خدمات
مشاوره و پیاده سازی سیستم مدیریت امنیت اطلاعات ISMS
مقدمه
از آنجا که امروزه تمامی اطلاعات و ارتباطات سازمان‏ها به صورت دیجیتالی درآمده و از طریق شبکه‏های کامپیوتری ذخیره‏سازی و منتقل می‏گردد، دسترس‏پذیری، صحت و امنیت این دارایی‏های دیجیتالی، دغدغه اصلی مدیران سازمان‏ها گردیده است. دغدغه‏هایی مانند خطر آشكار شدن رمز عبور، خطر ويروسي شدن سيستمها، ازبين رفتن اطلاعات، تغيير اطلاعات توسط افراد غير مجاز، نفوذ کاربران داخلی یا نفوذگران اینترنتی به سيستمهاي کامپيوتري، و نداشتن رویه‏های مشخص برای اطمینان از صحت عملکرد سیستم‏های سخت‏افزاری و نرم‏افزاری، دلایل ایجاد سیستم مدیریت امنیت اطلاعات (ISMS) می‏باشد
هدف اين سيستم به زبان ساده فراهم کردن امکان استفاده مناسب و سودمند از زير ساخت و اجزاي مختلف امنيتي سازمان مي‏باشد.
با توجه به الزامات هیات محترم دولت برای پیاده‏سازی ISMS در کلیه زیرمجموعه‏ها و سازمان‏ها ونهادهای دولتی، این شرکت با توجه به تجربیات موفق خود در زمینه امنیت شبکه و اطلاعات و ISMS، مستندات مورد نياز را به گونه‏ای تهیه نموده است که پس از اجرای این طرح سازمان می‏تواند گواهینامه ISO27000 را دریافت نماید.
سيستم مديريت منيت اطلاعات(ISMS) با استفاده از مدل PDCA که شامل چهار فاز طرح، اجرا، بررسی و اقدام می‏باشد در جهت بهبود امنيت در سازمان گام برمي‏دارد

امنیت اطلاعات
در سیستم مدیریت امنیت اطلاعات، امنیت اطلاعات در صورت حفاظت از پارامترهاي محرمانگي‏، دسترس‏پذيري و یکپارچگی كه به اصطلاح مثلث امنیتی نامیده می‏شوند، تامین می‏شود.
در این راستا امنیت اطلاعات از طریق اجرای مجموعه‏ای از کنترل‏ها که شامل خط‏مشی‏ها، فرایندها، روش‏های‏اجرایی، ساختارهای سازمانی و دستورالعمل‏هاست، حاصل می‏شود. این کنترل‏ها باید به منظور اطمینان از تحقق اهداف کنترلی سیستم مدیریت امنیت اطلاعات، ایجاد شوند.

اهداف امنیتی سیستم مدیریت امنیت اطلاعات
مجموعه کنترل‏های امنیتی مورد نیاز سیستم‏های اطلاعاتی و ارتباطی سازمان، شامل موارد زیر است:
  1. تدوین خط‏مشی امنیت سازمان
    ایجاد خط‏مشی امنیت سازمان، شامل راهنمايي‏ها و دستورالعمل‏های مديريتي به منظور افزايش امنيت اطلاعات است. اين بخش در قالب يک سند سياست امنيتي در جهت پيشبرد اهداف امنيتي سازمان تنظيم ميشود. این خط‏مشی در اختیار کارکنانی قرار خواهد گرفت که مسئولیت امنیتی برای آن‏ها تعریف شده است.

  2. سازمان امنیت اطلاعات
    تشکیل شوراء امنیت اطلاعات در سازمان برای مدیریت امنیت و تعریف نقش و مسئولیت‏های هر یک از بخش‏های سازمان در زمینه امنیت اطلاعات.

  3. مدیریت دارایی
    محافظت از دارایی‏های سازمان به کمک شناسایی دارایی‏ها و تخصیص مسئول مناسب برای هر دارایی.

  4. امنیت منابع انساني
    کمینه کردن ریسک‏های ناشی از خطای انسانی یا سوء استفاده از تجهیزات، به کمک شناسایی پرسنل، نحوه ایمن سازی آن‏ها، آموزش پرسنل و امضای تعهدنامه حفظ محرمانگی.

  5. امنیت فیزیکی و محیطی
    جلوگیری از دسترسی افراد غیر مجاز، پیشگیری از تداخل یا خرابی اطلاعات، سازماندهی تجهیزات پردازش اطلاعات در مکان‏های امن و ایجاد کنترل‏های لازم به منظور امنيت فيزيکي محيط، کنترل دسترسي‏ها، امنيت مکان، تجهيزات و نقل و انتقال دارايي‏هاي اطلاعاتي ميشود.

  6. مدیریت عملیات و ارتباطات
    حصول اطمینان از امنیت و عملکرد صحیح تجهیزات پردازش اطلاعات، شناخت مسئولیت‏ها و رویه‏های عملیاتی و مدیریتی در رابطه با تجهیزات پردازش اطلاعات.

  7. کنترل دسترسی
    ایجاد قوانین و کنترل‏های لازم و مدیریت آن‏ها جهت دسترسی کاربران به منابع و سرمایه‏های سازمان شامل سیستم‏های اطلاعاتی، شبکه و کامپیوترها.

  8. توسعه و نگهداری سیستم های اطلاعاتی
    اطمینان از تثبیت امنیت در سیستم‏های اطلاعاتی به کمک کنترل‏های امنیتی، کنترل برنامههای کاربردی و خدمات ارائه شده که تاثیر زیادی بر امنیت اطلاعات خواهد داشت.

  9. مدیریت حوادث امنیت اطلاعات
    تدوین مقررات مورد نیاز در خصوص پاسخگویی به نیازهای امنیتی، خط‏مشی‏های امنیتی مورد نیاز، ابزارها و مکانیزم‏های بازرسی امنیتی سیستم‏ها.

  10. مدیریت تداوم کسب و کار سازمان
    کاهش و پیشگیری از وقفه در فعالیت‏های سازمان و حفاظت از فرایندهای عملیاتی اصلی سازمان، در مقابل خطاها و خرابی‏های عمده یا حوادث طبیعی.

  11. انطباق
    انطباق با شرایط قانونی به منظور پیشگیری از هر گونه تجاوز از قوانین جزائی، حقوقی و رعایت کلیه حقوق معنوی و حق تالیف و تکثیر در سیستم‏های سازمان.
معرفی فازهای طراحی، اجرا، بررسي، اقدام و بخش آموزش
مراحل پیاده‏سازی سیستم مدیریت امنیت اطلاعات شامل فازهاي طراحي، اجرا، بررسي و اقدام مي‏باشد.
  1. فاز طراحی سیستم مدیریت امنیت اطلاعات
    فاز طراحی شامل 10 مرحله زیر می باشد:
    1. تهیه سند دامنه و مرز سیستم مدیریت امنیت اطلاعات.
    2. تهیه بیانیه خط مشی امنیت اطلاعات.
    3. تشریح متدلوژی برآورد مخاطرات.
    4. شناسایی مخاطرات.
    5. تحلیل و ارزیابی مخاطرات.
    6. شناسایی و ارزیابی گزینه‏های برطرف‏سازی مخاطرات.
    7. گزینش اهداف کنترلی و کنترل‏ها برای برطرف‏سازی مخاطرات.
    8. دریافت مصوبه مدیریت برای مخاطرات باقیمانده.
    9. تعهد مدیریت برای پیاده‏سازی و اجرای سیتم مدیریت امنیت اطلاعات.
    10. تهیه بیانیه کاربست‏پذیری.

  2. فاز اجرا سیستم مدیریت امنیت اطلاعات
    در فاز اجرای سیستم مدیریت امنیت اطلاعات، با توجه به سند بیانیه کاربست‏پذیری تهیه شده در فاز طراحی، طرحی برای برطرف‏سازی مخاطرات تنظیم می‏شود و این طرح برای دستیابی به اهداف کنترلی شناسایی شده، پیاده‏سازی خواهد شد.

  3. بخش آموزش
    بخش آموزش به موازات فاز طراحی و اجرا انجام می شود. این بخش شامل:
    1. آموزش در زمینه آشنایی با استاندارد ISO 27001 تا ممیزی داخلی.
    2. آشنایی با فرم‏های شناسایی و ارزش‏گذاری دارایی‏ها و چگونگی تکمیل آن‏ها.
    3. آموزش نحوه انجام کار با نرم‏افزار تحلیل ریسک شامل مراحل ارزیابی تهدیدها، ارزیابی آسیب‏پذیری ها و شناسائی کنترل‏های امنیتی.
    4. آشنایی با مستندات استاندارد (روش‏های اجرایی، آئین نامه‏ها، خط‏مشی‏ها و فرم‏ها).
    5. آشنایی با چک لیست‏های ممیزی و آموزش چگونگی تکمیل آن‏ها.
    6. راهنمایی جهت تنظیم طرح برطرف‏سازی مخاطرات به منظور مدیریت مخاطرات.
    7. راهنمایی جهت پیاده‏سازی طرح برطرف‏سازی مخاطرات.
    8. مشاوره جهت پیاده‏سازی کنترل‏های انتخاب شده.

  4. فاز بررسي
    در فاز بررسي روش‏هاي اجرايي و كنترل‏ها اجرا خواهند شد. به كمك روش‏هاي اجرايي ارائه شده، مي‏توان ميزان اثربخشي كنترل‏ها، بازنگري برآورد مخاطرات و بازنگري مديريت را انجام داد. مميزي داخلي سيستم نيز در اين فاز انجام مي‏شود.

  5. فاز اقدام
    در اين فاز بر مبنای نتایج ممیزی داخلی سیستم مدیریت امنیت اطلاعات و بازنگری مدیریت، اقدامات اصلاحي و پيشگيرانه پياده‏سازي مي‏شوند.
مستندات و سوابق سیستم مدیریت امنیت اطلاعات
  1. مستندات سیستم مدیریت امنیت اطلاعات
    سیستم مدیریت امنیت اطلاعات به مستندات و سوابق بسیار وابسته است. مستندات از الزامات استاندارد ISO/IEC 27001 میباشد و سوابق، به عنوان شواهد پیاده‏سازی و انطباق با الزامات ISMS محسوب می‏شود.
    نمونه مستندات سیستم مدیریت امنیت اطلاعات :
    • بیانیه مستند شده خط‏مشی و اهداف ISMS
    • دامنه ISMS
    • بیانیه کاربست‏پذیری
    • توضیحات متدولوژی برآورد مخاطرات
    • گزارش ارزیابی ریسک
    • روش‏های اجرایی، آئین‏نامه‏‏ها، خط‏مشی‏ها مانند:
      • روش‏اجرایی مدیریت دارایی‏ها
      • روش‏‏اجرایی کنترل اسناد و رکورد‏ها
      • روش‏اجرایی ممیزی داخلی و ...
      • آئین‏نامه مدیریت دارایی‏ها
      • آئین‏نامه مدیریت امحا دارایی
      • آئین‏نامه کنترل دسترسی و ...
      • خط‏مشی امنیت سازمان
      • خط‏مشی مدیریت دسترسی کاربر
      • خط‏مشی امنیت پرسنل و ...

  2. سوابق سیستم مدیریت امنیت اطلاعات
    سوابق مورد نیاز سیستم مدیریت امنیت، به الزامات سازمان وابسته است. این سوابق شاهد تطابق با الزامات و میزان موثر بودن پیاده‏سازی سیستم مدیریت امنیت اطلاعات است.
    نمونه سوابق سیستم مدیریت امنیت اطلاعات:
    • سوابق ممیزی داخلی
    • سوابق آموزشی کارکنان
    • جزئیات بازنگری مدیریت
    • سوابق اقدامات اصلاحی، پیشگیرانه
    • گزارش حوادث

    سوابق و اطلاعات فوق از اجرا شدن روش های‏اجرایی تنظیم شده برای سازمان، بدست خواهد آمد.

  3. فعالیت‏ها و فرایند‏های سیستم مدیریت امنیت اطلاعات
    برای اثربخش بودن عملکرد سازمان، باید فعالیت‏های متعددی را شناسایی و مدیریت کرد. فعالیت‏ها و فرایندهای موجود در سیستم مدیریت امنیت به کمک روش‏های ‏اجرایی کنترل می‏شوند. در روش‏های اجرایی، نقش‏ها و مسئولیت‏ها به روشنی تعریف خواهند شد. نمونه‏ای از فرایندها و فعالیت‏های سیستم مدیریت امنیت اطلاعات شامل موارد زير می‏باشد:
    1. شناسایی نقش‏ها و مسئولیت‏ها در سازمان
    2. مشخص کردن کنترل‏ها برای کاهش مخاطرات
    3. مدیریت دارایی
    4. مدیریت مخاطرات
    5. مدیریت تغییرات
    6. آموزش و آگاه‏سازی امنیتی
    7. مدیریت حوادث
    8. ممیزی داخلی و ...