مشاوره طراحی و استقرار ISMS


امروزه سازمان‌ها با تهدیدات زیادی در زمینه امنیت اطلاعات روبرو هستند. نگاه اصولی مدیریت به کنترل و امنیت اطلاعات می تواند با ایجاد اطمینان از عملکرد صحیح کنترل‌ها در جهت کاهش ریسک اطلاعات و همسوسازی آن با ریسک تجاری سازمان بسیار موثر باشد. در حقیقت کنترل داخلی فناوری اطلاعات، بهترین وسیله برای مواجهه و کاهش این دسته از ریسک‌ها در سازمان‌ها می‌باشد.

یکی از خدمات کلیدی ما مشاوره و پیاده‌سازی سیستم مدیریت امنیت اطلاعات یا Information Security Management System می‌باشد، این سیستم راهکاری مدیریتی، برای پیاده‌سازی کنترل‌های امنیتی می‌باشد که با ایجاد زیرساخت‌های مورد نیاز، امنیت اطلاعات سازمان را تضمین می‌نماید. مدل (PDCA) ساختاری است که در پیاده‌سازی (ISMS) در عموم سازمان‌ها و شرکت‌ها توصیه می‌شود. ما به پشتوانه تجربه 10 ساله خود در حوزه بومی‌سازی نحوه مشاوره و پیاده‌سازی این استاندارد در شرکت‌های بزرگ خصوصی و ارگان‌های دولتی متد خاص خود را در مراحل پیاده‌سازی فراهم نموده و مفتخر است با استفاده از نرم‌افزار isoafzar که به صورت کاملا انحصاری تولید گردیده و سازگار با سایر استانداردهای حوزه مدیریت خدمات فناوری اطلاعات و مدیریت کیفیت می‌باشد، مشاوره و پیاده‌سازی این استاندارد را تسریع و تسهیل نماید.
یک سامانه مدیریت امنیت اطلاعات (ISMS) بصورت کلی باعث کاهش صدمات ناشی از ریسک‌ها توسط ایمن ساختن اطلاعات و کاهش تهدیدها و بالطبع اطمینان از تداوم تجارت می‌شود. پیاده‌سازی این سامانه می‌تواند موجب:
اطمینان از سازگاری با استانداردهای امنیت اطلاعات و محافظت از داده‌ها
مطمئن بودن به تصمیم گیری‌ها
حفاظت از سرمايه‌هاي سازماني
بهبود در برنامه‌ريزي‌هاي امنيتي
حفظ محرمانگي و در دسترس بودن اطلاعات
حفظ اطلاعات از بروز تهديدات، آسيب‌پذيري‌ها و مخاطرات در حد امكان
آمادگي براي مواجه با حوادثي كه امنيت اطلاعات را به مخاطره انداخته‌اند
ايجاد اطمينان بيشتر براي مديران، كاركنان، مشتريان و ساير ذينفعان سازمان در مورد امنيت اطلاعات
بازگشت هزينه صرف‌شده براي پياده‌سازي (ISMS) در بلندمدت
كاهش هزينه‌هاي ترميم خسارات ناشي از كمبود و نقص موازين امنيتي
كاهش مسئوليت‌هاي انساني در حفظ امنيت اطلاعات، بواسطه كنترل‌هاي سيستماتيك
شناسايي، ارزيابي و حفاظت از دارايي‌هاي مهم سازمان هم‌چون: پرسنل كليدي، دانش پرسنل، اطلاعات سازمان و اعتبار و وجه سازمان
اطمينان از تداوم كسب و كار و كاهش صدمات از طريق ايمن ساختن اطلاعات و كاهش تهديدها
امكان رقابت بهتر با ساير سازمان‌‌ها
محک زدن میزان امنیت اطلاعات در سازمان
ایجاد اطمینان نزد مشتریان و شرکای تجاری
امکان رقابت بهتر با سایر شرکت‌ها
ایجاد مدیریت فعال و پویا در پیاده‌سازی امنیت اطلاعات

شرح خدمات
یک سامانه مدیریت امنیت اطلاعات (ISMS) بصورت کلی باعث کاهش صدمات ناشی از ریسک‌ها توسط ایمن ساختن اطلاعات و کاهش تهدیدها و بالطبع اطمینان از تداوم تجارت می‌شود. پیاده‌سازی این سامانه می‌تواند موجب:
حفاظت از سرمايه‌هاي سازماني
ایجاد مدیریت فعال و پویا در پیاده‌سازی امنیت اطلاعات
مطمئن بودن به تصمیم گیری‌ها
بهبود در برنامه‌ريزي‌هاي امنيتي
آمادگي براي مواجه با حوادثي كه امنيت اطلاعات را به مخاطره انداخته‌اند
حفظ محرمانگي و در دسترس بودن اطلاعات
امکان رقابت بهتر با سایر شرکت‌ها
حفظ اطلاعات از بروز تهديدات، آسيب‌پذيري‌ها و مخاطرات در حد امكان
امكان رقابت بهتر با ساير سازمان‌‌ها
محک زدن میزان امنیت اطلاعات در سازمان
اطمینان از سازگاری با استانداردهای امنیت اطلاعات و محافظت از داده‌ها
ایجاد اطمینان نزد مشتریان و شرکای تجاری
بازگشت هزينه صرف‌شده براي پياده‌سازي (ISMS) در بلندمدت
اطمينان از تداوم كسب و كار و كاهش صدمات از طريق ايمن ساختن اطلاعات و كاهش تهديدها
كاهش مسئوليت‌هاي انساني در حفظ امنيت اطلاعات، بواسطه كنترل‌هاي سيستماتيك
كاهش هزينه‌هاي ترميم خسارات ناشي از كمبود و نقص موازين امنيتي
ايجاد اطمينان بيشتر براي مديران، كاركنان، مشتريان و ساير ذينفعان سازمان در مورد امنيت اطلاعات
شناسايي، ارزيابي و حفاظت از دارايي‌هاي مهم سازمان هم‌چون: پرسنل كليدي، دانش پرسنل، اطلاعات سازمان و اعتبار و وجه سازمان

  • اولویت راه‌‌کارها

با توجه به گستردگی و تنوع کنترل‌های استاندارد ISO 27001، یکی از علل ریشه‌ای موفقیت در پروژه‌های مشاوره این استاندارد، ارائه اولویت‌بندی مناسب، جهت عملیاتی سازی رویه‌ها و راه‌کارهای شناسایی شده می‌باشد.
هر راه‌کار داراي مشخصه‌هايي است که به تصميم‌گيري سازمان براي انتخاب اولویت آن‌ها به عنوان راه‌کار با اولویت بالا کمک مي‌نمايد که عبارتند از :
منابع لازم: شناخته‌شده‌ترین منابع هر سازمان، زمان اجرا و هزینه مالی راه‌کار می‌باشد. لذا در سازمان‌ها، راهکارهايی که براي پياده‌سازي هزينه کمتري را مي‌طلبند و در زمان کمتری خروجی خود را نمایان می‌سازند، همواره مطلوبيت بيشتري نسبت به راهکارهای گران‌ و زمانبر دارند. معمولا برای اين شاخص با ترکیبی از زمان و هزینه سه سطح کم، متوسط و زياد پيش‌بينی می‌شود.
ميزان اثر بخشي: اين شاخص مشخص مي‌کند که هر راه‌کار به چه ميزان در کاهش مخاطرات موثر است و بر حسب نوع خود مي‌تواند يکي از سه سطح کارايي کم، متوسط و زياد و ارزش متناظر را داشته باشد. طبعا استفاده از راه‌کاري که از بروز يک واقعه جلوگيري مي‌کند بسيار مناسب‌تر از راه‌کاري است که يک حادثه را اطلاع مي‌دهد و يا براي بعد از وقوع حادثه درماني ارائه مي‌کند. معمولا شاخص‌هایی که باعث کاهش احتمال وقوع ریسک می‌شود و یا تبعات ریسک را کاهش می‌دهد، با اثر بخشی بالا و مواردی که منجر به بازیابی خدمات و یا انتقال ریسک می‌شوند، با اثر بخشی پایین امتیازدهی می‌شوند.
تعداد ریسک‌هاي تحت پوشش: همان‌طور که از نام اين شاخص مشخص است بيان مي‌کند که يک راه‌کار چه تعداد تهديد و آسیب پذیری را پوشش مي‌دهد. هر چه تعداد تهديدهاي بيشتري توسط راه‌کار پيشنهادي پوشش داده شود شاخص ارزشي آن (اولويت) آن بيشتر است.
ارزش دارائی‌های تحت پوشش: هر چقدر که ارزش دارائي‌هايی که از اين راه‌کار بهره‌مند می‌شوند، بيشتر باشد اولويت راه‌کار بالاتر است.

  • روش‌های اجرایی

ما در راستای برآورده‌کردن الزامات استاندارد ISO 27001 و پیاده‌سازی موفق استاندارد، علاوه بر تهیه LOM تجهیزات امنیتی مورد نیاز، دستورالعمل‌ها و رویه‌های امنیت اطلاعات را به صورت اختصاصی و کاربردی، با توجه به جداول برخورد با ریسک سازمان و شاخص‌های ذکر شده، اولویت‌بندی نموده و سپس با تعیین نقش‌ها و مسئولیت‌ها (نمودار RACI)، کاربران و ذی‌نفعان، دارایی‌ها، سرویس‌ها و روال‌های سازمانی مرتبط، نحوه استفاده، به کارگیری و عملیاتی‌سازی راه‌کارها را به مشتریان آموزش می‌دهد. تعدادی از این راه‌کارها شامل موارد زیر می‌باشند:

  • کنترل دسترسی به سرویس‌های اطلاعاتی بهبود مستمر
  • کنترل مستندات سیستمی ممیزی داخلی
  • تهیه نسخه پشتیبان کنترل سوابق
  • استفاده (دسترسی) مجاز امنیت شبکه
  • آموزش و آگاهی رسانی امنیت اطلاعات امنیت اینترنت
  • رسانه‌های ذخیره‌سازی قابل حمل امنیت پرسنلی
  • مدیریت تداوم کسب و کار شخص ثالث
  • امنیت پست الکترونیکی مدیریت حوادث
  • مدیریت اسناد اطلاعاتی بازنگری مدیریت
  • امنیت برنامه‌های کاربردی تبادل اطلاعات
  • الزامات قانونی قراردادها ضد بدافزار
  • ثبت و پاسخگویی به خطاهای سیستم انضباطی
  • خرید تجهیزات سخت‌افزاری رویه خرید نرم‌افزار
  • دستورالعمل استفاده از گذرواژه مدیریت ظرفیت
  • استفاده از ایستگاه کاری رمز نگاری
  • امحا و دور انداختن تجهیزات نرم‌افزارها و مستندات رویه مدیریت تغییرات
  • ساختار سازمانی امنیت اطلاعات کنترل دسترسی
  • امنیت در دسترسی از راه دور رویکرد ارزیابی ریسک
  • نشانی‌دهی امنیت در مدیریت پروژه امنیت فیزیکی و محیطی