ارائه مشاوره ISMS به سازمان ها و استقرار آن

سیستم مدیریت امنیت اطلاعات مبتنی بر استاندارد 27001 ایزو پاسخگوی نیاز سازمان ها در حوزه مدیریت امنیت اطلاعات محسوب می شود. با کمک این استاندارد سطح قابل قبولی از امنیت در زیرساخت اطلاعاتی و ارتباطی سازمان فراهم می شود. در حال حاضر، نسخه 2022 به عنوان آخرین نسخه معتبراین استاندارد محسوب می شود و این شرکت ساختار مشاوره خود را مبتنی بر این نگارش از استاندارد ارائه می نماید. با کمک مشاورین با سابقه این شرکت می توانید از استقرار مطلوب الزامات این سیستم در محدوده تعریف شده در سازمان خود اطمینان حاصل نمایید. در ISMS کلیه المان های مورد نیاز به منظور تحقق امنیت اطلاعات پوشش داده می شود. از جمله این المان ها می توان به مدیریت دارایی، مدیریت ریسک، مدیریت دسترسی، مدیریت رخداد، مدیریت تداوم کسب و کار، مدیریت تغییرات و مدیریت ظرفیت اشاره نمود. الزامات در این سیستم مبتنی بر 93 کنترل پوشش داده شده اس. این کنترل ها در چهار دامنه تحت عناوین سازمان، پرسنلی، فیزیکی و فنی ارائه شده اند. در ISMS حداقل های مورد نیاز یک سیستم مدیریتی برگرفته از استانداردهای بین المللی ایزو شامل مدیریت مستندات و سوابق، مدیریت اقدامات اصلاحی، سنجش اثربخشی و ممیزی داخلی پوشش داده شده است.

درخواست مشاوره

مراحل پیاده سازی سیستم مدیریت امنیت اطلاعات (ISMS)

مراحل پیاده سازی سیستم مدیریت امنیت اطلاعات isms به 7 مرحله تقسیم می‌شود. در ادامه، شرح مختصری از هریک از این گام‌ها ارائه می شود.

فاز صفر: آموزش و آگاهی رسانی ISMS

از مهم‌ترین مواردی که در ایجاد و تداوم امنیت اطلاعات نقش موثری دارد، آموزش و آگاهی رسانی مناسب و کارآمد در راستای آشنایی و پاسخگویی پرسنل و پیمانکاران در قبال حقوق، وظایف، مسئولیت‌ها و… در برنامه امنیت اطلاعات سازمان است. هدف این مرحله آموزش و ارتقای سطح دانش و مهارت‌های مورد نیاز کارکنان سازمان در حوزه ISMS است. با این آموزش‌ها پرسنل سازمان و تیم امنیت شبکه و اطلاعات می‌توانند کلیه فعالیت‌های مربوط به مدیریت سیستم امنیت شبکه و اطلاعات را به خوبی انجام دهند.

فاز اول: شناسایی وضعیت موجود و تحلیل آن

با بررسی و بازبینی مستندات و سوابق سازمان، نوعی شناخت اولیه از سازمان صورت می‌گیرد. همچنین با استفاده از چک لیست‌ها، یک سری اطلاعات کلی در مورد وضعیت فناری اطلاعات در سازمان و شرایط فعلی شبکه به دست خواهید آورد. می‌توانیم بگوییم به طور کلی در فاز اول به توصیف وضعیت موجود سازمان در حوزه فناوری اطلاعات و فعالیت‌های مرتبط با آن پرداخته می‌شود. بازبینی و ارزیابی اولیه از میزان امنیت شبکه و اطلاعات سازمان در حوزه‌های زیر صورت می‌گیرد:

سطح شبکه

سطح زیرساخت

سطح سرویس

سطح پایگاه داده

سطح امنیت

سطح برنامه‌های کاربردی

فاز دوم: تعیین قلمروی اسقرار سیستم مدیریت امنیت اطلاعات

در این مرحله حیطه اجرای ISMS مطابق با الزامات افتا تعیین می شود.

فاز سوم: طراحی سیستم مدیریت امنیت اطلاعات

در این مرحله، دارایی‌ها طبق استاندارد، شناسایی و ارزش گذاری می‌شوند. سپس فرآیند مدیریت مخاطرات به اجرا گزارده شده و در ادامه فرآیندهای سازمان برای گذار از وضعیت موجود به وضعیت مطلوب، طراحی و اجرا خواهد شد. به این ترتیب، به کاهش شکاف و حرکت به سمت وضع مطلوب اقدام می‌‌شود.

فاز چهارم: پیاده‌سازی و اجرای ISMS در زمینه موضوع قرارداد

در این فاز، بر اساس SOA تهیه شده در مرحله قبل، دستورالعمل‌ها، رویه‌ها و پروژه‌های امن سازی بر اساس اواویت، ابلاغ شده و اجرا می‌شوند. در فاز سوم در صورت نیاز به خرید تجهیزاتی مانند انواع نرم افزار، سخت افزار، سیستم‌های پایش، پیکربندی تجهیزات و… زیر نظر سازمان، تصمیم گیری شده و معمولا توسط شخص ثالث اجرا می‌شود.

فاز پنجم: ممیزی، پایش و بهبود ISMS در زمینه موضوع قرارداد

پس از پیاده سازی سیستم، به فاز چهارم وارد می‌شویم. در این مرحله با توجه به چک لیست‌ها و مستندات مربوط به ممیزی استاندارد و همچنین توانمندی‌های تیم امنیت سازمان، کلیه فعالیت‌های صورت گرفته در پروژه بازبینی و بررسی می‌شوند. به این ترتیب اگر مشکل یا انحرافی نسبت به اهداف مطلوب و استاندارد وجود داشت، می‌توانید به سرعت آن را برطرف کنید. بعد از بازبینی و برطرف کردن مشکلات، سازمان آماده دریافت گواهینامه بین‌المللی استاندارد ISO 27001 خواهد بود.

فاز ششم: ممیزی توسط شرکت‌های صدور گواهینامه‌

همان طور که در مرحله قبل بیان کردیم، پس از پایان ممیزی داخلی و برطرف کردن نقطه ضعف‌ها و مشکلات موجود، سازمان می‌تواند گواهینامه بین‌المللی استاندارد ISO 27001 را دریافت کند. در این مرحله اگر مدیران سازمان تمایل داشته باشند، پس از مقایسه شرکت‌های صدور گواهینامه معتبر، از یک مرکز برای صدور گواهینامه دعوت خواهد شد.