سیستم مدیریت امنیت اطلاعات
امروزه امنیت اطلاعات، بزرگترین چالش در عصر فناوری اطلاعات محسوب می شود و حفاظت از اطلاعات در مقابل دسترسی غیر مجاز، تغییرات، خرابکاری و افشاء، امری ضروری و اجتناب ناپذیر به شمار مي رود. از اين رو، امنیت دارایی های اطلاعاتی، برای تمامي سازمان ها امری حیاتی بوده و مستلزم یک مدیریت اثربخش می باشد.
فراهم آوری صحت و تمامیت اطلاعات، به گونه ای که در زمان مناسب، اطلاعات در دسترس افراد مجازي قرار بگيرد که نیازمند آن می باشند، عاملی است که منجر به اثربخشی کسب و کار می گردد.
امنیت اطلاعات شامل سه بُعد مهم است:
دسترس پذیری (Availability)
یکپارچگی (Integrity)
محرمانگی (Confidentiality)
استاندارد ISO/IEC 27001 زمینه مناسبی را برای طراحی و استقرار سیستم مدیریت امنیت اطلاعات و ارزیابی آن در سازمان ها و بهره گیری از منافع این رویکرد، فراهم آورده است. سیستم مدیریت برحسب امنیت اطلاعات، به یک سازمان این امکان را می دهد تا موارد زير را ایجاد نماید:
- رضایت نیازمندی های امنیتی مشتریان و سایر ذینفعان
- بهبود طرح ها و فعالیت های سازمان
- تأمین اهداف امنیت اطلاعات سازمان
- تطابق با آيین نامه ها و قوانین و مقررات مربوط به کار
- مدیریت دارایی های اطلاعاتی در یک روش سازمان یافته که به بهبود مستمر و تعدیل با اهداف سازمانی کنونی کمک می کند.
لذا ضروري است كه سیستم مدیریت امنیت اطلاعات (ISMS)، با توجه به نیازها و الزامات هر سازمان و منطبق با رویه ها و استانداردهای ISO/IEC 27001 و ISO/IEC 27002 طبق فازهای زير، طراحی و پیاده سازی شود:
طراحی (ISMS( Planning & Design:
به منظور موفقیت در پیاده سازیISMS ، می بایست این سیستم را مطابق با الزامات استاندارد و نیازمندی های سازمان طراحی نمود. فعالیت هایی که در این مرحله اجرا می شود، عبارتند از:
- تهیه لیست دارایی های واقع در دامنه
- طبقه بندی و ارزش گذاری دارایی های اطلاعاتی
- تعیین و تدوین متدولوژی ارزیابی مخاطرات
- تدوین خط مشی ها، دستورالعمل ها و روش های اجرایی مورد نیاز سیستم
- تدوین طرح تداوم کسب و کار (BCP)
- تدوین طرح برطرف سازی مخاطرات (RTP)
- تدوین بیانیه کاربست پذیري (SOA)
ارزیابی و شناخت اولیه (Gap Analysis):
در فاز ارزیابی و شناخت اولیه، میزان انطباق سازمان با الزامات و کنترل های استاندارد ISO/IEC 27001 مورد بررسی قرار می گیرد. این مرحله، کمک شایانی به تعیین دامنه (scope) پیاده سازی سیستم و فاز طراحی خواهد نمود. فعالیت هایی که در این مرحله اجرا می شود، عبارتند از:
- شناسایی وضعیت موجود و ارزیابی میزان انطباق سازمان با الزامات و کنترل های استاندارد ISO/IEC 27001
- مستندسازی و تهیه گزارش از وضعیت موجود
- تعیین دامنه (scope) پیاده سازی سیستم مدیریت امنیت اطلاعات
- تهیه و تدوین خط مشی امنیت اطلاعات
- کمک به سازماندهی و تشکیل کمیته راهبری امنیت در سازمان
پیاده سازی(SMS (Implementation:
در این مرحله، کنترل ها، طرح ها و سیاست های امنیتی تهیه شده در فاز قبلی، پیاده سازی می شود.
آگاه سازی و آموزش (Awareness & Training):
در این مرحله، تمامي افراد درگیر در فرآیند پیاده سازی سیستم مدیریت امنیت اطلاعات، آموزش دیده و با مفاهیم و الزامات ISMS آشنا می شوند.
ممیزی داخلی و همراهی تا صدور گواهینامه بین المللی (Internal & External Audit):
پس از پیاده سازی و استقرار کامل سیستم مدیریت امنیت اطلاعات در سازمان، سرممیزان انتخاب شده توسط سازمان، با پیش ممیزی سیستم پیاده سازی شده قبل از ممیزی نهایی، موارد انحرافی و عدم انطباق ها را شناسایی می کنند و با ارايه اقدامات اصلاحی و پیشگیرانه مناسب به منظور رفع عدم انطباق های شناسایی شده، سازمان را تا اخذ گواهینامه بین المللی ISO/IEC 27001 همراهی می نمایند.
با توجه به مطالب بیان شده در بالا، پذیرش سیستم مدیریت امنیت اطلاعات باید یک تصمیم راهبردی برای هر سازمانی باشد. در این راستا گروه ارتباطات شرکت رهنما فردا با طراحی یک متدولوژی پیشرفته و نوآورانه امنیت واقعی را برای سازمانها به ارمغان میآورد.
گواهینامه ها و مجوزهای ISMS
پروژه انجام شده
