پیاده‌سازی و استقرار سیستم مدیریت امنیت اطلاعات (ISMS) بر اساس استاندارد بین المللی ISO/IEC 27001 یکی از خدمات کلیدی شرکت پویش کدینگ برای سازمان‌ها و شرکت‌های دولتی و خصوصی است.

تمرکز بیش از اندازه و نامتناسب به ابعاد فنی و اکتفا به تامین ابزارها و تجهیزات در مقوله امنیت را می‌توان به عنوان یکی از بزرگ‌ترین مشکلات شرکت‌ها و سازمان‌های کشور در زمینه امنیت شبکه، اطلاعات و فضای مجازی مطرح نمود. در حالی که امنیت  اطلاعات مقوله‌ای فراتر از ابعاد فنی و خرید تجهیزاتی از قبیل دیواره آتش و سیستم مهاجم یاب است.

به همین خاطر است که بسیاری از سازمان‌ها علی رغم بهره‌مندی از تجهیزات امنیتی مناسب، همچنان با بحران‌ها و مشکلات بسیاری در این خصوص دست به گریبانند. از این رو می‌بایست با دیدگاهی سیستماتیک به مقوله امنیت اطلاعات نگریسته شود و به منظور مدیریت امنیت اطلاعات سازمان، اقدام به طراحی و پیاده سازی یک سیستم مطلوب گردد.

 

سیستم مدیریت امنیت اطلاعات (ISMS) راهکاری مدیریتی برای ایجاد، پیاده‌سازی و استقرار، نظارت و بازنگری و نگهداری و بهبود امنیت اطلاعات در سازمان است. با گذشت بیش از یک دهه از استقرار سیستم مدیریت امنیت اطلاعات در سازمان‌های کشور که هریک با دلایل خاص خود نظیر پیروی از برنامه های کلان کشوری و قوانین بالادستی، ارتقای امنیت اطلاعات و یا افزایش اعتماد و اطمینان مشترین و ذی نفعان خود قدم در این مسیر نهاده اند، هنوز چالش ­های بزرگی در این حوزه وجود دارد. شرکت پویش کدینگ به عنوان شرکت پیشرو در این عرصه تلاش نموده است با ایجاد راهکاری بومی، عوامل مؤثر بر استقرار اثربخش این سیستم مدیریتی را شناسایی نموده و یک متدولوژی بومی  به همراه ابزارهای متناسب با نیاز سازمان‌ها و شرکت‌های ایرانی در این حوزه تدوین نماید.

چرا سیستم مدیریت امنیت اطلاعات؟

به طور کلی مزایا و پیامدهای یک سیستم مدیریت امنیت اطلاعات اثربخش در سازمان، عبارتند از:

  • شناسایی و رسیدگی به نیازمندی­ ها و الزامات ذی­نفعان در حوزه امنیت اطلاعات؛
  • شناسایی، ارزش‌گذاری و طبقه‌بندی دارایی­ های اطلاعاتی سازمان از منظر محرمانگی، صحت و یکپارچگی و در دسترس بودن؛
  • شناسایی آسیب­ پذیری­ ها و نقاط ضعف امنیتی و برنامه ­ریزی جهت بهبود آن­ها؛
  • سیاست­ گذاری مناسب در حوزه امنیت اطلاعات؛
  • تدوین روال­ ها و روش­ های اجرایی در ابعاد مختلف امنیت اطلاعات؛
  • شفاف­ سازی مسئولیت­ ها و تفکیک وظایف امنیت؛
  • کنترل دسترسی به اطلاعات؛
  • ایجاد بستر آگاهی رسانی و فرهنگ‌سازی امنیت اطلاعات برای کلیه کارکنان؛
  • حصول اطمینان از تداوم فرآیندها و فعالیت های کلیدی و محوری سازمان؛
  • کنترل دوره ای و سیستماتیک وضعیت امنیت اطلاعات در ابعاد مختلف و رفع نواقص.

