مشاوره و استقرار سیستم مدیریت امنیت اطلاعات (ISMS)

ISMS

پیاده سازی ISMS به شما کمک می کند تا شیوه‌های امنیتی استاندارد را به نمایش بگذارید. این کار باعث بهبود روابط کاری و حفظ مشتریان موجود شما می‌شود و به شما یک حریم امن در برابر رقبای خود می‌دهد، بعلاوه این استاندارد شما را در کنار شرکت‌های بین‌المللی قرار می دهد. آسا ارتباط برتر بارثاوا با داشتن تجربه‌ای موفق در مشاوره پیاده سازی استقرار سیستم مدیریت امنیت اطلاعات ISMS همراه شماست.

پیاده سازی ISMS یک نقطه‌ی شروع عالی برای مقابله با خطرات امنیتی است. با پیاده سازی ISMS  سیستمی توانمند برای مدیریت و بهبود امنیت سازمان شما ارائه می‌دهد بعلاوه مانند یک نقشه، دید جامعی به شما ارائه می‌دهد که به وسیله آن می‌توانید فاصله کنونی خود را نسبت به اهداف امنیتی سازمان بسنجید.

مراحل پیاده سازی ISMS :

1- ایجاد مقدمات استقرار ISMS

استقرار و پیاده سازی سیستم مدیریت امنیت اطلاعات یک تصمیم راهبردی و استراتژیک برای سازمان است. از این رو لازم است که در ابتدای فرایند، مدیران ارشد سازمان نسبت به تصمیم اتخاذ شده و ملاحظات آن بطور کامل توجیه شوند. این امر سبب میشود که مدیران به ISMS متعهد باشند و حمایت و پشتیبانی لازم را برای اجرای آن به عمل آورند. همچنین لازم است که در این گام طرح مدیریت پروژه به تأیید طرفین (سازمان و مشاور) برسد. چنانچه تصمیم دارید در استقرار ISMS خود از سامانه نرم‌افزاری استفاده نمایید، لازم است که مرحل نصب و آموزش نرم‌افزار را در همین گام به انجام رسانید.

2- شناخت زمینه سازمان

در این گام باید محیط داخلی و خارجی سازمان به‌شکل مناسبی شناسایی شوند. شناسایی مطلوب محیط داخلی و خارجی سازمان کمک می‌کند تا متولیان اجرای سیستم نسبت به چالش‌های پیاده سازی ISMS در سازمان خود آگاه شوند. همچنین شناسایی بهتر محیط میتواند منجر به اتخاذ تدابیر لازم جهت مواجهه با چالش‌های پیش رو شود.

استاندارد ایزو 27001  جهت شناخت محیطی به بررسی موارد زیر می‌پردازد.

  • بررسی عوامل داخلی و خارجی مؤثر بر ISMS
  • شناسایی ذینفعان سازمان
  • نهادهای کشوری مرتبط با صنعت و حوزه فعالیت سازمان
  • الزامات امنیت اطلاعات ابلاغ شده توسط ذینفعان و نهادهای کشوری
3- تعیین محدوده و دامنه کاربرد ISMS

گام بعدی در استقرار و پیاده سازی ISMS، تعیین و تعریف درست محدوده یا همان اسکوپ پیاده‌سازی سیستم است. در سازمان‌های کوچک و متوسط اسکوپ می‌تواند کل سازمان در نظر گرفته شود. برای سازمان‌های بزرگ ممکن است که بخشی از سازمان به عنوان محدوده در چرخه اول استقرار تعریف شود. هرچند که نمی‌توان در واقع در استقرار سیستم مدیریت امنیت اطلاعات خط‌کشی و مرزبندی مشخصی برای استقرار ISMS درون سازمان ایجاد کرد. ولی بهرحال لازم است که برای شروع کار و پرهیز از پیچیدگی و وسعت بیش از حد نسبت به تعریف محدوده و مرز سیستم اقدام شود. با تعریف مناسب اسکوپ و با کنترل نسبی شرایط محیطی می‌توان موفقیت پیاده‌سازی سیستم را تضمین نمود. طبیعی است که در فرایند توسعه سیستم در چرخه‌ها و مراحل بعدی می‌توان و بلکه باید نسبت به گسترش اسکوپ به کل سازمان اقدام نمود.

4- تحلیل شکاف (انطباق سنجی)

در این مرحله و پس از تعیین دامنه کاربرد استقرار و پیاده سازی سیستم مدیریت امنیت اطلاعات و پیش از شروع مراحل عملیاتی پیاده سازی ISMS لازم است که تحلیلی به‌منظور شناسایی وضعیت فعلی سازمان بر اساس الزامات و کنترل‌های استاندارد ایزو 27001 صورت پذیرد. هدف از این فعالیت بدست آوردن شناخت بهتر از میزان فعلی انطباق سازمان با استاندارد ISO 27001 است. سنجش فاصله سازمان در امنیت اطلاعات با حداقل‌های تعریف شده در ایزو 27001 از دیگر اهداف این فعالیت است. این تحلیل کمک می‌کند تا مجریان استقرار سیستم بتوانند تصویر کلی از نقاط ضعف و قوت امنیتی سازمان داشته باشند و نسبت به اولویت امور در مراحل بعد اقدام کنند.

5- تدوین بیانیه خط‌مشی امنیت اطلاعات

در این مرحله لازم است که سندی تحت عنوان بیانیه خط‌مشی امنیت اطلاعات تهیه شود. این خط مشی باید به تصویب مدیر ارشد سازمان و یا مدیر ارشد امنیت اطلاعات سازمان برسد. این بیانیه بیانگر عزم و تعهد مدیریت ارشد سازمان نسبت به اجرا و پیاده‌سازی ISMS در سازمان خواهد بود. ضروریست که این خط‌مشی به روش‌های مقتضی به اطلاع عموم پرسنل سازمان برسد.

6- سازماندهی امنیت اطلاعات در سازمان

در این گام باید ساختار مناسب امنیت اطلاعات در سازمان طراحی و ایجاد شود. تحقق موفق ISMS نیاز به افرادی دارد که دارای قدرت تصمیم‌گیری و اختیارات لازم باشند. همچنین لازم است که شرح وظایف این افراد و نحوه گزارش‌دهی میان آنها با هم و با مقامات سازمانی مشخص باشد. از این رو در این مرحله باید یک ساختار مناسب که پاسخگوی نیازهای سازمانی باشد در قالب چارت سازمانی و یا کمیته‌ها و کارگروه‌های تخصصی ایجاد گردد.

7- شناسایی فرصت‌ها و ریسک‌های پروژه ISMS

در این گام مطابق با الزامات استاندارد ISO/IEC 27001 لازم است که نسبت به شناسایی فرصتها و ریسک‌هایی که پیاده سازی ISMS می‌تواند در سازمان ایجاد نماید اقدام شود. لازم به ذکر است که در این گام هدف، شناسایی ریسک‌های امنیت اطلاعات نیست. بلکه رویکرد ما در این مرحله یک رویکرد کلان نسبت به ریسک‌ها و فرصت‌های کلی استقرار سیستم مدیریت امنیت اطلاعات است. این اقدام منجر به اتخاذ تدابیر مناسب جهت بهره‌برداری هرچه بیشتر از فرصت‌هایی که این سیستم بوجود خواهد آورد، می‌شود. همچنین کمک می‌کند با ریسک‌های احتمالی ایجاد شده توسط این سیستم، مقابله بهتری صورت گیرد.

8- شناسایی و مدیریت دارایی‌های اطلاعاتی

تا اینجای فرایند استقرار، مقدمات و آمادگی‌های لازم جهت طراحی و پیاده سازی ISMS فراهم شد. از این مرحله وارد گام‌های عملیاتی طراحی و اجرای سیستم می‌شویم. در این بخش لازم است که سازمان روشی برای شناسایی و مدیریت دارایی‌های اطلاعاتی خود تعیین نماید. از آنجاییکه دارایی‌های اطلاعاتی یا بصورت مستقیم و یا بصورت غیر مستقیم حاوی یا حامل اطلاعات سازمانی هستند لازم است که مبتنی بر روشی نظام‌مند نسبت به گردآوری، به‌روزآوری و مدیریت آنها اقدام شود. چنانچه بخواهید بصورت حرفه‌ای به مقوله مدیریت دارایی‌ها بپردازید باید فراتر از ایجاد فهرست، برای هر یک از دارایی‌های خود یک پروفایل اطلاعاتی ایجاد نمایید. پروفایل دارایی شامل اطلاعات و ویژگی های آن خواهد بود.

9- تدوین متدولوژی مدیریت ریسک امنیت اطلاعات

همانطور که میدانید مدیریت ریسک و تفکر مبتنی بر ریسک یکی از ارکان پیاده سازی ISMS در استاندارد ایزو 27001 است. از این رو در این گام سازمان باید روش و متدولوژی مطلوب خود را در مدیریت ریسک‌های امنیت اطلاعات تعریف نماید. استانداردهای ایزو 31000 و 27005 از جمله استانداردهایی هستند که از آنها می‌توان در تدوین متدولوژی مدیریت ریسک امنیت اطلاعات کمک گرفت. در متدولوژی مدیریت ریسک امنیت اطلاعات شما روش خود را در خصوص شناسایی، ارزیابی، تحلیل و مقابله با ریسک‌های امنیت اطلاعات تعیین می‌کنید. همچنین می‌توانید در همین مرحله آستانه پذیرش ریسک خود را نیز تعیین نمایید.

10- شناسایی ریسک های امنیت اطلاعات

در این گام و بر اساس متدولوژی تعریف شده در مرحله قبل به شناسایی ریسک‌های امنیت اطلاعات می‌پردازید. برای انجام شناسایی ریسک می‌توانید از روش‌های متنوع سیستمی و فنی استفاده نمایید. از جمله روش‌های سیستمی شناسایی ریسک‌های امنیت اطلاعات می‌توان به موارد زیر اشاره کرد.

  • مصاحبه
  • تکمیل پرسشنامه
  • بازبینی اسناد فعلی مرتبط با امنیت اطلاعات سازمان
  • بازدید از سایت‌ها و اماکن سازمان

همچنین در خصوص روش‌های فنی می‌توان به مواردی زیر اشاره کرد:

  • ارزیابی‌ امنیتی
  • آزمون نفوذ
  • ارزیابی‌ پیکربندی

Address

مشهد ، کوی دکترا ، ابن سینا 8 ، پلاک 116/1
051-91010386

ساعت کاری شرکت

شنبه تا پنجشنبه 9 الی 16
© آسا ارتباط برتر 2024