امنیت اطلاعات

گزارش جهانی استاندارد ISO 27001-مدیریت امنیت اطلاعات-2018-بخش دوم

گزارش جهانی استاندارد ISO 27001-مدیریت امنیت اطلاعات-2018-بخش دوم

 چالش‏های ISO 27001

گزارش جهانی استاندارد ISO 27001-مدیریت امنیت اطلاعات-2018-بخش اول

زمان اجرا/ پیاده ‏سازی ISO 27001 کدام چالش‏های اصلی را در نظر می‏گیرید؟

 

مدیریت امنیت اطلاعات 11

 

دریافت/ اخذ و حفظ و نگهداری گواهی‏نامه معتبر ISO 27001 می‏تواند چالش ‏برانگیز باشد، و بسیاری از سازمان‏ها در حال مبارزه با زمینه ‏های کلیدی اجرای ISO 27001 هستند.

امنیت زنجیره تأمین ISO 27001

آیا هریک از مشتریان شما در ارتباط با وضعیت ISO 27001 شما در 12 ماه گذشته سؤالی پرسیده ‏اند؟

مدیریت امنیت اطلاعات

آیا سازمان شما انتظار دارد که تأمین‏ کنندگان آن‏ها در طی 12 ماه گذشته با استاندارد ISO 27001 سازگار شوند؟

مدیریت امنیت اطلاعات

کنترل‏های امنیتی خاص تأمین ‏کننده می‏تواند از یک عرضه کننده به عرضه کننده متفاوت باشد، اما با استاندارد ISO 27001، تمامی تأمین‏ کنندگان با استفاده از همان مجموعه از کنترل‏ها مورد ممیزی قرار می‏گیرند.
با دادن اجازه به سازمان‏ها جهت اطمینان مشتریان و تأمین‏ کنندگانی که بهترین و تجربه ‏شده ‏ترین فرآیندهای امنیت اطلاعات را اجرا کرده ‏اند، گواهی‏نامه ISO 27001 نقش حیاتی در تضمین زنجیره تأمین ایفا می‏کند و به سازمان‏ها کمک می‏کند تا کسب ‏وکار و فرصت‏های جدید خلق کنند.
67 درصد از پاسخ ‏دهندگان به تأمین‏ کنندگانی نیاز دارند تا مدارک مربوط به انطباق امنیت اطلاعات را یا از طریق ممیزها یا با گواهی‏نامه ISO 27001 ارائه دهند.

خط زمانی گواهی‏نامه ISO 27001

مدت زمانی که سازمان شما جهت دریافت/ اخذ گواهی‏نامه ISO 27001 سپری کرده است؟
پروژه‏ های ISO 27001 از لحاظ زمانی متفاوت هستند:

مدیریت امنیت اطلاعات هزینه گواهینامه ISO 27001

اگر مقدار آن را تعیین کرده ‏اید، در سال اول صدور گواهینامه، -به استثناء هزینه‏ های صدور- سازمان چه میزان برای پیاده ‏سازی سیستم مدیریت امنیت اطلاعات منطبق با استاندارد ISO 27001 هزینه کرده ‏است؟

مدیریت امنیت اطلاعات

هزینه تقریبی کل هزینه‏ های صدور گواهینامه چه میزان است؟ (مبلغ پرداختی به سازمان صادرکننده گواهینامه در آخرین دوره صدور گواهینامه)

مدیریت امنیت اطلاعات

بسیاری از پاسخ ‏دهندگان (56%) هزینه‏ های خود را محاسبه و ثبت نکرده ‏اند. اما برای کسانی که نسبت به محاسبه و ثبت هزینه‏ های خود اقدام کرده بودند، هزینه متوسط بین 5000 تا 20000 پوند بود. این رقم در طی سه سال گذشته ثابت مانده است.
گزارش شده‏ است بیش از یک چهارم هزینه تقریبی کل هزینه‏ های مربوط به صدور گواهینامه که به سازمان صادرکننده گواهینامه در آخرین دوره پرداخت شده‏ است، بین 5000 تا 10000 پوند بود.
باتوجه به اینکه 49.46% از پاسخ ‏دهندگان موافقت خود را در ارتباط با هزینه پیاده ‏سازی ISO 27001 -که به‏ طورکامل از طریق منافع تأمین می‏شود- اعلام کردند، با این وجود، صرف این هزینه‏ ها سرمایه ‏گذاری ارزشمندی محسوب می‏شود. گزارش شده‏ است که 29.03% از این هزینه‏ ها هم راستا با سایر سیستم‏های مدیریتی است. 

