معرفی ISMSآشنایی با سیستم مدیریت امنیت اطلاعات و دسترسی به استانداردها و منابع مرتبط

استانداردهای سیستم مدیریت امنیت اطلاعات (ISMS)

  •    

    ISO/IEC 27001

    ISMS الزامات

  •    

    ISO/IEC 27000

    ISMS مرور کلی و واژگان

  •    

    ISO/IEC 27003

    ISMS راهنمای اجرای

  •    

    ISO/IEC 27002

    ISMS آیین کار

  •    

    ISO/IEC 27005

    ISMS مدیریت ریسک

  •    

    ISO/IEC 27004

    ISMS سنجش

  •    

    ISO/IEC 27007

    ISMS راهنماهایی برای ممیزی

  •    

    ISO/IEC 27006

    ISMS الزامات نهادهای ممیزی کننده

استاندارد ISO/IEC 27001

این استاندارد، شامل الزامات سیستم مدیریت امنیت اطلاعات است.

استاندارد ISO/IEC 27000

این استاندارد، شامل مرور کلی و واژگان سیستم مدیریت امنیت اطلاعات است.

استاندارد ISO/IEC 27003

این استاندارد، شامل راهنمای اجرای سیستم مدیریت امنیت اطلاعات است.

استاندارد ISO/IEC 27002

این استاندارد، شامل آیین کار سیستم مدیریت امنیت اطلاعات است.

استاندارد ISO/IEC 27005

این استاندارد، شامل مدیریت ریسک سیستم مدیریت امنیت اطلاعات است.

استاندارد ISO/IEC 27004

این استاندارد، شامل سنجش سیستم مدیریت امنیت اطلاعات است.

استاندارد ISO/IEC 27007

این استاندارد، شامل راهنماهایی برای ممیزی سیستم مدیریت امنیت اطلاعات است.

استاندارد ISO/IEC 27006

این استاندارد، شامل الزامات نهادهای ممیزی کننده و گواهی کننده سیستم مدیریت امنیت اطلاعات است.

مطالب و نوشته ها

ایزو 27001 و چرخه PDCA

برای استقرار ISMS در سازمان، از مدل PDCA استفاده می شود. این چرخه که به نام های چرخه دمینگ، بهبود و بابا (برگرفته از حروف اول برنامه ریزی، انجام، بازرسی و اقدام) مشهور است، طی مراحل نشان داده شده در شکل روبرو، انجام می شود:

چرخه PDCA

اجزای چرخه PDCA عبارتند از:

- برنامه ریزی (Plan): شامل تعریف چشم انداز و سیاست های امنیتی سازمان، تعیین و ارزیابی مخاطرات، انتخاب اهداف، انتخاب کنترل های مدیریت مخاطرات و آماده سازی شرایط اجرایی

- انجام (Do): شامل تدوین و اجرای طرحی برای کاهش مخاطرات، اجرای طرح های کنترلی برای تحقق اهداف

- ارزیابی (Check): شامل استقرار روش نظارت و پایش، بازنگری های دوره ای به منظور ارزیابی اثربخشی ISMS، بازنگری در سطح مخاطرات پذیرفته شده، هدایت و پیشبرد ممیزی های داخلی به منظور ارزیابی میزان تحقق ISMS

- بازنگری (Act): شامل اجرای توصیه ها و اقدامات اصلاحی و پیشگیرانه و ارزیابی اقدامات انجام شده در راستای بهبود.

 

کمیته فنی فناوری اطلاعات JTC1

سازمان بین‌المللی استاندارد (ISO) و کمیسیون بین‌المللی الکتروتکنیک (IEC) در سال 1987 کمیته فنی مشترکی را با عنوان Joint Technical Committee  یا همان JTC1 تشکیل دادند تا فعالیتهای مرتبط با تدوین استانداردهای بین المللی در زمینه فناوری اطلاعات را انجام دهد.

