ISMS

 ISMS مخفف عبارت Information Security Management System و به معنی سیستم مدیریت امنیت اطلاعات است. سیستم مدیریت امنیت اطلاعات، مجموعه‌ای از سیاست‌ها، اهداف، استراتژی‌ها، مستندات شناخت و ارزیابی مخاطرات، دستورالعمل‌های سیستمی و… است که متناسب با اندازه و زمینه کاری سازمان طراحی و پیاده سازی می‌شود. سیستم ISMS وظیفه تداوم امنیت اطلاعات در سازمان را به عهده دارد.

ISMS استانداردهایی را برای ایمن سازی فضای تبادل اطلاعات در سازمان‌ها ارائه می‌دهد. این استانداردها مجموعه‌ای از دستورالعمل‌ها را شامل می‌شود تا فضای تبادل اطلاعات یک سازمان را با اجرای طرح مخصوص به آن ایمن کند.

استانداردهای مدیریت امنیت فضای تبادل اطلاعات، تعدادی استاندارد امنیتی است که به سازمان‌ها توان اجرای تکنیک‌ها و سیاست‌هایی را می‌دهد تا تعداد حملات موفق در فضای تبادل اطلاعات به حداقل برسد. در واقع این استانداردها، یک چارچوب امنیتی کلی و یک سری تکنیک‌های تخصصی برای پیاده سازی «امنیت» در فضای تبادل اطلاعات فراهم می‌کنند.

قدم اول: شناسایی وضعیت موجود و کاهش نقاط ضعف

با بررسی و بازبینی مستندات سازمان، نوعی شناخت اولیه از سازمان صورت می‌گیرد. همچنین با استفاده از چک لیست‌ها، یک سری اطلاعات کلی در مورد وضعیت فناری اطلاعات در سازمان و شرایط فعلی شبکه به دست خواهید آورد. می‌توانیم بگوییم به طور کلی در فاز اول به توصیف وضعیت موجود سازمان در حوزه فناوری اطلاعات و فعالیت‌های مرتبط با آن پرداخته می‌شود. بازبینی و ارزیابی اولیه از میزان امنیت شبکه و اطلاعات سازمان در حوزه‌های زیر صورت می‌گیرد:

سطح شبکه

سطح سیستم

سطح برنامه‌های کاربردی

سطح بستر ارتباطی

سطح Connections

سطح رمز نگاری

قدم دوم: طراحی و تطبیق ISMS در قلمرو سیستم

در این مرحله، دارایی‌ها طبق استاندارد، شناسایی و ارزش گذاری می‌شوند. سپس فرآیندهای سازمان برای گذار از وضعیت موجود به وضعیت مطلوب، طراحی و اجرا خواهد شد. به این ترتیب، به کاهش شکاف و حرکت به سمت وضع مطلوب اقدام می‌کنید.

قدم سوم: پیاده‌سازی و اجرای ISMS در زمینه موضوع قرارداد

در این فاز، بر اساس SOA تهیه شده در مرحله قبل، دستورالعمل‌ها، رویه‌ها و پروژه‌های امن سازی بر اساس اواویت، ابلاغ شده و اجرا می‌شوند. در فاز سوم در صورت نیاز به خرید تجهیزاتی مانند انواع نرم افزار، سخت افزار، سیستم‌های پایش، پیکربندی تجهیزات و… زیر نظر سازمان، تصمیم گیری شده و معمولا توسط شخص ثالث اجرا می‌شود.

قدم چهارم: ممیزی، پایش و بهبود ISMS در زمینه موضوع قرارداد

پس از پیاده سازی سیستم، به فاز چهارم وارد می‌شویم. در این مرحله با توجه به چک لیست‌ها و مستندات مربوط به ممیزی استاندارد و همچنین توانمندی‌های تیم امنیت سازمان، کلیه فعالیت‌های صورت گرفته در پروژه بازبینی و بررسی می‌شوند. به این ترتیب اگر مشکل یا انحرافی نسبت به اهداف مطلوب و استاندارد وجود داشت، می‌توانید به سرعت آن را برطرف کنید. بعد از بازبینی و برطرف کردن مشکلات، سازمان آماده دریافت گواهینامه بین‌المللی استاندارد ISO 27001 خواهد بود.

قدم پنجم: ممیزی توسط شرکت‌های صدور گواهینامه‌

همان طور که در مرحله قبل بیان کردیم، پس از پایان ممیزی داخلی و برطرف کردن نقطه ضعف‌ها و مشکلات موجود، سازمان می‌تواند گواهینامه بین‌المللی استاندارد ISO 27001 را دریافت کند. در این مرحله اگر مدیران سازمان تمایل داشته باشند، پس از مقایسه شرکت‌های صدور گواهینامه معتبر، از یک مرکز برای صدور گواهینامه دعوت خواهد شد.

سیستم استاندارد ISO27001

سیستم استاندارد ISO27001 به سازمان‌ها و شرکت‌ها کمک می کند تا دارایی ها و اطلاعات خود را به صورت ایمن نگهداری و اطلاعاتی مانند اطلاعات مالی، مالکیت معنوی، اطلاعات کارکنان و یا اطلاعات طبقه بندی مهم دیگر را مدیریت نمایند.

این استاندارد بین المللی تحت تأثیر نیازها و اهداف سازمان، نیازهای امنیتی، فرآیندهای سازمانی و اندازه و ساختار سازمان با ایجاد و اجرای الزامات لازم جهت اجرا و نگهداری، بهبود مستمر مدیریت امنیت اطلاعات را فراهم می نماید. تصویب ایجاد و پیاده سازی این سیستم یک تصمیم استراتژیک برای سازمان خواهد بود.

انتظار می رود عوامل تاثیرگذار بر تدوین این استاندارد به صورت دوره ای و در طول زمان دائما در حال تغییر و سازمان نیاز به مراقبت در اجرای این سیستم به صورت  دائمی داشته باشد. سیستم مدیریت امنیت اطلاعات، با استفاده از فرایند مدیریت ریسک، محرمانه بودن، یکپارچگی و دسترسی اطلاعات را حفظ می کند و اعتماد به نفس را برای طرفین ذینفع ایجاد می نماید.

مراحل پیاده سازی ISO27001

مرحله اول : بررسی سازمان از لحاظ حجم و نوع فرایند و به عبارت دیگر شناخت سازمان و در صورت نیاز انجام عارضه‌یابی

مرحله دوم : آموزش‌های داخل سازمانی برای آشنایی با الزامات ایزو ۲۷۰۰۱ – شرح وظایف و نحوه اجرای پروژه در سازمان

مرحله سوم : مستند سازی سیستم و استاندارد ایزو ۲۷۰۰۱ شامل پیاده‌سازی روش‌ها – فرم‌ها و دستورالعمل‌ها بر اساس آخرین ورژن ایزو ۲۷۰۰۱

مرحله چهارم : بررسی و نظارت بر سیستم مستقر شده ایزو ۲۷۰۰۱

مرحله پنجم : ممیزی داخلی به‌منظور بررسی و یافتن ایرادات کوچک و بزرگ

مرحله ششم : ممیزی خارجی و نهایی توسط مرجع صدور با رویکرد اخذ گواهینامه ایزو ۲۷۰۰۱ معتبر

در مجموع میتوان گفت داده‌ها و اطلاعات جز دارایی‌های حیاتی و با ارزش هر سازمانی محسوب می‌شوند. برای حفظ امنیت اطلاعات و داده‌ها و اطمینان از این که این دارایی با ارزش از تهدیدات متفاوت در امان می‌ماند، به کارگیری یک ISMS یا سیستم مدیریت امنیت اطلاعات موثر ضروری به نظر می‌رسد. که شرکت پارسیس با توجه به سابقه و کارمندان مجرب در این زمینه میتواند درکنار شما و مجموعه شما باشد  و همچنین به‌کارگیری ISMS علاوه بر حفظ ارزش برای سازمان به مشتری‌ها و همکاران آن نشان می‌دهد که سازمان برای امنیت اطلاعات خود ارزش قائل است و می‌تواند منجر به گسترش بازار و افزایش ضریب موفقیت در حوزه‌های جدید کسب و کار باشد.