سیستم مدیریت امنیت اطلاعات (ISO 27001 - ISMS )


خدمات شرکت نرم‌افزاری امن‌پرداز در حوزه سیستم مدیریت امنیت اطلاعات

 

با توجه به رشد روزافزون تهدیدات و مخاطرات فضای سایبری و وضعيت نامطلوب امنيت فضای تبادل اطلاعات کشور، بويژه در حوزه سازمان های دولتی و خصوصی، بدلیل فقدان زيرساخت‌های فنی و اجرائی امنيت و عدم انجام اقدامات مؤثر در خصوص ايمن‌سازی فضای تبادل اطلاعات اين سازمان‌ها، لذا توجه به امنیت دارایی‌های اطلاعاتی برای کلیه سازمان‌ها امری حیاتی بوده و مستلزم یک مدیریت اثربخش می باشد.

طبق بخشنامه شماره ۱۳۷۱۱-۸۶/م/۳۸۵۰۵ مورخ ۱۳۸۶/۰۸/۱۰ معاون اول محترم رئیس جمهور، کلیه دستگاههای دولتی و غیردولتی موظف به تهیه طرح سیستم مدیریت امنیت اطلاعات (ISMS) شده و همچنین با توجه به اهمیت این سیستم مدیریتی در کشور، طبق مصوبه هیأت وزیران، کلیه دستگاه‌های اجرایی مشمول ماده پنج قانون خدمات کشوری، ملزم شدند نسبت به پیاده‌سازی سیستم مدیریت امنیت اطلاعات اقدام نمایند.

سیستم مدیریت امنیت اطلاعات برگرفته شده از استاندارد بین المللیISO/IEC 27001، ابزاری است برای شناسایی، مدیریت و به حداقل رساندن احتمال وقوع تهدیدات عمدی و غیر عمدی، که امروزه سازمان‌ها با آن‌ها مواجه هستند.

در این راستا شرکت نرم‌افزاری امن‌پرداز با بیش از ۱۲ سال حضور فعال در زمینه تهیه و تولید نرم‌افزارهای بومی و ارائه خدمات تخصصی امنیت، با در اختیار داشتن نیروهای جوان و کارآزموده و با اخذ گواهینامه ISO/IEC 27001:2013 از شرکت ICS Group کانادا و پروانه ارائه خدمات مشاوره سامانه مدیریت امنیت اطلاعات از سازمان فناوری اطلاعات به شماره ITC-NAMA-1100102 قادر به ارائه خدمات ذیل در حوزه امنیت اطلاعات می باشد:

  •    تهیه و تدوین RFP در حوزه امنیت اطلاعات

سازمان‌ها بمنظور انتخاب مشاور شایسته برای طراحی و استقرار سیستم مدیریت امنیت اطلاعات (ISMS) نیازمند تدوین یک RFP متناسب با سازمان خود می‌باشند. تهیه RFP مناسب در این زمینه، مستلزم شناخت درست از نیازهای امنیتی سازمان با رویکرد ISMS و استاندارهای وابسته می­‌باشد. در این راستا، شرکت نرم‌افزاری امن‌پرداز با تجارب خود در حوزه تدوین RFP طرح های جامع امنیت، آمادگی لازم را برای تهیه RFP مناسب در زمینه ISMS برای کلیه سازمان­‌ها دارا می­‌باشد.

  • مشاوره و ارائه‌ی راهکارهای مدیریتی در زمینه‌ی سیستم مدیریت امنیت اطلاعات (ISMS) در سازمان

یکی از مهم‌ترین نیازهای امروزی سازمان‌ها در حوزه امنیت اطلاعات، بررسی میزان انطباق فرآیندها و روالهای موجود در سازمان با معیارها و استانداردهای معتبر بین المللی و رسیدن به وضعیت مطلوب می باشد. در این راستا، شرکت امن‌پرداز با بهره گیری از مدل‌های استاندارد و کارشناسان مجرب خود، اقدام به آنالیز شکاف از دو روش سیستمی (با استفاده از روشهای مشاهده و انجام مصاحبه ها و تکمیل پرسشنامه ها) و فنی (با استفاده از آزمون نفوذپذیری و ارزیابی آسیب‌پذیری‌ها) در مورد استانداردهای مرجع امنیت اطلاعات همچون ISO/IEC 27001 می‌نماید.  با انجام این مهم، سازمان‌ها می‌توانند میزان آمادگی خود برای پیاده‌سازی ISMS را سنجیده و نقاط قوت و ضعف خود را نسبت به این استاندارد، شناسایی نمایند و همچنین می‌توانند با آگاهی از میزان فاصله و انطباق خود با استاندارد ISO 27001 برنامه‌ریزی بهتر و برآورد زمان و هزینه دقیق‌تری برای استقرار این سیستم داشته باشند.

