سیستم مدیریت امنیت اطلاعات ابزاری برای شناسایی، مدیریت و به حداقل رساندن احتمال وقوع تهدیداتی است که امروزه سازمانها به واسطه از دست دادن اطلاعات خود با آنها مواجه هستند. این تهدیدها که شامل تهدیدهای داخلی سازمان، تهدیدهای برون سازمانی، تهدیدهای اتفاقی و همچنین تهدیدهای ناشی از خطاهای عمدی و غیرعمدی هستند، میتوانند فعالیتهای سازمان را با مخاطرات جدی روبرو سازند. بنابراین فراهمآوری صحت و تمامیت اطلاعات، به گونهای که در زمان مناسب، اطلاعات در دسترس افراد مجازي قرار گيرد که نیازمند آن هستند، عاملی است که منجر به اثربخشی کسب و کارها میشود.
استاندارد ISO/IEC 27001:2013 زمینه مناسبی را برای طراحی و استقرار سیستم مدیریت امنیت اطلاعات و ارزیابی آن در سازمانها و بهرهگیری از منافع این رویکرد، فراهم کرده است. سیستم مدیریت برحسب امنیت اطلاعات، به یک سازمان این امکان را میدهد تا موارد زير را ایجاد کند:
- * رضایت نیازمندیهای امنیتی مشتریان و سایر ذینفعان
- * بهبود طرحها و فعالیتهای سازمان
- * تأمین اهداف امنیت اطلاعات سازمان
- * تطابق با آيیننامهها، قوانین و مقررات مربوط به کار
- * مدیریت داراییهای اطلاعاتی در یک روش سازمان یافته که به بهبود مستمر و تعدیل با اهداف سازمانی کنونی کمک میکند.
در کشور ما طبق بخشنامه شماره 13711-86/م/38505 مورخ 10/8/1386 معاون اول رئيس جمهور، کليه دستگاههاي دولتي و غيردولتي موظف به تهيه طرح سيستم مديريت امنيت اطلاعات شدهاند. همچنین با توجه به اهمیت این سیستم مدیریتی، بر اساس مصوبه هیأت وزیران، تمام دستگاههاي اجرايي مشمول ماده پنج قانون خدمات کشوري ملزم شدهاند تا نسبت به پيادهسازي این سیستم در سازمانهای خود، اقدام کنند.
الف) خدمات مشاوره پیادهسازی سیستم مدیریت امنیت اطلاعات
تیم تخصصی مشاوره پیادهسازی اینجانب، سیستم مدیریت امنیت اطلاعات را با توجه به نیازها و الزامات هر سازمان و منطبق با رویهها و الزامات استاندارد ISO/IEC 27001:2013 ، طبق فازهای زير در سازمانها و شرکتهای متقاضی، طراحی و پیادهسازی میکند:
- 1. ارزیابی و شناخت اولیه (Gap Analysis) : در فاز ارزیابی و شناخت اولیه، میزان انطباق سازمان با الزامات و کنترلهای استاندارد ISO/IEC 27001:2013 مورد بررسی قرار میگیرد. این مرحله، کمک شایانی به تعیین دامنه (Scope) پیادهسازی سیستم و فاز طراحی خواهد کرد.
- 2. آگاهسازی و آموزش (Awareness & Training) : در این مرحله، تمامي افراد درگیر در فرایند پیادهسازی سیستم مدیریت امنیت اطلاعات، آموزش دیده و با مفاهیم و الزامات ISMS آشنا میشوند.
- 3. طراحی ISMS (Planning & Design) : به منظور موفقیت در پیادهسازیISMS ، میبایست این سیستم را مطابق با الزامات استاندارد و نیازمندیهای سازمان طراحی کرد. از جمله فعالیتهایی که در این مرحله اجرا میشوند می توان به تهیه لیست داراییهای واقع در دامنه، طبقهبندی و ارزشگذاری داراییهای اطلاعاتی، تعیین و تدوین متدولوژی ارزیابی مخاطرات، تدوین خطمشیها، دستورالعملها و روشهای اجرایی مورد نیاز سیستم، تدوین طرح تداوم کسب و کار (BCP) ، تدوین طرح برطرفسازی مخاطرات (RTP) و تدوین بیانیه کاربست پذیري (SOA) اشاره کرد.
- 4. پیادهسازی ISMS (Implementation ): در این مرحله، کنترلها، طرحها و سیاستهای امنیتی تهیه شده در فاز قبلی، پیادهسازی میشود.
- 5. ممیزی داخلی و همراهی تا صدور گواهینامه بینالمللی (Internal & External Audit) : پس از پیادهسازی و استقرار کامل سیستم مدیریت امنیت اطلاعات در سازمان، سرممیزان انتخاب شده، با پیش ممیزی سیستم پیادهسازی شده قبل از ممیزی نهایی، موارد انحرافی و عدم انطباقها را شناسایی میکنند و با ارايه اقدامات اصلاحی و پیشگیرانه مناسب به منظور رفع عدم انطباقهای شناسایی شده، سازمان را تا اخذ گواهینامه بینالمللی ISO/IEC 27001:2013 همراهی میکنند.
ب) خدمات ممیزی سیستم مدیریت امنیت اطلاعات
خدماتی که در خصوص ممیزی سیستم مدیریت امنیت اطلاعات توسط اینجانب به سازمان ها و شرکت های متقاضی ارایه می شود، عبارتند از:
- * ممیزی داخلی سیستم مدیریت امنیت اطلاعات
- * ممیزی شخص سوم (ممیزی صدور گواهینامه) سیستم مدیریت امنیت اطلاعات
- * ممیزی مراقبتی سیستم مدیریت امنیت اطلاعات
- * ممیزی مرحله اول (مرور اسناد) سیستم مدیریت امنیت اطلاعات
- * ممیزی مرحله دوم (ممیزی در محل مشتری) سیستم مدیریت امنیت اطلاعات
- * ممیزیهای خاص و بازنگری سیستم مدیریت امنیت اطلاعات
ب) خدمات آموزش سیستم مدیریت امنیت اطلاعات
خدماتی که در حوزه آموزش سیستم مدیریت امنیت اطلاعات توسط اینجانب ارایه میشوند شامل برگزاری دورههای آموزشی پیادهسازی سیستم مدیریت امنیت اطلاعات و سرممیزی این سیستم مدیریتی است. جهت اطلاع از سرفصلهای این دورههای آموزشی، میتوانید به منوی آموزش مراجعه فرمایید.