این کمیته فنی دارای 35 عضو فعال و 56 عضو ناظر است و تاکنون 2408 استاندارد فناوری اطلاعات تدوین و منتشر نموده و بیش از341 موضوع برای تدوین استانداردهای جدید را نیز در دست اقدام دارد. کمیته فنی JTC1 دارای هجده کمیته فرعی به شرح ذیل است که مجموعا بیش از 101 گروه کاری فعال را اداره میکنند. کمیته فنی فناوری اطلاعات یکی از کمیته‌‌های فنی زیرمجموعه کمیته ملی استانداردهای ایزو در سازمان استاندارد و تحقیقات صنعتی ایران است که ساختار آن متناظر با کمیته فنی مشترک فناوری اطلاعات (JTC1) فیمابین سازمان بین‌المللی استاندارد (ISO) و کمیسیون بین‌المللی الکتروتکنیک (IEC) ایجاد شده است. موضوع اصلی فعالیت این کمیته، مشارکت در تدوین استانداردهای بین المللی حوزه فناوری اطلاعات می باشد .

 

 

راهنمای پیاده سازی ISMS

ایجاد و توسعه سیستم مدیریت امنیت اطلاعات در کنار توسعه و گسترش کاربرد فضای اطلاعات در شرکت های خصوصی، وزارتخانه ها مختلف، سازمان ها، مؤسسات و نهادهای انقلابی موجب خواهد شد کشور با آمادگی بیشتری وارد جامعه اطلاعاتی شود. رویکردی نظام مند در این حوزه نیز ضرورت استفاده از استانداردها را مورد تأکید قرار می دهد.

استانداردی که برای این منظور انتخاب شده است، استانداردی انگلیسی تحت عنوان BS7799 است. این مجموعه سعی کرده است با استفاده از این استاندارد و مطالعه استانداردهای گوناگون دیگر در زمینه سیستم مدیریت امنیت اطلاعات، گزارش فنی با عنوان TR 13335، راهنماها و دستورالعمل های مختلف، روش پیاده سازی استاندارد انتخابی را معرفی نماید.

دریافت نسخه کامل راهنمای پیاده سازی سیستم مدیریت امنیت اطلاعات

 

آشنایی با روال تولید استاندارد ایزو 27001

استانداردها مدارکی دربرگیرنده قواعد و رهنمودها یا ویژگی هایی برای فعالیت ها یا نتایج آن ها هستند که به منظور استفاده مکرر عمومی، ایجاد هماهنگی و وحدت، توسعه تفاهم، تسهیل ارتباطات، صرفه جویی در اقتصاد ملی، حفظ سلامت و ایمنی عمومی، و گسترش مبادلات بازرگانی داخلی و خارجی فراهم آمده و معمولاً توسط سازمان معتبری تصویب می شوند.

استانداردهای ملی و بین المللی نمونه هایی از استانداردهای قانونی بوده و در مقابل استانداردهای غیر رسمی که در بخش های متفاوتی رشد یافته اند قرار دارند.

استاندارد 27001 که توسط سازمان استانداردساز بین المللی ایزو منتشر شده است، استانداردی رسمی در خصوص سیستم مدیریت امنیت اطلاعات (ISMS) است که طی روال های زیر، ایجاد شده است:

  1. - روش (Practice ): در اين مرحله، ابتدا اقدامات و فعاليت هايي كه يك فرد يا سازمان براي انجام بهتر و قاعده مند يك كار انجام مي دهد، جمع آوري شده و مورد بررسي قرار مي گيرند.
  2. - بهروش (Best Practice ): اقدامات و فعاليت هاي مورد بررسي قرار گرفته در مرحله قبل، در قالب تعدادي دستورالعمل، براي انجام بهتر يك كار، ارايه مي گردند (مانند ITIL ).
  3. - چارچوب (Framework ): دستورالعمل هاي مرحله قبل، به عنوان الزاماتي جهت انجام كارها ارايه مي شوند.
  4. - قوانين نانوشته (De Facto Standard ): الزامات انجام كارها، به صورت قوانيني نانوشته كه مي توانند جهت انجام صحيح يك كار مورد استفاده قرار گيرند، تدوين مي گردند.
  5. - استاندارد (De Jure Standard ): در اين مرحله، يك هيأت ژولي تشكيل شده و موارد فوق را كه اكنون تا حدي به مرحله پختگي رسيده اند، بررسي كرده و يك روش قاعده مند را به منظور انجام يك كار (رسيدن به يك هدف خاص) معرفي مي نمايد.

