سیستم مدیریت امنیت اطلاعات (ISMS)

رشد و گسترش روزافزون فناوری اطلاعات، انقلابی را در ابعاد مختلف زندگی انسان‌ها و عملکرد سازمان‌ها ایجاد کرده است. این فناوری روش‌های کارکرد و نگرش افراد، سازمان‌ها و دولت‌ها را دگرگون ساخته و باعث ایجاد تحول در انجام امور، به وی‍‍ژه ارائه خدمات مختلف به مشتریان شده‌است. امروزه ارائه سرویس و داشتن توانایی پاسخگویی به انتظارها، یکی از نیازمندی‌های کسب و کار مطمئن است و به همین دلیل در سازمان‌ها، داشتن شبکه‌ای قوی، مؤثر و امن بسیار مهم است. کسب آمادگی کافی جهت مقابله یا اتخاذ تصمیمات مناسب در مقابل حوادث فیزیکی، جرائم سایبری، اختلالات ناشی از تغییرات و غیره در هر دو لایه زیرساخت و کاربرد فناوری اطلاعات، رهیافتی اجتناب‌ناپذیر برای تضمین پایایی کسب و کار می‌باشد. لذا امن‌سازی شبکه و سیستم‌های اطلاعاتی به یکی از مسائل مهم پیش رو و دغدغه‌های عمده مدیران فناوری اطلاعات سازمان‌ها تبدیل شده است.
مهمترین اقدام در راستای امن‌‏سازی یک سازمان، ایجاد یک چارچوب قدرتمند جهت مدیریت اقدامات امنیتی است. باید اذعان داشت که فرآیند ‌امن‏‌سازی سازمان بدون لحاظ نمودن مسائل مدیریت امنیت و بسط و گسترش آن در سطح همه بخش‌های حساس و استراتژیک سازمان میسر نیست. سیستم مدیریت امنیت اطلاعات با انتخاب کنترل‏‌های امنیتی کافی و متناسب، محافظت از دارایی‌‏های اطلاعاتی را تضمین می‌‏نماید و به این ترتیب به طرفین ذینفع اطمینان خاطر داده می‌‏شود‏. به این ترتیب راه‌حل‌های امنیتی استاندارد به تمامی سخت‌افزارها، نرم‌افزارها، ارتباطات و بسترهای آنها اعمال می‌شود تا سازمان را در جهت نیل به موفقیت در سایه داشتن محیطی امن یاری کند.
سیستم مدیریت امنیت اطلاعات (ISMS) با هدف تبیین شفاف راهکارهای امن‌سازی به منظور مدیریت مخاطره‌های امنیت اطلاعات سازمان‏‌ها در چارچوب مجموعه مخاطره‌های کسب‌و‌کار و با عنوان ارزیابی، راهبری و پشتیبانی امنیت فناوری اطلاعات درون‏‌سازمانی و برون‏‌سازمانی در یک سطح توافق شده مطرح شده است که مراحل طراحی و پیاده‌سازی سیستم لزوماً پشت سر هم نبوده و می‌تواند همپوشانی داشته باشد.
لازم به توضیح است که منظور از طراحی و پیاده‌سازی سیستم مدیریت امنیت اطلاعات ایجاد بستری جهت ایجاد هماهنگی بین کلیه پرسنل حوزۀ پروژه به منظور حرکت در جهت امنیت اطلاعات در سازمان می‌باشد و این امر محقق نمی‌شود مگر با مشارکت و همراهی کلیه کارشناسان و پشتیبانی مدیران ارشد سازمان و لذا تمامی مراحل طراحی و پیاده‌‏سازی هر پروژه توسط مشاوران سیستم و با مشارکت و همراهی کارشناسان و مدیران سازمان امکان‏‌پذیر خواهد بود و در حقیقت ضمانت اثر بخش بودن سیستم وابسته به این مشارکت می‌باشد. چرا که طبعاً سیستم مدیریت امنیت اطلاعات یک سازمان پس از اتمام پروژه و خروج مشاور از سازمان همچنان با رویکرد بهبود مستمر تداوم خواهد یافت.جهت پياده ­سازي ISMS استانداردي از طرف سازمان معتبر ISO تحت عنوان 2005:ISO27001 ارائه شده است.
لازم به ذکر است که کلیۀ مراحل استقرار سیستم مدیریت امنیت اطلاعات مبتنی بر استاندارد ISO/IEC 27001:2005 بوده و بدین جهت منطبق با چرخۀ دمینگ (PDCA) می‏‌باشد. چرخۀ دمینگ پیشبرد یک فرایند را در چهار فاز طراحی (Plan)، اجرا (Do)، بررسی (Check) و اقدام (Act) تبیین می‏‌کند که با توجه به تعریف این چرخه به طور مداوم در حرکت بوده و بارها و بارها این فازها تکرار می‏‌شوند و موجب بهبود مستمر سیستم خواهد شد. با این رویکرد می‏‌توان روند استقرار سیستم مدیریت امنیت اطلاعات را در این چهار مرحله تبیین کرد:


الف) شناخت الزامات امنیت اطلاعات و نیاز به سیاست‏‌گذاری و هدف‏‌گذاری برای امنیت اطلاعات‏.
ب) پیاده‏‌سازی و بهره‌‏برداری از موارد کنترلی به منظور مدیریت مخاطره‌های امنیت اطلاعات یک سازمان در چارچوب مجموعه مخاطره‌‏های کسب‌و‌کار سازمان‏.
پ) پایش و بازنگری اجرا و اثربخشی سیستم مدیریت امنیت اطلاعات.
ت) بهبود مستمر بر اساس اندازه‏‌گیری هدف‏.

