مشاوره و پیاده سازی سیستم مدیریت امنیت اطلاعات (ISMS)

 

امروزه امنیت اطلاعات بزرگترین چالش در عصر فناوری اطلاعات محسوب می شود و حفاظت از اطلاعات در مقابل دسترسی غیر مجاز، تغییرات، خرابکاری و افشاء، امری ضروری و اجتناب ناپذیر است. لذا، امنیت دارایی های اطلاعاتی برای کلیه سازمان ها امری حیاتی بوده و مستلزم یک مدیریت اثربخش می باشد.

امنیت اطلاعات شامل سه بُعد مهم است:

  • 1. محرمانگی (Confidentiality)
  • 2. یکپارچگی (Integrity)
  • 3. دسترس پذیری (Availability)

فراهم آوری صحت و تمامیت اطلاعات به گونه ای که در زمان مناسب، در دسترس افراد مجاز که نیازمند آن می باشند، عاملی است که منجر به اثربخشی کسب و کار می گردد. استاندارد ISO/IEC 27001 زمینه مناسبی را برای طراحی و استقرار سیستم مدیریت امنیت اطلاعات و ارزیابی آن در سازمان ها و بهره گیری از منافع این رویکرد، فراهم آورده است.

سیستم مدیریت برحسب امنیت اطلاعات، به یک سازمان این امکان را می دهد تا موارد ذیل را ایجاد نماید:

  • رضایت نیازمندی های امنیتی مشتریان و سایر ذینفعان؛
  • بهبود طرح ها و فعالیت های سازمان؛
  • تأمین اهداف امنیت اطلاعات سازمان؛
  • تطابق با آئین نامه ها و قوانین و مقررات مربوط به کار؛
  • مدیریت دارایی های اطلاعاتی در یک روش سازمان یافته که به بهبود مستمر و تعدیل با اهداف سازمانی کنونی، کمک می کند.

شرکت های فعال امنیت شبکه بهره گیری از متخصصین مجرب و کارآزموده و دارای مدارک بین المللی، سیستم مدیریت امنیت اطلاعات (ISMS) را با توجه به نیازها و الزامات هر سازمان و منطبق با رویه ها و استانداردهای ISO/IEC 27001 و ISO/IEC 27002 طبق فازهای ذیل، طراحی و پیاده سازی می نمایند:

ارزیابی و شناخت اولیه
(Gap Analysis)
در فاز ارزیابی و شناخت اولیه، میزان انطباق سازمان با الزامات و کنترل های استاندارد ISO/IEC 27001 مورد بررسی قرار می گیرد. این مرحله کمک شایانی به تعیین دامنه (scope) پیاده سازی سیستم و فاز طراحی خواهد نمود. فعالیت هایی که در این مرحله اجرا می شوند، عبارتند از:

  • شناسایی وضعیت موجود و ارزیابی میزان انطباق سازمان با الزامات و کنترل های استاندارد ISO/IEC 27001؛
  • مستندسازی و تهیه گزارش از وضعیت موجود؛
  • تعیین دامنه (scope) پیاده سازی سیستم مدیریت امنیت اطلاعات؛
  • تهیه و تدوین خط مشی امنیت اطلاعات؛
  • کمک به سازماندهی و تشکیل کمیته راهبری امنیت در سازمان.
آگاه سازی و آموزش
(Awareness & Training)
در این مرحله، کلیه افراد درگیر در فرآیند پیاده سازی سیستم مدیریت امنیت اطلاعات، آموزش دیده و با مفاهیم و الزامات ISMS آشنا می شوند.
طراحی ISMS
(Planning & Design)
بمنظور موفقیت در پیاده سازی ISMS می بایست این سیستم را مطابق با الزامات استاندارد و نیازمندی های سازمان طراحی نمود. فعالیت هایی که در این مرحله اجرا می شوند، عبارتند از:

  • تهیه لیست دارایی های واقع در دامنه؛
  • طبقه بندی و ارزش گذاری دارایی های اطلاعاتی؛
  • تعیین و تدوین متدولوژی ارزیابی مخاطرات؛
  • تدوین خط مشی ها، دستورالعمل ها و روش های اجرایی مورد نیاز سیستم؛
  • تدوین طرح تداوم کسب و کار (BCP)؛
  • تدوین طرح برطرف سازی مخاطرات (RTP)؛
  • تدوین بیانیه کاربست پذیری (SOA).
پیاده سازی ISMS
(Implementation)
در این مرحله، کنترل ها، طرح ها و سیاست های امنیتی تهیه شده در فاز قبلی، پیاده سازی می شوند.
ممیزی داخلی و همراهی تا صدور گواهینامه بین المللی
(Internal & External Audit)
پس از پیاده سازی و استقرار کامل سیستم مدیریت امنیت اطلاعات در سازمان، سرممیزان شرکت ایمن رایانه ژابیز با پیش ممیزی سیستم پیاده سازی شده قبل از ممیزی نهایی، موارد انحرافی و عدم انطباق ها را شناسایی می کنند و با ارائه اقدامات اصلاحی و پیشگیرانه مناسب به منظور رفع عدم انطباق های شناسایی شده، سازمان را تا اخذ گواهینامه بین المللی ISO/IEC 27001 همراهی می نمایند.

مزایای پیاده سازی ISMS در یک سازمان:

  • امنیت اطلاعات و دارایی های اطلاعاتی؛
  • حفظ محرمانگی و در دسترس بودن اطلاعات؛
  • حفظ اطلاعات از بروز تهدیدات، آسیب پذیری ها و مخاطرات در حد امکان؛
  • آمادگی برای مواجه با حوادثی كه امنیت اطلاعات را به مخاطره انداخته اند؛
  • ایجاد اطمینان بیشتر برای مدیران، كاركنان، مشتریان و سایر ذینفعان سازمان در مورد امنیت اطلاعات؛
  • بازگشت هزینه صرف شده برای پیاده سازی ISMS در بلندمدت؛
  • کاهش هزینه های ترمیم خسارات ناشی از کمبود و نقص موازین امنیتی؛
  • شناسایی، ارزیابی و حفاظت از دارایی های مهم سازمان همچون: پرسنل کلیدی، دانش پرسنل، اطلاعات سازمان و وجهه و اعتبار سازمان؛
  • اطمینان از تداوم کسب و کار و كاهش صدمات از طریق ایمن ساختن اطلاعات و كاهش تهدیدها؛
  • امكان رقابت بهتر با سایر سازمان ها.

لازم بذکر است که متدولوژی بکار رفته در شرکت ایمن رایانه ژابیز بمنظور مدیریت پروژه های مختلف، بهره گیری از استاندارد PMBOK در حوزه های گوناگون همچون مدیریت زمان، هزینه، منابع انسانی، ریسک و … می باشد.

About mahyar

OrcID: 0000-0001-8875-3362 PhD Candidate (National Academy of Sciences of Ukraine - Institute for Telecommunications and Global Information) MCP - MCSA - MCSE - MCTS MCITP: Enterprise AdministratorCCNA, CCNP (R&S , Security)ISO/IEC 27001 Lead Auditor

Check Also

تداوم کسب وکار و فناوری اطلاعات

موضوع تداوم دیرینه و حائر اهمیت می باشد. انسان هوشمند از بدو زندگی اجتماعی خود …

Leave a Reply

Your email address will not be published. Required fields are marked *