KM شرح می دهد.
۴٫۱٫ بررسی و ممیزی دانش
بازرسی دانش بطور معمول مرور یک سازمان را دربرمی گیرد که مشخص می کند که در آن دانش در سازمان واقع شده است و سپس به بهترین روش ها اجازه می دهد تا ضبط، ذخیره و انتشار دانش را برای دیگران انجام دهند. دویل یک حسابرسی دانش را پیشنهاد می کند که شامل یک ارزیابی آمادگی و سپس یک تحلیل شکاف و سپس محک سنجی برای بهترین روش های KM است. بازرسی دانش دارای یک مفهوم متفاوت است که به نظارت بر استفاده از دانش در سازمان. اشاره می کند. اگر سیستم های مدیریت دانش انجام سیستم های کنترل و حسابرسی را نداشته باشند، پس لازم است در سیستم های KM مشخص شوند.
۴٫۲٫ تصمین دانش
تضمین دانش به مرور سیستم های مدیریت دانش و زیرساختار آن مربوط می شود تا تضمین شود که این سیستم ها بطور کافی تضمین شده، قابل کنترل و بازرسی می باشند، طوری که کسانی که از سیستم ها استفاده می کنند بر نتایج حاصل از این سیستم اتکا داشته باشند. این کار شامل انجام کنترل های تضمین کیفیت در مورد سیستمهای مدیریت دانش است. این کارکرد ممکن است توسط یک واحد تضمین کیفیت یا بخش مربوطه انجام شود اگر دانش مورد نیاز و توانایی ها برای انجام این بازرسی وجود داشته باشد.
امنیت کنترل تضمین سیستم های مدیریت دانش
۵- مسائل حریم خصوصی برای KM
حریم خصوصی یک مسئله مهم در زمان بحث در مورد مخازن دانش است. در بسیاری از کشورها قانون گذاری خصوصی برای بخش های عمومی و خصوصی وجود دارد. قوانین حفظ حریم خصوصی معمولا نیاز دارد که یک سازمان از تمامی افراد درگیر آگاه باشد، که قصد دارند تا در یک مخزن دانش، برخی از اصول حفظ حریم خصوصی کلیدی موثر بر استخراج آنها را بررسی کنند که در مخزن دانش حفظ شده اند. همکاران لازم است از اطلاعات ودانش استخراج شده در وهله اول آگاه باشند و سپس از نحوه استفاده از آن مطلع شوند که کدام اطلاعات یا دانش در آینده بکار خواهد رفت.
امنیت کنترل تضمین سیستم های مدیریت دانش
۶- مورد جزیی : امنیت KM و مسائل کنترل در شلومبرگر
شلومبرگر یک سرویس نفتی و شرکت فن آوری اطلاعات است که در بیش از ۱۵۰ شرکت کار می کند و دانش جهانی رابرای سازمان فراهم می کند. این شرکت از یک زیرساختار جهانی ایمنی برای دسترسی گسترده به دانش با استفاده از اینترانت بهره می گیرد. زیرساخت در محل توسط شلومبرگر قرر تضمین در دسترس بودن بالا و اتصال برای همه ذینفعان را برقرار می کند. با اتصال و دسترسی تضمین می شود که دسترسی گروه های مجاز مشخص است و مزاحمان در خلیج متوقف می شوند. chlumberger طیف وسیعی از فن آوری های امنیتی از جمله VPN (شبکه خصوصی مجازی)، PKI (زیرساخت کلید عمومی)، و کارت هوشمند خدمات رمزگذاری را برای برقراری تضمین بکار می گیرد که تنها گروه های موردنظر پس از تأیید به آنها دسترسی دارند در حالی که حصول اطمینان از محرمانگی، یکپارچگی، در دسترس بودن منابع، عدم انکار و حریم خصوصی نیز شامل اقدامات شرکت است.
امنیت کنترل تضمین سیستم های مدیریت دانش
۷- نتیجه گیری
این فصل چالش امنیتی مناسب، کنترل و اطمینان از سیستم های مدیریت دانش را نشان داد. KM به شناخت کافی و بررسی بسیاری از ریسک های متغیر از اجرای سیستم های KM در یک محیط وب باز می پردازد. با در نظر گرفتن تسلط KM و استفاده از روش های مدیریت ریسک مناسب و تکنیک های مربوط به آن، CKO تیم مسئول برای مدیریت دانش باید قادر به اعمال امنیت مناسب و کنترل درست روی محیط مدیریت دانش، سیستمها و مخازن برای مقابله با این ریسک ها باشد. استفاده از تکنیک های مستمر حسابرسی نظارت می تواند تضمین کند که استفاده از دانش در مخازن برای کاربران این دانش ردیابی شده است و در صورت امکان، نحوه استفاده از دانش را مشخص می کند. مهم است که KM به مسئله مهم حریم خصوصی برای اطلاعات فردی و دانش در مخازن توجه کند. اصول حریم خصوصی بحث شده فوق باید KM را با پیشنهادات در مورد نحوه پرداختن به پیامدهای بحث شده در بالا باید KM می تواند با پیامدهای حفظ حریم خصوصی برای سیستم های مدیریت دانش و مخازن را نشان دهد. چارچوب ودستورالعمل های نشان داده شده در این جا باید توانایی تضمین سیستم های مدیریتی دانش، مخازن و زیرساختارها را برای مدیران دانش فراهم کند و ریسک های مربوط به KM را بررسی کنند.
با وجود این که این فصل مسائل کنترل و امنیت را در درون سیستم های KM شرکتی بررسی کرد، بحث با همکاران چالش های حسابرسی و کنترل را نشان می دهد که با توسعه مداوم سیستم های KM توسعه یافته در میان چندین سازمان و هر سازمان بروز می کند. علاوه بر این، محاسبه نظیر به نظیر (P2P)، سیستم های KM را به چندین صورت تحت تأثیر می دهد. اول، یک دستگاه همتا می تواند یک مشتری و یک سرور باشد. P2P یک جابجایی را برای تمرکززدایی ارائه می کند مرتبط با این مورد یک درجه کاهنده کنترل برای مدیر دانش / MIS وجود دارد. این جابجایی و کاهش کنترل پیچیدگی را به جنبه های حسابرسی و کنترل امنیت اضافه می کند. دوم، اثرات برجسته روی P2P در KM به اشتراک گذاری فایل، جستجوی واسط، همکاری مجای به صورت هم زمان یا ناهمزمان است. تحقیق بیشتر برای این زمینه ها انجام می شود تا امنیت همکاری، حسابرسی و تضمین امنیت سیستم های KM چندفعالیت را فراهم می کند.
امنیت کنترل تضمین سیستم های مدیریت دانش