  • مشاوره طراحی و استقرار سیستم مدیریت امنیت اطلاعات

جهت طراحی سیستم مدیریت امنیت اطلاعات، کارشناسان امن‌پرداز پس از تشکیل کمیته‌های راهبری و اجرایی امنیت در سازمان کارفرما و تعیین دقیق دامنه و محدوده پیاده سازی سیستم، به شناخت سازمان پرداخته و وضعیت موجود را تا رسیدن به وضعیت مطلوب در زمینه امنیت سازمانی بررسی می­‌نمایند. پس از این مرحله و تعیین میزان بلوغ سازمان، مرحله شناسایی دارایی‌های واقع در دامنه ISMS و ارزیابی مخاطرات با توجه به دارایی‌­های شناخته شده صورت می­‌گیرد و ریسک کلیه دارایی­‌ها محاسبه شده و کنترل­‌های مناسب جهت به حداقل رساندن ریسک­‌ها انتخاب می­‌گردد. خروجی این مرحله، ارائه طرح امنیت در زمینه سیستم مدیریت امنیت اطلاعات به سازمان خواهد بود. در اجرای کلیه مراحل، کارشناسان امن‌پرداز با رویکرد آموزش حین کار، سعی خواهند نمود تا حد امکان مراحل استقرار را به تیم کارفرما منتقل نموده تا سازمان بدون نیاز به مشاور بتواند بخش عمده‌­ای از فعالیت­ های چرخه سیستم مدیریت امنیت اطلاعات را اجرایی نماید. پس از پیاده سازی طرح امنیت، بمنظور شناسایی و برطرف نمودن مشکلات احتمالی، کارشناسان امن‌پرداز با همکاری تیم اجرایی کارفرما، سیستم پیاده‌سازی شده را مورد ممیزی داخلی قرار داده و براساس گزارش بدست آمده، نسبت به رفع عدم انطباق های موجود اقدام می‌نمایند. پس از این مرحله، با همکاری تیم مشاور و کمیته راهبری کارفرما، نسبت به انتخاب شرکت گواهی‌دهنده (CB) مناسب جهت ممیزی نهایی، اقدام می شود. شرکت نرم‌افزاری امن‌پرداز تا پایان مرحله ممیزی نهایی و رفع عدم انطباق های احتمالی سیستم و دریافت گواهینامه ISO 27001، شرکت کارفرما را همراهی خواهد نمود.

در جدول زیر، مراحل و فازهای پیاده‌سازی سیستم مدیریت امنیت اطلاعات توسط شرکت امن‌پرداز، بصورت کلی نشان داده شده است:

 

فاز اول طراحي سيستم مدیریت امنیت اطلاعات
  • تشکيل کميته‌های اجرایی و راهبری پروژه
  • تعیین دامنه و محدوده پیاده‌سازی ISMS
  • شناخت سازمان کارفرما (Gap Analysis)
  • تدوين و طراحی متدولوژی ارزيابي مخاطرات متناسب با سازمان کارفرما
  • شناسایی دارایی‌ها و تحلیل و ارزیابی مخاطرات
  • تدوین طرح مطلوب امنیت (طرح برطرف سازی مخاطرات)
  •  تدوین مستندات و روش‌های اجرایی الزامی و مورد نیاز سیستم
  • تدوين و طراحي متدولوژی ارزيابی مخاطرات متناسب با سازمان کارفرما
  • برگزاری دوره‌ها و سمینارهای آموزشی مورد نیاز کمیته‌های امنیت
  • تدوين و طراحی متدولوژی ارزيابي مخاطرات متناسب با سازمان کارفرما
فاز دوم پياده سازي سيستم مدیریت امنیت اطلاعات
  • اجرا و پیاده‌سازی طرح‌های فنی و امنیت
  • پياده‌سازي دستورالعمل‌ها و مستندات اجرایی سیستم
  • تکمیل سوابق پیاده‌سازی سیستم
فاز سوم پايش و بازنگري سيستم مدیریت امنیت اطلاعات
  • مميزی داخلی سیستم
  • تعیین شاخص‌های اندازه‌گیری اثربخشی سیستم
  • پايش و سنجش اثربخشی سيستم
  • برگزاری جلسه بازنگری مديريت
فاز چهارم بهبود سيستم مدیریت امنیت اطلاعات
  • تعیین اقدامات اصلاحی مناسب جهت رفع عدم انطباق‌های احتمالی حاصل از نتایج ممیزی داخلی و سنجش اثربخشی سیستم
  • همراهی با کارفرما در انتخاب شرکت گواهی‌دهنده (CB)
  • همراهی در فرآيند مميزی خارجی