رویکرد پویش کدینگ در استقرار سیستم مدیریت امنیت اطلاعات

هر یک از سازمان ها یا شرکت ها، با توجه به شرایط و ویژگی های خاص خود می توانند رویکردهای استراتژیک متفاوتی را برای پیاده سازی ISMS را در مجموعه خود انتخاب کرده و اقدام به اولویت بندی و پیاده سازی کنترل های امنیتی نمایند. پویش کدینگ با بیش از 10 سال فعالیت در حوزه مشاوره، طراحی، پیاده‌‌سازی و استقرار سیستم مدیریت امنیت اطلاعات، رویکردی بومی را به منظور استقرار این سیستم مدیریتی تدوین نموده است. در این رویکرد سعی شده است در کنار الزامات استانداردهای بین‌المللی ISO 27001:2013، ISO 27002:2013، ISO 27005 و غیره الزامات قانونی سازمان ­های بالادستی نظیر حراست کل، مرکز مدیریت راهبردی افتا، سازمان فناوری اطلاعات و غیره برای دستگاه­ های دولتی در نظر گرفته شود.

در رویکرد آشنا ایمن با تلفیق رویکرد مبتنی بر دارایی ISMS و رویکرد مبتنی بر سرویس سیستم مدیریت خدمات فناوری اطلاعات (ITIL-ITSM)، مدیریت ریسک امنیت اطلاعات بر روی سرویس­ ها و دارایی­ های سازمان صورت می­ پذیرد. آنچه این رویکرد را از سایر رویکردهای معمول متمایز می­ سازد، امکان ارزیابی ریسک سرویس­ های مختلف یک مرکز، در کنار ارزیابی ریسک دارایی­ های مختلف است. در خصوص فرآیندهای سیستم نیز این شرکت بسته دستورالعمل ها و روش های اجرایی سیستم مدیریت امنیت اطلاعات بومی خود را برای هر یک از مشتران به صورت شخصی سازی با توجه به شرایط و ویژگی های هر سازمان ارائه می دهد. بر این اساس مجموعه ما متدولوژی مشاوره سیستم مدیریت امنیت اطلاعات خود را به صورت مراحل شش گانه زیر ارائه می نماید. 

با اجرای این رویکرد استقرار و پیاده‌سازی سیستم مدیریت امنیت اطلاعات در 5 فاز طراحی، پشتیبانی، عملیات، سنجش عملکرد و بهبود صورت می ­پذیرد. در اجرای کلیه مراحل متخصصین ما با رویکرد آموزش حین کار، سعی خواهند نمود تا حد امکان مراحل استقرار را به تیم کارفرما منتقل نموده تا سازمان بدون نیاز به مشاور بتواند بخش عمده­ای از فعالیت­ های چرخه سیستم مدیریت امنیت اطلاعات را به خصوص در چرخه های بعدی، اجرایی نماید. همچنین به منظور افزایش کیفیت و سرعت پیاده سازی ISMS این شرکت از نرم افزار جامع سیستم مدیریت امنیت اطلاعات بروز و مدون بهره می گیرد.

پویش کدینگ ، بسته به نیاز و با توجه به شرایط هر سازمان، اقدام به تعیین محدوده استقرار سیستم می ­نماید (در این مقاله در خصوص چالش های تعیین محدوده ISMS مطالعه نمایید). در ادامه این فعالیت، تحلیل کاستی­ ها در حوزه­ های استاندارد مرجع است که در آن میزان بلوغ و همچنین میزان کاستی ­های سازمان در 14 حوزه، 35 هدف کنترلی و 114 کنترل استاندارد بررسی و نمایش داده خواهد شد. همچنین در پی آن، پویش کدینگ با تلفیق رویکرد فنی و رویکرد سیستمی سعی می کند الزامات استاندارد ISO 27001:2013 و استاندارد ملی سیستم مدیریت امنیت اطلاعات را در سازمان اجرایی نماید.

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *