gsm

سیاست امنیتی پیشنهادی برای شبکه GSM کشور

/در /توسط

gsm

< استفاده از مطالب سایت فراکنش با ذکر منبع مجاز است.>

خط مشی­های امنيت اطلاعات در ساختار سازمانی

مقصود : مديريت بر امنيت و نحوه عملکرد مديران در ايمن­سازی شبکه GSM.

خط مشی­های امنيت اطلاعات در ساختار سازمانی شبکه ارتباطات سیار به شرح زير پیشنهاد می‌گردد:

  • حفاظت از امکانات و تجهیزات NSS و BSS که در اختيار عوامل ثالث قرار داده شده است.
  • تعبیه الزامات لازم از طرف شرکت ارتباطات سیار جهت حمايت­های اجرايي داشتن راهکارهای امنيتی ارايه شده بعد از تحلیل مخاطره شبکه تلفن همراه.
  • تعيين ساختاری کارا جهت استمرار بخشی امنیت شبکه تلفن همراه.
  • تعيين واحد سازمانی جهت تصدی وضع و اجرای خط مشی امنيت سرویس­ها شبکه NSS و BSS
  • تعیین گروه عملياتي از مديران ارشد شرکت ارتباطات سیار به منظور هماهنگي در پياده­سازي کنترل­هاي حفاظتي تاکيد شود.
  • باید مسؤوليت­های مرتبط با امنیت شبکه تلفن همراه و عهده­داران آنها در چارت سازمانی شرکت ارتباطات سیار دقیقاً مشخص گردد.
  • وجود يک فرايند مديريتی مجازسازي به منظور دسترسي به امکانات شبکه تلفن همراه.
  • تاکيد بر تعریف دقیق مشاغل و مسؤوليت­ها به منظور کاهش تهديدات و فرصت­هاي استفاده نابجا از تجهیزات و خدمات شبکه تلفن همراه کشور.
  • تعریف سیستمی اثر بخش برای آگاهي از نظرات نيروهاي داخلي يا مشاورين شرکت ارتباطات سیار در تدوین خط مشی امنيت اطلاعات و ارتباطات شبکه تلفن همراه.
  • بايد مسؤوليت و عهده­دار پياده­سازی و مرور خط مشی امنيت اطلاعات و ارتباطات و نظارت بر اجرای آن در شرکت ارتباطات سیار مشخص شود.
  • بايد روالی برای امن سازی اطلاعات و ارتباطات شرکت ارتیاطات سیار که مسؤوليت و عهده­دار آنها عوامل ثالث می­باشد تدوین گردد و یا تکمیل گردد.
  • شناسايي و ارزيابی مخاطرات ناشي از دستيابي عوامل ثالث (حقوقي و حقيقي) به امکانات فن­آوري اطلاعات شرکت ارتباطات سیار.
  •  پيش­بيني کردن نيازها و لوازم امنيتي در قراردادهاي عوامل ثالث.
  • تعریف دقیق حوزه فعاليت ستادها، کميته­ها و حتی عوامل ثالث.
  • تعيين نحوه رويداد نگاری در اماکن حساس شبکه تلفن همراه.
  • مشخص کردن مسؤوليت و عهده­دار مديريت طرح ضربتی مربوط به امبنت اطلاعات و ارتباطات در شرکت مخابرات ایران.

خط مشی طبقه ­بندي و کنترل دارايي های

مقصود: ايجاد و اطمينان از امنيت قابل قبول براي دارايي­هاي اطلاعاتی و ارتباطی شرکت ارتباطات سیار و حسابرسی آنها.

موارد مطرح در خط­مشی امنيت اطلاعات شرکت ارتباطات سیار به شرح زیر می­باشد:

  • تهيه و نگهداری فهرستی از همه دارايي­هاي ملموس و غیر ملموس شرکت.
  • متناسب کردن طبقه­بندي و کنترل­هاي امنيتي دارایی­های شرکت در اشتراک­گذاري يا محدوديت‌سازي.
  • برچسب­گذاري اطلاعات و تجهیزات طبقه­بندي شده و مرور دوره­اي آن.
  • مشخص کردن نحوه حسابرسی تجهيزات
  • تدوين شناسنامه برای تجهيزات

 خط مشی امنيت اطلاعات پرسنل

مقصود از تدوين خط مشی امنيت اطلاعات پرسنل شرکت ارتباطات سیار موارد زير می­باشد:

  • کاهش مخاطرات ناشي از خطاي انساني، دزدي، تقلب و استفاده نادرست از منابع و قابليت­ها
  • اطمينان از اينکه کاربران آگاهي لازم از تهديدها و نيازهاي امنيت اطلاعات داشته­اند و در انجام وظايف خود مي­توانند پشتيباني لازم از خط مشی­هاي امنيتي شرکت به عمل آورند.
  • کاهش صدمات ناشي از حوادث و اشتباهات حفاظتي و آموزش برخورد مناسب در مقابل آنها
  • تعریف روال نظارتی و کنترلی برای منابع انسانی شرکت و در جهت حفظ امنيت دارايي­های شرکت.
  • لحاظ نمودن و مستند نمودن مسائل امنيتي در شرح شغلي
  • لحاظ نمودن و مستند نمودن مسائل امنيتي در گزينش و پايان خدمت پرسنل دايمی و يا قراردادی
  • گرفتن توافق­نامه محرمانه بودن اطلاعات سازماني
  • آموزش و آگاهی بخشی مناسب و منظم کليه کارکنان سازمان، عوامل ثالث و مشاورين در مورد روند­ها و خط­مشی امنيت اطلاعات سازمان.
  • طراحی روندی قانونی برای ارتقای سطح امنيت در چرخش، غنی­سازی و توسعه شغلی.
  • گزارش و پاسخ سريع به حوادث امنيتی از طريق مجاري مديريتي مناسب
  • گزارش ضعف­ها و تهديدهای روي سرويس­ها و سيستم­های اطلاعاتی
  • گزارش اشتباهات نرم­افزاري در زودترين زمان ممکن.
  • طراحی مکانيزم­هايي برای افزايش يادگيري پرسنل از ميزان، نوع و هزينه رخداد حوادث و پيشگيري از آنها
  • در نظرداشتن يک فرايند انضباطي جهت مواجهه با تخلف­های پرسنل از خط مشی­هاي امنيتي اطلاعاتی و ارتباطی شرکت.

 خط مشی امنيت فيزيکي و محيطي

مقصود از خط مشی امنيت فيزيکی و محيطی شرکت ارتباطات سیار ایران موارد زير می­باشد:

  • جلوگيري از دستيابي غيرمجاز، وارد کردن صدمه و تداخل به اطلاعات شرکت در محيط­هاي امن
  • جلوگيري از تلف شدن و وارد آمدن صدمه به دارايي­ها و وقفه در کار تجهيزات شرکت
  • جلوگيري از تساهل يا دزدي اطلاعات و فن­آوري­هاي اطلاعات
  • استفاده از حفاظ­هاي محيطي مناسب براي امنيت از امکانات فن­آوري اطلاعات
  • تجهيز اماکن لازم الامن به کنترل­کننده­هاي فيزيکي ورود تا فقط افراد مجاز قادر به ورود باشند.
  • تعيين نحوه رويداد نگاری و مميزی در اماکن امن
  • در نظر گرفتن اصل حداقل دسترسی و توازن دسترسی
  • توجه به ضوابط امنيت فيزيکی به منظور استمرار فعاليت­هاي حساس.
  • کنترل محل­هاي تحويل و ارائه اطلاعات و در صورت امکان مجزا از ديگر درگاهها باشند.
  • مشخص بودن نحوه تایید هویت برای استفاده از تجهيزات مورد استفاده
  • تعبيه تجهيزات در محل مناسب و ايمن.
  • حفظ تجهيزات از هر گونه صدمات ناشي از قطع يا خرابي منابع تغذيه.( ترجيحاً استفاده از برق UPS).
  • تعيين مناسب نوع سيستمهای گرمايشی، سرمايشی و تهويه کننده (در نظرداشتن استانداردهای HVAC)
  • مشخص کردن دقيق اماکن لازم الامن و تجهيزات لازم­الکنترل
  • تعيين کردن سطح دسترسی به اماکن امن شناخته شده
  • حفاظت از کابل­کشي­هاي برق، داده­ها و تلفن .
  • نگهداری تجهيزات، متناسب با دستورالعمل­هاي سازنده يا مستندات ارائه شده.
  • تدوين روند نگهداری و بايگانی رسانه­ها و اسناد
  • پيش­بينی تسهيلاتی جهت کاهش آسيب­های ناشی از سوانح طبيعی (مانند آتش سوزی، سيل، زلزله و…)
  • تدوين روال­هاي امن به منظور امنيت تجهيزات در هنگام استفاده از بيرون شرکت.
  • پاک شدن اطلاعات از روي تجهيزاتي که مجدداً مورد استفاده قرار مي­گيرند يا در معرض عموم واقع مي­شوند.
  • مشخص کردن نحوه و زمان پشتيبانگيري از داده­های رسانه ها
  • در نظر داشتن استفاده از استاندارد SSB/SG-20 در نگهداری تجهيزات اسقاطی
  • تدوين طرحی در از رده خارج کردن تجهيزات
  • پاک­سازی ميز به منظور کاهش مخاطرات ناشي از دستيابي غير مجاز و فقدان يا صدمه به اطلاعات.(يعني تا حد امکان اطلاعات، مستندات و امکانات در معرض و دسترس قرار نگيرند )
  • عدم جابجايي بدون همامنگی تجهيزات، اطلاعات يا نرم افزار متعلق به شرکت.
  • پيروی از استاندارد SSB/SG-30 در کليه نقل و انتقال­ها
  • تدوين طرح به حداقل رساندن انتقال رسانه­های قابل حمل و نقل (لپ­تاپها، نوارها، کاست­ها، CDها، فلاپی­ها،گزارشات چاپ­شده و..)
  • مشخص کردن موقعيت تجهيزات و ابزار آلات داخل شرکتی مربوط به شبکه

