
سیستم مدیریت امنیت اطلاعات (ISMS)
با توجه به اهمیت فناوری اطلاعات در کشور عزیزمان و نقش مؤثر آن در زیر ساختهای کلیدی و استراتژیک کشور، پیادهسازی سیستم مدیریت امنیت اطلاعات توسط هیأت محترم دولت در برنامه پنجم توسعه الزامی شده است. همچنین با توجه به اخذ گواهینامه مشاوره پیادهسازی در نظام مدیریت امنیت اطلاعات (نما) با رتبه یک از سوی سازمان فناوری اطلاعات ایران توسط شرکت امن پردازان کویر، ارائه خدمات مشاوره، طراحی و پیادهسازی سیستم مدیریت امنیت اطلاعات با بکارگیری تیمهای تخصصی فنی – سیستمی، یکی از خدمات کلیدی شرکت امن پردازان کویر محسوب میشود.
تجربه شرکت امن پردازان کویر در پیادهسازی و ارائه مشاوره به سازمانهای متوسط و بزرگ برای پیادهسازی سیستم مدیریت امنیت اطلاعات، در چارچوبهای فنی و مدیریتی که توسط پرسنل متخصص این شرکت بومی شدهاند، گنجانده شده است. این چارچوبها که مجموعهای از روشهای تجربه شده فنی و مدیریتی میباشند، سازمان را در طراحی، پیادهسازی و نگهداری از یک سیستم مدیریت امنیت اطلاعات مؤثر و مبتنی بر استاندارد ISO/IEC 27001، با هزینهای مقرون به صرفه یاری خواهد نمود. مجموعهای از تکنیکها، قالبها، گزارشات و جریانهای کاری موجود در متدولوژیهای بومی شده امن پردازان کویر نظیر APKInfoSIS، تمامی آنچه را که در پیادهسازی، نگهداری و بهبود مستمر سیستم مدیریت امنیت اطلاعات سازمان نیاز میباشد، در اختیار قرار خواهد داد.
- ISMS چیست؟
- مزایای استقرار سیستم مدیریت امنیت اطلاعات ISMS
- پیاده سازی سیستم مدیریت امنیت اطلاعات
- کتب و منابع ISMS
سیستم مدیریت امنیت اطلاعات چیست؟
توسعه روز افزون به کارگیری فناوری اطلاعات در فرایند کسب و کار هر سازمان موجب شده است که اطلاعات و داراییهای اطلاعاتی به عنوان یکی از منابع حیاتی آن مجموعه محسوب شود. استفاده پسندیده از اطلاعات و داراییهای اطلاعاتی یکی از نیازهای اساسی برای دستیابی به اهداف سازمان تبدیل شده است. حفظ محرمانگی، یکپارچگی و در دسترس بودن اطلاعات از مشخصههای مهم برای حفظ حیات و تداوم کسب و کار تلقی میشود. با توجه به ذخیرهسازی اطلاعات و قرارگیری آن در بستر شبکههای کامپیوتری و شبکههای عمومی، تأمین امنیت اطلاعات نیازمند نگاه ویژه است.
سازمانهای مختلف برای تحقق امنیت اطلاعات، هزینهها و سرمایهگذاریهای مختلفی انجام دادهاند و مطالعات نشان داده است که تأمین امنیت صرفا با محصول امنیتی یا تکنولوژی خاص به نحو مطلوبی میسر نمیگردد بلکه میبایست سیاستگذاری، فرهنگسازی، آموزش و اقدامات فنی و کنترلی در قالب یک فرایند سیستمی پویا انجام پذیرد به گونه ای که این فرایند در تداوم کسب و کار سازمان ادغام شده و کلیه عملکردها و فرایندهای سازمان با لحاظ نمودن مقوله امنیت اطلاعات انجام پذیرد که تحت عنوان سیستم مدیریت امنیت اطلاعات (ISMS) از آن یاد میشود. به بیان دیگر، سیستم مدیریت امنیت اطلاعات بخشی از فرایندهای سازمان و ساختار کلی مدیریت شده و با آن یکپارچه میباشد. سیستم مدیریت امنیت اطلاعات با بهکارگیری فرایند مدیریت مخاطرات از محرمانگی، صحت و دسترسپذیری اطلاعات محافظت کرده و به ذینفعان این اطمینان خاطر را میدهد که مخاطرات به میزان کافی مدیریت میشوند.
سیستم مدیریت امنیت اطلاعات در واقع مجموعهای است از سیاستها، اهداف، استراتژیها، روشهای امنیتی، مستندات شناسایی و ارزیابی مخاطرات، کنترلهای امنیت شبکه و اطلاعات (اعم از سختافزار، نرمافزار و...)، روشها و دستورالعملهای فنی و سیستمی، منابعانسانی و... میباشد که متناسب با قواره و زمینهکاری سازمان طراحی و پیادهسازی میگردد و وظیفه تداوم امنیت اطلاعات در سازمان را به عهده دارد.