پیش نویس نسخه جدید ISO27001:2013 که در ژانویه معرفی شده بود، در سایت BSI قرار گرفت (این نسخه پیش نویس ممکن است تغییرات کوچکی با نسخه نهایی داشته باشد که در نیمه دوم سال 2013 منتشر خواهد شد.) هدف از ارائه این نسخه اصلاح کردن برخی از اشکالات می باشد.
این نسخه از استاندارد در بر دارنده 10 بند و یک پیوست از کنترل ها می باشد که موارد زیر را تحت پوشش قرار می دهد:

  1. دامنه
  2. مراجع
  3. تعاریف و واژگان ISO/IEC 27000
  4. زمینه فعالیت سازمان و سهامداران آن
  5. رهبری امنیت اطلاعات و پشتیبانی سطح بالا از خط مشی ها (high-level support for policy)
  6. طراحی سیستم مدیریت امنیت اطلاعات ; برآورد مخاطرات ; برطرف سازی مخاطرات
  7. پشتیبانی از سیستم مدیریت امنیت اطلاعات
  8. عملیاتی کردن سیستم مدیریت امنیت اطلاعات
  9. بررسی عملکرد سیستم
  10. اقدام اصلاحی

 

فواید پیاده سازی استانداردهای سیستم مدیریت امنیت اطلاعات (ISMS)

- استاندارد مورد تأييد و اجباری از سوی شورای عالی امنیت فضای تبادل اطلاعات كشور (افتا)
- كمك به تهيه برنامه عملياتی امنیت فضای تبادل اطلاعات در سازمان ها
- تأمين امنیت در همه سطوح شامل امنیت فیزیكی، پرسنلی و ارتباطات
- جديدترين استاندارد امنيت اطلاعات
- افزايش وجهه و اعتبار سازمان
- سيستم مديريت امنيت پويا و مستمر
- رويكرد پيشگيرانه
- نگاه همه‌جانبه به امنيت
- رويكرد آموزش پرسنل
- كاهش هزينه‌ها

شرکت تاکیان چگونه این خدمات را به شما ارائه خواهد داد؟

این شرکت آماده است تا طراحی، پیاده سازی، اصلاح ، بهبود و بازبینی در زمینه سیستم مدیریت امنیت اطلاعات در کلیه سازمانها، ادارات و شرکتها را ارائه نماید. این شرکت با در کنار هم داشتن سه تیم فنی امنیت شبکه، ISMS و طراحان نرم افزارهای امنیتی ، از قدرت بالایی جهت پیاده سازی سیستم مدیریت امنیت اطلاعات برخوردار می‌باشد.

عمده فعالیت های شرکت تاکیان در زمینه ISMS:

تهیه RFP برای سازمان‌ها:
جهت انتخاب مشاور شایسته برای پیاده­سازی سیستم مدیریت امنیت اطلاعات (ISMS)، سازمان ها نیاز به تهیه RFP مناسب در زمینه ISMS دارند. برای تهیه RFP مناسب در این زمینه، شناخت درست از نیازهای امنیتی سازمان با دید ISMS و استاندارهای وابسته، نیاز می باشد. شرکت تاکیان آمادگی لازم را برای تهیه RFP مناسب برای کلیه سازمان ها اعلام مینماید.

طراحی سیستم مدیریت امنیت اطلاعات:
کارشناسان تاکیان، جهت طراحی مدیریت امنیت اطلاعات در سازمان، پس از فرهنگ سازی مناسب در سازمان که شامل آموزش هایی در این خصوص و همچنین آگاه سازی پرسنل در این زمینه میباشد، به شناخت سازمان پرداخته و وضعیت موجود را تا رسیدن به وضعیت مطلوب در زمینه امنیت سازمانی بررسی مینمایند. پس از این مرحله ارزیابی مخاطرات با توجه به دارایی های شناخته شده صورت میگیرد و ریسک کلیه دارایی ها محاسبه شده و کنترل های مناسب جهت به حداقل رساندن ریسکها انتخاب میگردد. خروجی این سرویس ارائه طرح امنیت در زمینه سیستم مدیریت امنیت اطلاعات به سازمان خواهد بود.