ISO 27001 و مخاطره سایبری

باوجود اجرا/ پیاده ‏سازی استانداردهای سطح بالا از امنیت اطلاعات، احتمال اینکه سازمان شما هدف حمله سایبری قرار گیرد و یا از نقض داده ‏ها رنج ‏برد چه میزان است؟

مدیریت امنیت اطلاعات 17کسانی که در زمینه امنیت اطلاعات و امنیت سایبری مشغول به کار هستند، متوجه خواهند شد که تمامی مخاطره‏ ها –به‏ طور خاص مخاطره‏ های سایبری- به‏ طور مستمر در حال تکامل هستند و احتمال وقوع حمله قابل‏ توجه است. متأسفانه، تا زمانی که جرایم سایبری همچنان یک تجارت سودآور باقی بماند، خطرات همچنان رو به افزایش است و مهاجمان نیز به تکثیر خود ادامه خواهند داد. ISO 27001 یک استاندارد امنیت اطلاعات است که برای به حداقل رساندن خطرات و کاهش خسارت طراحی شده‌ است و نیاز است که سازمان‌ها آمادگی لازم را در این خصوص ارائه دهند. اما مهاجمان همچنان سازمان‏ها را مورد هدف قرار خواهند داد.
برای اینکه از یک حمله احتمالی سایبری در امان باشید و توانایی مقابله با آن را داشته باشید، آیا برنامه ‏های مدیریت تداوم کسب ‏وکار و پاسخگویی به حادثه را اجرا کرده ‏اید؟
مدیریت امنیت اطلاعات علیرغم افزایش امنیت اطلاعات، سازمان‏ها هنوز آسیب‏ پذیر هستند و تقریباً نیمی از آن‏ها (45%) بیان کرده ‏اند که با وجود اجرای استانداردهای سطح بالا امنیت اطلاعات، اعتقاد دارند که احتمال اینکه سازمان آن‏ها قربانی یک حمله سایبری قرار گیرد و یا از یک نقض داده رنج ببرد وجود دارد.
در نتیجه، اکثریت قریب به اتفاق (83%) از پاسخ ‏دهندگان، برای مواجهه با یک حمله احتمالی سایبری برنامه ‏های مدیریت تداوم کسب ‏وکار و پاسخگویی به حادثه را پیاده ‏سازی کرده ‏اند.
متخصصان امنیتی آینده‏گر به خوبی می‏دانند که برنامه ‏های مدیریت تداوم کسب ‏وکار و مدیریت پاسخگویی به حوادث جزء عناصر حیاتی از یک استراتژی تاب‏آور سایبری هستند و شناسایی نیاز جهت آمادگی در برابر هر نوع فاجعه‏ای لازم است. همان‏طورکه تهدید سایبری رشد می‏کنند، سازمان‏ها باید اقدام‏های لازم را در اختیار داشته باشند تا بتوانند به سرعت به چنین حملاتی پاسخ دهند و در کوتاه‏ترین زمان ممکن و با کمترین میزان پیامد کسب ‏وکار را بهبود بخشند.
کدامیک از مجموعه کنترل عمومی/ امنیت سایبری اضافی زیر، به جزء موارد ارائه شده توسط ISO 27001:2013 پیوست الف، را در سیستم مدیریت امنیت اطلاعات خود استفاده می‏کنید؟ (در صورت وجود)
مدیریت امنیت اطلاعات علاوه ‏بر استاندارد ISO 27001:2013، مجموعه کنترل‏های الزام‏های سایبری (39%)، استانداردهای امنیت اطلاعات کارت‏های پرداخت با (34%) و مؤسسه ملّی استانداردها و فناوری با (29%) جزء محبوب‏ترین کنترل‏ها هستند. همچنین 30% درصد از پاسخ ‏دهندگان استفاده از کنترل‏های خاص صنعت/ کشور یا دیگر کنترل‏های شرکتی را گزارش کرده ‏اند.
گواهی ISO 27001 یک معیار مؤثر برای حفاظت از اطلاعات شما، شهرت شما و کسب ‏وکار شما از آسیب‏های ناشی از نقض اطلاعات است.
با پیاده ‏سازی محافظت‏هایی که به جای نقاط ضعف خاص، روندها را ردیابی می‏کنند، می‏توانید خطر ابتلا به هر نوع حمله‏ای را کاهش دهید.