به منظور فراهم آوردن الزامات استقرار، پیادهسازی، نگهداری و بهبود مستمر سیستم مدیریت امنیت اطلاعات، استاندارد بین المللی ISO/IEC 27001:2013 توسط سازمان بینالمللی استانداردسازی (ISO) و کمیسیون بینالمللی برق و الکترونیک (IEC) تهیه و ارائه گردیده است.
مزایای استقرار سیستم مدیریت امنیت اطلاعات (ISMS)
برآوردهسازی الزام قانونی (بخشنامهی هیئت دولت) برای استقرار سیستم مدیریت امنیت اطلاعات
امنسازی تمامی سیستمهای اطلاعاتی و فرآیندهای مربوط به آن
به حداقل رساندن ریسکها و خسارتهای امنیتی
کاهش و جلوگیری از حملات و دسترسیهای غیر مجاز علیه سرمایههای سازمان
سازماندهی و مدون سازی روالهای امنیتی وضعیت موجود
پیشگیری از حوادث و به حداقل رساندن ریسکها و خسارتهای امنیتی
جلوگیری از خدشه وارد شدن به تداوم کسب و کار
ارتقاء سطح آگاهی امنیتی کاربران و شبکههای کامپیوتری و ایجاد راهکارهای الزام کارکنان و مدیران نسبت به رعایت مسایل امنیتی
تربیت نیروی انسانی مسلط به امنیت اطلاعات
کاهش هزینهها
افزایش تضمین اعتبار قانونی سازمان برای طرفهای ذینفع
پیاده سازی سیستم مدیریت امنیت اطلاعات (ISMS)
مراحل پیاده سازی ISMS
فاز صفر
- شناخت و مستندسازی وضعیت موجود شبکه و امنیت شبکه
- تحلیل وضعیت مــــوجود و ارائه گزارش فنـــــی و مدیریتــی
- انجام آزمون تست نفوذپذیری (Penetration Test)
- ارائه راهکارهای امنیتی و اولویتبندی آنها
- امنسازی در سطح پیکربندی
- گزارش وضعیت موجود شبکه طبق کنترلهای امنیتی استاندارد ISO/IEC 27002 و تعیین شکاف موجود
نظارت
- تعیین دقیق محدوده پیادهسازی سیستم
- آموزش اولیه در سطح مدیران و راهبران
- تهیه سند RFP
- مشاوره جهت تعیین شرکت پیمانکار
- نظارت بر فعالیت پیمانکار جهت اجرای اثربخش سیستم
طراحی
- آموزش در سطح مدیران، راهبران و کاربران
- شناخت وضعیت موجود با رویکرد امنیتی
- شناسایی و ارزشگذاری داراییهای اطلاعاتی
- انجام فرآیند مدیریت ریسک (شناسایی، تحلیل و ارزیابی ریسک)
- تهیه طرح مقابله با ریسک (RTP) و ارائه طرح وضعیت مطلوب
طراحی و مشاوره پیادهسازی
- انجام کلیه موارد مربوط به بسته طراحی
- شـناخت و تحـلیل و ضعیت فـرآیندی و گردش مـدارک سازمان
- بـررسی و پیشنهاد ابزار و زیرسـاخت مناسب جهت پیادهسازی اثر بخش سیستم
- کمک به کارفرما جهت استقرار و عملیاتی نمودن سیستم
بازنگری و بهبود
- ممیزی وضعیت موجود در محدوده استقرار یافته
- تطبیق و طراحی جدید در محدوده استقرار یافته و نیاز به توسعه
- مشاوره پیادهسازی در محدوده تأیید شده
- آموزش در سطح مدیران، راهبران و کاربران
- شناخت وضعیت موجود با رویکرد امنیتی
- شناسایی و ارزشگذاری داراییهای اطلاعاتی
- انجام فرآیند مدیریت ریسک (شناسایی، تحلیل و ارزیابی ریسک)
- تهیه طرح مقابله با ریسک (RTP) و ارائه طرح وضعیت مطلوب
کتاب الزامات استاندارد سیستم مدیریت امنیت اطلاعات (ISMS)
شرکت امن پردازان کویر که یکی از پیشروان ارائه خدمات حوزه سیستم مدیریت امنیت اطلاعات در سطح کشور محسوب میشود، این رسالت را بر خود واجب دانسته است تا با ترجمه و انتشار کتاب "الزامات استاندارد سیستم مدیریت امنیت اطلاعات (ISMS)، بر اساس استاندارد ISO/IEC 27001:2013"، گامی کوچک در زمینه آموزش و آگاهی رسانی امنیت اطلاعات بردارد.
به منظور تهیه کتاب لازم است با شرکت امنپردزان کویر تماس حاصل نمایید تا به آدرس شما ارسال گردد.