پیاده سازی سیستم مدیرت امنیت اطلاعات:
جهت پیاده سازی سیستم مدیریت امنیت اطلاعات در سازمان،کارشناسان ISMS و کارشناسان فنی شرکت تاکیان در کنار هم به پیاده سازی طرح امنیت در سازمان می‌پردازند. این پیاده سازی با توجه به در نظر گرفتن کلیه بندها و کنترل‌های موجود در استانداردهای سیستم مدیرت امنیت اطلاعات خواهد بود. در رابطه با پیاده سازی فنی (امنیت اطلاعات الکترونیکی) که قسمتی از طرح امنیت می‌باشد در قسمت‌های بعدی توضیحات جامعتری داده شده است. پس از پیاده سازی جهت برطرف کردن مشکلات احتمالی ممیزان داخلی و هم چنین کارشناسان تست نفوذ این شرکت، سیستم پیاده سازی شده را مورد بررسی قرار داده و گزارشی را در اختیار تیم پیاده سازی قرار می‌دهند تا با توجه به آن مشکلات شناخته شده برطرف گردد.

حفظ و نگهداری سیستم مدیریت امنیت اطلاعات:
جهت حفظ و نگهداری سیستم مدیریت امنیت اطلاعات در سازمان، شرکت تاکیان تمهیداتی را جهت برطرف کردن مشکلات به وجود آمده و بهبود این سیستم در نظر گرفته است که مدت نگهداری و چگونگی آن بر اساس توافقی که با کار فرما صورت می‌گیرد، انجام داده می‌شود.

برگزاری سیمنار و دوره های آموزش:
با توجه به اهمیت مسأله آموزش در زمینه سیستم مدیریت امنیت اطلاعات، بخش آموزش شرکت تاکیان, توانایی برگزاری دوره‌های مختلف آموزشی را در سطوح مختلف داراست. این دوره ها كه به صورت تخصصی در زمینه ISMS برگزار می شوند شامل دوره‌های تخصصی و حرفه ای می باشند. هم چنین بخش آموزش در این زمینه توانایی برگزاری سمینارهایی با عنوان لزوم پیاده سازی ISMS در دنیای امروزی، آشنایی با سیستم مدیریت امنیت اطلاعات و استانداردهای وابسته به آن، را دارا می‌باشد.

سوالات متداول:

  • چطور مي توان آخرين اطلاعات در دسترس درباره نسخه جديد را بدست آورد؟ +

    در حال حاضر نسخه پیش نویس استاندارد (FDIS) انتشار یافته، انتظار می رود تا پایان سال 2013 استاندارد نهایی منتشر شده باشد. با توجه به اينکه يکي از مأموريت هاي دپارتمان ISMS گروه دوران علاوه بر پیاده سازی isms و نیز آموزش isms، بدست آوردن آخرين اطلاعات و اخبار روز دنيا در زمينه هاي مرتبط مي باشد، آخرین خبرها در مورد پیشرفت های صورت گرفته از طریق تماس با اين دپارتمان، در اختیار علاقه مندان قرار خواهد گرفت.
  • گواهینامه بين المللي ISO/IEC 27001 بر اساس کدام نسخه صادر مي شود؟ +

    بعضی شرکت ها در آستانه ی دریافت ISO27001:2005 با ورژن جدید آن مواجه شدند که آنها را با سوال جدیدی روبرو کرده است، سوالی که اغلب آنها می پرسند این است که آیا این گواهینامه هنوز هم معتبر است یا باید برای نسخه جدید آن منتظر بمانند؟ در جواب باید گفت استاندارد فعلی جهت صدور گواهينامه بين المللي معتبر است.صدور گواهینامه ISO/IEC 27001:2005 برای یک دوره زمانی پس از انتشار نسخه جدید این استاندارد مجاز خواهد بود، که توسط سازمان هاي اعتبار بخشی تعیین خواهد شد.
  • سازمان هايي که گواهینامه ISO/IEC27001:2005 را دریافت کرده اند چگونه مي توانند نسخه جديد را پياده سازي کنند؟ +

    پس از انتشار نسخه نهایی این استاندارد، کارشناسان شرکت تاکیان شما را در اعمال تغييرات لازم جهت انتقال از نسخه قدیمی به جدید حمایت خواهند کرد. در این حالت ما شما را با دستورالعمل ها و آموزش هاي لازم برای به روز رسانی آسان ISMS پشتیبانی خواهیم کرد و از ابتدا تا دریافت گواهینامه شما را تنها نخواهیم گذاشت.
  • تاثیر این تغییرات در پیاده سازی چگونه است؟ +

    با تغييراتي که در نسخه جديد ايجاد شده است، شرکت هایی که بدنبال بالابردن درجه امنیت هستند استاندارد جدید را در مقایسه با استاندارد قبلی راحت تر خواهند یافت و شرکت هایی که به دنبال راه فرار در پیاده سازی ها می گردند و این استاندارد را فقط برای دریافت گواهینامه می خواهند، استاندارد جدید برای آنها حکم یک فرصت را خواهد داشت!
  • 1

 

چاپ