ISO 27001 و قانون حفاظت از داده ‏های عمومی

آیا اجرای سیستم مدیریت امنیت اطلاعات سازگار با استاندارد ISO 27001 شما را قادر می‏سازد مطابق با الزام‏های امنیت اطلاعات قانون حفاظت از داده ‏های عمومی عمل کنید؟
مدیریت امنیت اطلاعات استاندارد ISO 27001 یک نقطه شروع عالی برای دستیابی به الزام‏های عملیاتی و فنی لازم برای جلوگیری از نقض اطلاعات ذیل قانون حفاظت از داده ‏های عمومی است.
در حقیقت، سازمانی که استاندارد ISO 27001 را اجرا کرده ‏است، حداقل نیمی از تلاش خود را جهت رعایت قانون حفاظت از داده ‏های عمومی با به حداقل رساندن خطر نقض انجام داده ‏است.

رویکرد سیستماتیک استاندارد، -با تکیه بر سه رکن: افراد، فرآیندها و فناوری- به سازمان‏ها کمک می‏کند با الزام‏های قانون حفاظت از داده ‏های عمومی سازگار شوند.

بنابراین، جای تعجب نیست که 68% از سازمان‏ها از استاندارد ISO 27001 جهت دستیابی به سازگاری با قانون حفاظت از داده ‏های عمومی استفاده می‏کنند. با این وجود نگرانی اصلی سازمان‌ها در سراسر جهان هنوز‌ هم امنیت سایبری است.

صلاحیت‏های ISO 27001

شخصی که مدیریت ISMS شما را برعهده دارد، دارای مدرک رسمی ISO 27001 ISMS است؟ (به‏عنوان مثال، مجری ارشد ISO 27001 یا سر ممیز ISO 27001)
مدیریت امنیت اطلاعات در صورتی‏که پاسخ شما به سؤال بالا «خیر» است، آیا قصد دارید به‏ طور جدی فردی را برای مدیریت سیستم ISMS خود جهت دستیابی به صلاحیت رسمی ISO 27001 آموزش دهید؟
مدیریت امنیت اطلاعات باتوجه به چالش‏هایی که هنگام پیاده‎‏سازی ISO 27001مواجه هستید، آموزش می‏بایستی یک اولویت کلیدی برای سازمان‏ها باشد.
با وجود این، تقریباً نیمی از (44 درصد) پاسخ ‏دهندگان پذیرفته ‏اند که فردی که ISMS را مدیریت می‏کند فاقد صلاحیت لازم ISO 27001 است.
اگرچه یک چهارم اظهار داشتند که بر تصمیم آموزش کنترل و تمرکزی ندارند، با اطمینان، 46 درصد از پاسخ ‏دهندگان بیان کردند که قصد دارند به طور رسمی افرادی را برای مدیریت سیستم ISMS خود جهت کسب گواهینامه رسمی ISO 27001 آموزش دهند.

آگاهی کارکنان ISO 27001

چه میزان اطمینان دارید که برنامه/ آموزش آگاهی کارکنان به بهبود امنیت اطلاعات کمک می‏کند؟

مدیریت امنیت اطلاعات - با اطمینان بالا: با بازرسی‏های منظم، بازخورد و تست نتایج دریافت‏ شده قبلی
- اطمینان متوسط: یک برنامه را اجرا کرده‏ایم اما نتایج متنوعی دریافت می‏کنیم.
- عدم اطمینان: آزمایش ما برای اثبات اثربخشی کافی نیست.