استاندارد ISO/IEC 27001:2005 یکی از استانداردهای منتشر شده توسط سازمان ایزو است که تمامی مراحل فوق را سپری کرده است. عبارت ISO/IEC در عنوان این استاندارد، بيانگر سازمان هاي استانداردساز ISO (سازمان بين المللي استانداردسازي) و IEC (كميسيون بين المللي الكترونيك) مي باشد. به معناي اينكه اين دو سازمان استانداردساز، در ايجاد اين استاندارد با يكديگر همكاري مشترك داشته اند. عدد 27001 ، نشان دهنده شماره يا همان كد استاندارد است. براي اينكه استانداردها، از يكديگر متمايز باشند، براي هر استاندارد، شماره ويژه اي درنظر گرفته مي شود. عدد 2005 نيز بيانگر سالي است كه اين استاندارد وضع گرديده و يا مورد بازبيني مجدد قرار گرفته است.
براي دسترسي به شناسنامه يك استاندارد و آشنايي با مراحل مختلف تدوين آن و همچنين مشاهده وضعيت فعلي آن استاندارد، مي توان به سایت www.iso.org مراجعه نموده و اطلاعات كاملي را در اين خصوص به دست آورد.

 

معرفی ISMS

امروزه امنیت اطلاعات، یکی از چالش های اصلی در عصر فناوری اطلاعات محسوب می شود و حفاظت از اطلاعات در مقابل دسترسی غیرمجاز، تغییرات، خرابکاری و افشا، امری ضروری و اجتناب ناپذیر به شمار مي رود. از اين رو، امنیت دارایی های اطلاعاتی، برای تمامي سازمان ها امری حیاتی بوده و مستلزم یک مدیریت اثربخش می باشد.

فراهم آوری صحت و تمامیت اطلاعات، به گونه ای که در زمان مناسب، اطلاعات در دسترس افراد مجازي قرار بگيرد که نیازمند آن می باشند، عاملی است که منجر به اثربخشی کسب و کار می گردد. امنیت اطلاعات شامل سه بُعد مهم است:

- محرمانگی  (Confidentiality)

- یکپارچگی  (Integrity)

- دسترس پذیری  (Availability)

استاندارد ISO/IEC 27001 زمینه مناسبی را برای طراحی و استقرار سیستم مدیریت امنیت اطلاعات و ارزیابی آن در سازمان ها و بهره گیری از منافع این رویکرد، فراهم آورده است. سیستم مدیریت برحسب امنیت اطلاعات، به یک سازمان این امکان را می دهد تا موارد زير را ایجاد نماید:

- رضایت نیازمندی های امنیتی مشتریان و سایر ذینفعان

- بهبود طرح ها و فعالیت های سازمان

- تأمین اهداف امنیت اطلاعات سازمان

- تطابق با آيین نامه ها و قوانین و مقررات مربوط به کار

- مدیریت دارایی های اطلاعاتی در یک روش سازمان یافته که به بهبود مستمر و تعدیل با اهداف سازمانی کنونی کمک می کند.

لذا ضروري است كه سیستم مدیریت امنیت اطلاعات (ISMS )، با توجه به نیازها و الزامات هر سازمان و منطبق با رویه ها و استانداردهای ISO/IEC 27001 و ISO/IEC 27002  طبق فازهای زير، طراحی و پیاده سازی شود:

ارزیابی و شناخت اولیه (Gap Analysis)

در فاز ارزیابی و شناخت اولیه، میزان انطباق سازمان با الزامات و کنترل های استاندارد ISO/IEC 27001  مورد بررسی قرار می گیرد. این مرحله، کمک شایانی به تعیین دامنه (scope) پیاده سازی سیستم و فاز طراحی خواهد نمود. فعالیت هایی که در این مرحله اجرا می شود، عبارتند از:

- شناسایی وضعیت موجود و ارزیابی میزان انطباق سازمان با الزامات و کنترل های استاندارد  ISO/IEC 27001

- مستندسازی و تهیه گزارش از وضعیت موجود

- تعیین دامنه (scope) پیاده سازی سیستم مدیریت امنیت اطلاعات

- تهیه و تدوین خط مشی امنیت اطلاعات

- کمک به سازماندهی و تشکیل کمیته راهبری امنیت در سازمان

آگاه سازی و آموزش (Awareness & Training)

در این مرحله، تمامي افراد درگیر در فرآیند پیاده سازی سیستم مدیریت امنیت اطلاعات، آموزش دیده و با مفاهیم و الزامات ISMS آشنا می شوند.