 خط‌مشی امنيت عمليات و ارتباطات

موارد مطرح در خط مشی امنيت اطلاعات عمليات و ارتباطات شرکت ارتباطات سیار ایران در ذيل آمده است

  • ايجاد اطمينان از صحت و امن بودن عملياتِ کامپيوترها و شبکه
  • کمينه کردن مخاطره خرابي سيستم­ها
  • محافظت از يکپارچگي اطلاعات و نرم­افزار
  • نگهداري يکپارچگي و در دسترس بودن سرويس­هاي ارتباطي و پردازشي اطلاعات
  • اطمينان از ايمني حفاظ­هاي اطلاعاتي شبکه­ها.
  • جلوگيري از گم شدن، تغيير يا استفاده نابجا از اطلاعات مبادله شده بين سازمان­ها
  • جلوگيري از صدمه­ديدن دارايي­ها و ايجاد وقفه در فعاليت­هاي سازماني
  • کنترل تغييرات در امکانات پردازش اطلاعات و سيستم­ها.
  • تدوين روال­ها و مسؤوليت­هاي مديريت حوادث به منظور اطمينان از سرعت، تأثيرپذيري و پاسخ مناسب به رويدادهای امنيتی.
  • تدوين روندی برای صدور، بکارگيری و از دور خارج کردن گذرواژه
  • مجزا سازی امکانات ارزيابي و توسعه از امکانات عملياتي .
  • شناسايي روش­هاي کنترل امنيتی مناسب مورد توافق طرف قرارداد و شرکت برای مقابله با مخاطرات پيش از استفاده از خدمات امکانات خارج شرکتی.
  • برنامه­ريزي لازم براي توان پردازش و ظرفيت ذخيره­سازي اطلاعات در دسترس، با در نظر گرفتن تقاضاهاي فعلي و آتي سيستم.
  • کنترل تغييرات عملياتی امکانات سرويس دهنده اطلاعاتي و سيستم­ها.
  • تدوين، شناسايي و آگاهی­رسانی روند­هاي کنترلي جهت شناسايي و مقابله با نرم­افزارهاي مخرب پياده شوند.
  • ارائه آموزش­ مورد نياز جهت استفاده از اينترنت
  • مشخص شدن مسؤوليت کاربران در بازديد از سايتهای اینترنتی و نوع اطلاعات قابل UPLoad و Download
  • پشتيبانگيری منظم از اطلاعات مهم بانک‌های اطلاعاتی شبکه GSM و نرم­افزارها.
  • مستند کردن و نگهداري روال­هاي عملياتي شناسايي شده.
  • ثبت دقيق فعاليت­هاي کارکنان عملياتي.
  • گزارش وثبت خرابي­ها و عمليات تصحيح.
  • کنترل محيط کامپيوترها در مواقع حساس.
  • پياده­سازی مجموعه­ای از کنترل­ها برای دسترسی، نگهداري و حفاظت در شبکه­های تلفن همراه.
  • تعيين خط مشی خريد، نصب، بکارگيری، توسعه، تغيير،ارتقا و از کارانداختن نرم­افزارهای کاربردی
  • تدوين کنترل­هايي جهت رسانه­هاي قابل نقل و انتقال نظير نوار، ديسک، کاست و گزارش­هاي چاپ شده.
  • تدوين روندی برای کنارگذاری رسانه هايي که ديگر مورد نياز نيستند.
  • بکارگيري و ذخيره درست اطلاعات جهت عدم استفاده نابجا و غيرمجاز از اطلاعات.
  • حفظ مستندات سيستم از دستيابي غيرمجاز.
  • نگهداری رسانه­هاي اسقاطي در محل ايمن.
  • تهيه توافق­نامه­هايي رسمي، چه براي تبادل دستي و چه براي تبادل الکترونيکي اطلاعات و نرم‌افزارها در بين واحدها و یا بخشهای شرکت ارتباطات سیار.
  • حفظ محيط منتقل کننده اطلاعات از دستيابي غيرمجاز، صدمه يا استفاده نابجا
  • شناخت درگاه­های اينترنت و تعيين توپولوژی ايمن
  • حفاظت از سرويس‌های تحت وب
  • استفاده از PKI و ديگر کنترلها در زیر شبکه‌های BSS و NSS
  • حفظ داده­هاي الکترونيکي در مقابل فعاليت­هاي غيرقانوني، آشکارسازي يا تغيير
  • تدوين خط مشی ويژه­ای جهت استفاده از پست الکترونيکي و کاهش مخاطرات(نحوه ارسال، نحوه رمز نگاری، نحوه استفاده از امضای الکترونيکی و…)
  • حفاظت از سيستم­هاي الکترونيکي دفتري، با توجه به اولويت حاصل شده از ارزيابی مخاطره­اي که صورت گرفته است.
  • تشکيل گروه مستقل تحليل ريسک­کننده امنيت تجهيزات ارتباطی
  • تدوين يک فرآيند رسمي براي مجازسازي، قبل از اينکه اطلاعات به طور عمومي در دسترس قرار بگيرند و انجام حفاظت­هاي مربوطه براي جامعيت و تغيير نکردن اطلاعات.
  • تدوين روال­هايي براي ايمني تبادل اطلاعات به شکل­های ديگر (از قبيل فاکس و امکانات ويدئويي).
  • تدوين روند مقابله با ويروس‌ها، کرم‌ها و اسب­های تروا

 خط مشی امنیتی کنترل دسترسی

خط مشی کنترل دسترسی در شرکت ارتباطات سیار ایران موارد زير را شامل می­گردد:

  • جلوگيري از دسترسي غيرمجاز به سيستم­هاي اطلاعاتي
  • کشف فعاليت­هاي غيرمجاز
  • اطمينان از ايمني اطلاعات در زماني است که از امکانات پردازش سيار و از راه دور استفاده مي­شود
  • تعريف و مستند کردن قوانين کنترل دسترسی با توجه به فعاليت­های تجاري شرکت
  • تدوين روندی برای نام­نويسي ورود کاربران و خروج آنها به منظور دسترسي به همه سيستم­هاي اطلاعاتي چند کاربره و سرويس­هاي آنها.
  • محدود و کنترل کردن، اختصاص و استفاده از اختيارات.
  • کنترل تخصيص گذرواژه کاربران و تبعيت آنها از يک فرايند مديريتي رسمي.
  • وجود يک فرايند رسمي که به طور منظم و در فواصل زماني مناسب حق دسترسي کاربرن را مرور و در صورت لزوم بازنگري می­نمايد.
  • دقت کردن کاربران در انتخاب و استفاده از کلمه عبور.
  • اطمينان کاربران از حفاظت تجهيزات غيرهمراه.
  • استفاده مستقيم کاربران از سرويس­هايي که براي آنها مجاز شده است.
  • داشتن کنترل بر مسير پايانه کاربر تا رايانه سرويس­دهنده.
  • تدوين روال شناسايي و تصديق اصالت براي کاربران راه­دور.
  • کنترل دستيابي به پورت­هايي که براي عيب­يابي از راه دور استفاده مي­شوند.
  • تدوين کنترل­هايي به منظور سرويس­هاي اطلاعاتي، کاربران و سيستم­هاي اطلاعاتيِ گروه­هاي مجزا در شبکه­ها.
  • محدود کردن ظرفيت اتصال کاربران در شبکه­هاي اشتراکي، برطبق با خط مشی کنترل دستيابي.
  • تدوين کنترل­هاي مسيريابي به منظور اطمينان از اتصالات رايانه­ها و انطباق جريان اطلاعات با خط مشی کنترل در شبکه­هاي اشتراکي.
  • توصيف شفاف از خواص امنيتي سرويس­هاي شبکه
  • شناسايي خودکار پايانه، به منظور تایید هویت در محل­هاي معين و تجهيزات قابل حمل
  • دستيابي به سرويس­هاي اطلاعاتي با استفاده از يک فرايند ورود امن.
  • منحصر به فرد (شناسه کاربر) قابل ردگيري و کنترل بودن شناسه همه کاربران براي فعاليت­.
  • اطمينان از سيستم مديريت گذرواژه به نحوی که بتوان به طور مؤثر و متعامل از کيفيت کلمه عبور اطمينان حاصل نمود.
  • دقت در کنترل استفاده از برنامه­هاي سيستمي.
  • در نظر گرفتن هشدارهاي اجباري براي کاربراني که ممکن است مقصد نادرستي را طي نمايند.
  • خاموش بودن پايانه­هاي غيرفعال در محل­هاي با مخاطره بالا که از دسترسي افراد غيرمجاز در يک زمان تعريف شده، محفوظ نگه داشته شود.
  • محدوديت­ زماني اتصال، براي استفاده از کاربردهاي پر مخاطره به منظور ايمني مضاعف.
  • تعبيه سيستم­هاي حساس در يک محل اختصاصي.
  • ثبت و نگهداري وقايع به ويژه استثناها در يک مدت مورد توافق تا در رسيدگي­هاي آتي در نظارت کنترل دسترسي استفاده شوند.
  • تهيه روال­هايي به منظور نظارت بر سيستم­هاي اطلاعاتي.
  • همزمانی ساعت رايانه­ها با دستگاه­هاي ثبت وقايع .
  • تدوين خط مشیی جهت کنترل مناسب داشتن، مطابق با مخاطرات کار و پردازش­هاي اطلاعاتي سيار در محل­هاي غير حفاظت شده.
  • تدوين خط مشی و روال­هايي براي فعاليت راه دور به منظور کنترل و مجازسازي.

 خط مشی امنیتی توسعه و نگهداري

خط مشی توسعه و نگهداری سيستم­های شرکت ارتباطات سیار ایران شامل موارد زير می­باشد:

  • اطمينان از امنيت سيستم­هاي IT
  • جلوگيري از گم شدن، تغيير يا تخريب داده­هاي سيستم­هاي کاربردي
  • محافظت از محرمانگی و جامعيت اطلاعات
  • اطمينان از هدايت پروژه­هاي فناوري اطلاعات و فعاليت­هاي پشتيباني آن در يک روش امن
  • نگهداري و حفاظت از اطلاعات و نرم­افزار سيستم­هاي کاربردي
  • آميختگی نيازهاي سازمان به سيستم­هاي جديد يا گسترش سيستم­هاي موجود با تعيين نيازهاي امنيتي.
  • تدوين کنترل­هائي جهت تعيين قابل قبول بودن داده­هاي پردازش شده و مشخص کردن ميزان انحراف توسط سيستم­ها.
  • انجام تایید هویت پيام براي برنامه­هاي کاربردي که نياز به اطمينان از درستي محتويات پيام دارند.
  • تدوين روالهايي جهت پی­بردن به درستی داده­هاي خروجي برنامه­هاي کاربردي براي حصول اطمينان از پردازش اطلاعات ذخيره شده.
  • استفاده رمزنگاري براي حفاظت از اطلاعات حساس و مهم.
  • استفاده از کنترل­هاي رمزنگاري توسعه­يافته براي رمزنگاري اطلاعات.
  • استفاده از امضاء­هاي ديجيتال به منظور تایید هویت، مجازسازي و جامعيت اطلاعات الکترونيکي.
  • استفاده از سرويس­هاي غيرقابل انکار به منظور حل اختلاف در مورد روي داد يا عدم وقوع يک رخداد يا عمل.
  • استفاده از يک سيستم مديريت کليد منطبق بر مجموعه استانداردها، روال­ها و روش­هاي مورد توافق، به منظور پشتيباني از روش­هاي رمزنگاري.
  • کنترل و محافظت داده­هاي ارزيابي سيستم
  • کنترل شديد بر دسترسي به کتابخانه منبع برنامه­ها
  • دقت در پياده­سازي تغييرات به وسيله روال­هاي تغيير رسمي تا اتفاقات ناخواسته در سيستم­هاي اطلاعاتي کمينه گردند.
  • مرور و ارزيابي سيستم­هاي کاربردي بعد از رخداد تغييرات.
  • کنترل نرم افزارها در حين خريد، استفاده و اصلاح جهت اطمينان از عدم وجود منافذ مخفي و کد تراوا.
  • تدوين کنترل­هايي براي اطمينان از توسعه ايمن نرم­افزارها توسط عوامل ثالث.

 خط­ مشی امنیتی مديريت استمرار

مقصود: بي­اثر کردن وقفه­هاي فعاليت­های شرکت و حفاظت از فرايندهاي مهم شرکت در مقابل اثرات ناشي از خرابي­ها يا بلاها است.

نکات مطرح در اين خط مشی برای شرکت ارتباطات سیار ایران عبارتند از:

  • تدوين يک فرايند مديريت شده براي توسعه و نگهداري تداوم فعاليت­های مرتبط با امنیت در شرکت.
  • تدوين يک برنامه راهبردي متناسب با برآورد مخاطره، مناسب براي کليه فعاليت­ها به منظور استمرار فعاليت.
  • توسعه يافتگی برنامه­هاي استمرار تا در زمان­هاي وقفه و خرابي فرايندهاي بحراني فعاليتهای مرتبط با شبکه تلفن همراه، قابل استفاده باشند.
  • تشکيل يک گروه کاري واحد جهت حصول اطمينان از انطباق همه برنامه­ها با اولويت­ها.
  • ارزيابي و نگهداري منظم برنامه­هاي استمرار به طوري که همواره اطمينان از به روز بودن و تأثيرپذيري آنها وجود داشته باشد.

 خط‌مشی منطبق سازی امنیت تلفن همراه

مقصود، تدوين خط مشی استانداردهای بروز موارد زير در شرکت ارتباطات سیار ایران می­باشد:

  • اجتناب از نقض قوانين مدني و التزام به معاهدات، قوانين و قواعد امنيتي است.
  • اطمينان از سازگاري سيستم­ها با خط مشی­هاي امنيتي سازمان و استانداردهاي مربوط
  • بيشينه کردن تأثيرپذيري و کاهش تداخل در فرايند بازرسي سيستم
  • تعريف و مستندکردن همه قوانين و مقررات لازم براي هر سيستم اطلاعاتي و انطباق سيستم­ها با آن.
  • تدوين روال­هايي متناسب با ضرورت­هاي قانوني و حقوقی جهت اطمينان از استفاده صحيح دارائي­ها و محصولات نرم­افزاري.
  • عدم گم شدن، خرابي يا استفاده نادرست، ثبت­هاي مهم توسط سیستم‌ها در شبکه تلفن همراه.
  • خصوصي و محرمانه تلقي شدن قوانين اطلاعات پرسنلي.
  • اجازه و کنترل­ مديريت در استفاده از امکانات فن­آوري اطلاعات.
  • وجود کنترل­هاي لازم براي اطمينان از سازگاري با قوانين رمزنگاري ملي و ديگر قوانين.
  • جمع­آوري و نگهداري گواه و مدرک لازم در تمام زمينه­ها به منظور ارائه به مراجع ذيصلاح در محاکم دعاوي شرکت.
  • تداوم درستي اجرا، بازنگري­ بر طبق خط مشی و استانداردها شدن روال­هاي امنيتي، متناسب با مسؤوليت­های مديران رده­های مختلف حوزه اعمال خط مشی امنيت اطلاعات.
  • حفاظت منظم از سيستم­هاي اطلاعاتي براي انطباق با استانداردهاي پياده­سازي.
  • بر تدوين برنامه براي کاهش وقفه بازرسي سيستم­هاي عملياتي.
  • تاکيد بر کنترل دستيابي به ابزارهاي بازرسي سيستم.