اگرچه محافظت‏های فناورانه ضروری هستند، اما اگر کارکنان مسئولیت‏های امنیت اطلاعات خود را درک نکنند، استفاده محدودی خواهند داشت. بنابراین استاندارد اجبار می‏کند که سازمان‏ها به‏طور مرتب و به ‏صورت کامل مسائل مربوط به امنیت اطلاعات را در سطح کارکنان پوشش دهند.
آموزش کارکنان در مورد راهکارهایی که می‏توانند داده ‏ها را در معرض خطر قرار دهند، می‏توان به سازمان‏ها کمک کند که یکی از بزرگ‏ترین آسیب‏ پذیری‏های خود را به یک نقطه قدرت تبدیل کنند، اما با این وجود، تقریباً نیمی از (44 درصد) پاسخ‏دهندگان در ارتباط با اثربخشی آموزش آگاهی کارکنان خود «نسبتاً مطمئن» هستند.

به دنبال پیاده ‏سازی یا دریافت گواهینامه ISO 27001 هستید؟

بسیاری از سازمان‏ها از اینکه اجرای ISO 27001 بسیار پرهزینه و وقت‏گیر باشد می‏ترسند، اگرچه نیازمند زمان و تلاش است، اما هزینه و دشواری آن چیزی نیست که شما در ابتدا در ارتباط با آن تصور می‏کنید. 

بسته‏ های پیاده ‏سازی ISO 27001

بسته‏ های پیشنهادی ترکیبی از پرفروش‏ترین ابزارها، نرم ‏افزارها، راهنماها و آموزش‏های مبتنی بر صلاحیت با حداکثر 40 ساعت مشاوره آنلاین است. بسته ‏های پیاده ‏سازی این شرکت به‏ شکل ماهرانه‏ای برای پاسخگویی به نیازهای منحصربه ‏فرد سازمان شما تدوین شده ‏است. این بسته ‏ها می‏توانند به کاهش زمان و تلاش شما برای پیاده ‏سازی سیستم مدیریت امنیت اطلاعات کمک کند. همچنین هزینه ‏های کار مشاوره، مسافرت و سایر هزینه ‏های مرتبط با مشاوره به‏ صورت سنتی را حذف می‏کند.

مدیریت امنیت اطلاعات


مشاوره با کارشناسان امنیت اطلاعات و امنیت شبکه

شرکت APK (امن پردازان کویر) در راستای اهداف خود آماده است تا به سازمانها ، شرکتها و واحدهای صنعتی مشاوره تخصصی در حوزه امنیت اطلاعات و امنیت شبکه را بصورت رایگان ارایه نماید

نظرات (0)

هیچ نظری در اینجا وجود ندارد

نظر خود را اضافه کنید.

  1. ارسال نظر بعنوان یک مهمان ثبت نام یا ورود به حساب کاربری خود.
0 کاراکتر ها
پیوست ها (0 / 3)
مکان خود را به اشتراک بگذارید

شبکه‌های اجتماعی

عضویت در خبرنامه

مطالب شگفت انگیز ، در صندوق ورودی شما

بروزترین مقالات در زمینه های :امنیت اطلاعاتامنیت شبکهعملیات امنیت
امنیت اطلاعات

فیشینگ هدف‌دار یک ایمیل است که شخص یا گروهی مشخص در یک سازمان را هدف قرار داده و ب

امنیت اطلاعات

در این مطلب، پس از تعریف اصل حداقل بودن اختیارات، موارد کاربری ای

امنیت اطلاعات

4- موج سوم- نهادینه‏‌سازی
نهادینه‏‌سازی بر ایجاد یک زیرساخت امنیت اطلاعات ف

امنیت اطلاعات

هدف این مقاله، آشنایی متخصصان و محققان حوزه امنیت اطلاعات با سیر

تهران - بلوار كشاورز، خيابان شهيد نادري پائين تر از خيابان ايتاليا، پلاك ۲ واحد ۵۰۵
۷۳ ۴۲۲ (۰۲۱)
۴۲۲۳۸۰۰۰ (۰۲۱)
۱۴۱۶۶۱۳۶۶۹
info{at}apk-group.net
یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان
۳۶۲۹۰۹۹۰ (۰۳۵)
۸۹۱۶۷۱۵۹۵۷

 امن پردازان کویر

Search