طراحی  ISMS (Planning & Design)

به منظور موفقیت در پیاده سازیISMS ، می بایست این سیستم را مطابق با الزامات استاندارد و نیازمندی های سازمان طراحی نمود. فعالیت هایی که در این مرحله اجرا می شود، عبارتند از:

- تهیه لیست دارایی های واقع در دامنه

- طبقه بندی و ارزش گذاری دارایی های اطلاعاتی

- تعیین و تدوین متدولوژی ارزیابی مخاطرات

- تدوین خط مشی ها، دستورالعمل ها و روش های اجرایی مورد نیاز سیستم

- تدوین طرح تداوم کسب و کار  (BCP)

- تدوین طرح برطرف سازی مخاطرات  (RTP)

- تدوین بیانیه کاربست پذیري (SOA)

پیاده سازی  ISMS (Implementation)

در این مرحله، کنترل ها، طرح ها و سیاست های امنیتی تهیه شده در فاز قبلی، پیاده سازی می شود.

ممیزی داخلی و همراهی تا صدور گواهینامه بین المللی (Internal & External Audit)

پس از پیاده سازی و استقرار کامل سیستم مدیریت امنیت اطلاعات در سازمان، سرممیزان انتخاب شده توسط سازمان، با پیش ممیزی سیستم پیاده سازی شده قبل از ممیزی نهایی، موارد انحرافی و عدم انطباق ها را شناسایی می کنند و با ارايه اقدامات اصلاحی و پیشگیرانه مناسب به منظور رفع عدم انطباق های شناسایی شده، سازمان را تا اخذ گواهینامه بین المللی ISO/IEC 27001  همراهی می نمایند.

مزایای پیاده سازی ISMS در یک سازمان

- امنیت اطلاعات و دارایی های اطلاعاتی

- حفظ محرمانگی و در دسترس بودن اطلاعات

- حفظ اطلاعات از بروز تهدیدات، آسیب پذیری ها و مخاطرات در حد امکان

- آمادگی برای مواجه با حوادثی كه امنیت اطلاعات را به مخاطره انداخته اند.

- ایجاد اطمینان بیشتر برای مدیران، كاركنان، مشتریان و سایر ذینفعان سازمان در مورد امنیت اطلاعات

- بازگشت هزینه صرف شده برای پیاده سازی ISMS در بلند مدت

- کاهش هزینه های ترمیم خسارات ناشی از کمبود و نقص موازین امنیتی

- شناسایی، ارزیابی و حفاظت از دارایی های مهم سازمان همچون: پرسنل کلیدی، دانش پرسنل، اطلاعات سازمان و وجه و اعتبار سازمان

- اطمینان از تداوم کسب و کار و كاهش صدمات از طریق ایمن ساختن اطلاعات و كاهش تهدیدها

 

خدمات ما

  •  

    ممیزی مراقبتی

    بررسی انطباق ISMS پیاده سازی شده در سازمان با الزامات ایزو 27001

  •  

    ممیزی داخلی

    بررسی انطباق سازمان درخواست کننده با الزامات استاندارد ایزو 27001

  •  

    آموزش

    آموزش نیروی انسانی متخصص و متعهد در نظام مدیریت امنیت اطلاعات ایران

  •  

    استانداردها

    دسترسی به متن استانداردهای سیستم مدیریت امنیت اطلاعات

  •  

    ISMS گواهینامه

    آشنایی با مراحل دریافت گواهینامه ISMS و خدمات ممیزی امنیت اطلاعات

سایت های مرتبط