بر اساس ابلاغیه مدیرکل محترم حراست مرکزی وزارت علوم تحقیقات و فناوری، توصیفی از حفاظت IT به شرح زیر ارائه شده است:

هدف:

حراست از سرمایه های اطلاعات دیجیتال حوزه IT و به حداقل رساندن هر گونه تهدید و آسیب پذیری داخلی و خارجی

 

خط مشی ها:

   - شناسایی فضای امنیت اطلاعات و تعیین نمودن گستره و محدوده آن

   - شناسایی دارایی های اطلاعاتی موجود و دسته بندی آنها

   - شناسایی تهدیدات و آسیب پذیری های اطلاعاتی خصوصا اطلاعات طبقه بندی شده

   - ایجاد مکانیزمی جهت نظارت و پیگیری اجرای سیاستها، قوانین و مقررات مورد نیاز در زمینه حراست IT

   - پیگیری برای ایجاد گروه های تخصصی در رابطه با امنیت IT به منظور مشارکت واحد های مسئول در امور IT دستگاه

   - فرهنگ سازی و اطلاع رسانی لازم در زمینه IT دستگاه مربوط در چارچوب سیاستهای ابلاغی

 

شرح وظايف:

    1. پیگیری تشکیل کمیته راهبردی امنیت اطلاعات و حضور فعال در آن کمیته

    2. پیگیری تهیه شناسنامه رایانه ای از شبکه ها، سخت افزارها، نرم افزارها، دسترسی های کاربران و بروز رسانی آن توسط واحد فناوری اطلاعات دستگاه

    3. تعیین ظوابط کلی حفاظتی، موقعیت مکانی سیستم های سخت افزاری اصلی و کنترل تردد به آن مکان ها

    4. تعیین طبقه بندی حفاظتی، اطلاعاتی که تبدیل به دیجیتال شده اند.

    5. تهیه و پیگیری اجرای مقررات و دستورالعملهای حفاظتی و امنیتی، تولید، نگهداری، گردش، دسترسی، تکثیر، امحاء اسناد و اطلاعات دیجیتال

    6. نظارت در خصوص برقراری یا مسدود نمودن پورتهای فیزیکی و منطقی ورودی و خروجی سیستمها توسط واحد فناوری اطلاعات دستگاه

    7. تدوین و ابلاغ ظوابط امنیتی مربوط به ورود و خروج تجهیزات سخت افزاری و نرم افزاری از ساختمان ها و اماکن و نظارت بر حسن اجرای آن

    8. نظارت بر رعایت ملاحظات حفاظتی و امنیتی در خصوص نصب و توسعه شبکه های موجود در دستگاه

    9. پیگیری اجرا و بررسی دوره ای امکان نفوذ و آسیب پذیری حفاظتی و امنیتی سیستمهای موجود و پیگیری رفع نواقص احتمالی

    10. پیگیری، دریافت و بررسی گزارش های تلاش های موفق و ناموفق نفوذ به سیستم های موجود و گزارش برای مسئولین ذیربط دستگاه و حراست کل کشور

    11. پیگیری اجرای مانیتورینگ ترافیک شبکه توسط واحد فناوری اطلاعات دستگاه و نظارت و اخذ گزارشات موردی و دوره ای از آن واحد

    12. تعیین صلاحیت پیمانکاران و مشاورین سازمان جهت انجام خدمات حوزه فناوری اطلاعات قبل از انعقاد قرارداد

    13. نظارت دوره ای از روند تهیه نسخه پشتیبانی از اطلاعات طبقه بندی شده و نحوه نگهداری آنها