با رشد مخاطرات اینترنتی ، تهدیدات فضای سایبری و نامطلوب بودن وضعیت امنیتی تبادلات اطلاعاتی در سازمان های مختلف دولتی و خصوصی، استفاده از سیستم مدیریت امنیت اطلاعات مطرح گردید. این سیستم ابزاری کارآمد است که به منظور شناسایی،ارزیابی، مدیریت ، به حداقل رساندن تهدیدات و کاهش ریسک های امنیتی مورد استفاده قرار می گیرد.
در این مطلب با توجه به عنوان، خدمات مشاوره سیستم مدیریت امنیت اطلاعات، در ادامه به مباحث مهم و مرتبط با سیستم مدیریت امنیت اطلاعات و مشاوره سیستم مدیریت امنیت اطلاعات می پردازیم.
سیستم مدیریت امنیت اطلاعات
با افزایش رشد فناوری اطلاعات که زمینه بروز انقلاب بزرگ در زندگی انسانها و ابعاد گوناگون عملکرد شرکت ها و سازمان های مختلف گردید، بکارگیری سیستم مدیریت امنیت اطلاعات همراستا با این انقلاب در حال شکل گیری و گسترش می باشد. امروزه که بیشتر فعالیت های کسب و کار در حوزه فناوری اطلاعات انجام می گردد، مهم ترین دغدغه مدیران در جهت مدیریت ایمن اطلاعات می باشد، که بتوانند از سیستمی کار آمد به این منظور استفاده نمایند.
سیستم مدیریت امنیت اطلاعات (ISMS)، دارای چارچوبی قدرتمند و کارا است که بتواند به بهترین نحوه اقدامات امنیتی، مدیریتی استراتژیکی، شبکه ای قوی و امن، کنترل کننده هایی حرفه ای را در خدمت خود داشته باشد تا بتواند کلیه نیازهای مخاطبین، مدیران، پرسنل و به طور کلی سازمان را برطرف سازد. در بیانی ساده تر، می توان سیستم مدیریت امنیت اطلاعات را یک راهکار نوین در ایجاد، استقرار، نظارت، بازنگری و نگهداری اطلاعات سیستم مدیریت امنیت اطلاعات یک سازمان تعریف نمود.
مشاوره سیستم مدیریت امنیت اطلاعات، با دانش و تبحر لازم در زمینه امن سازی شبکه های ارتباطی و کانال های اطلاعاتی بستر لازم را از نظر امنیتی به منظور پیشبرد روند کاری مطلوب برای یک سازمان فراهم می سازد؛ لذا بهره مندی از مشاوره سیستم مدیریت امنیت اطلاعات از الزامات مهم برای یک سازمان موفق محسوب می شود. بیشتر سازمان های کشور بیش از ده سال است که در مراحل گوناگون فرایندهای اداری وسازمانی از سیستم مدیریت امنیت اطلاعات بهره مند شده اند و امروزه در این مسیر با به کار گرفتن راهکارهای نوین، ابزارهای مناسب، زیر ساخت های لازم، متدولوژی مدیریتی در حال گسترش و پیشرفت چشم گیری در حوزه های مختلف می باشند؛ با این وجود در این زمینه دارای چالش ها و نقاط ضعفی هستند که باید برطرف گردد.
مشاوره سیستم مدیریت امنیت اطلاعات
مشاوره سیستم مدیریت امنیت اطلاعات، بر اساس شرایط و ویژگی ها خاص هر سازمانی به دنبال اتخاذ مناسب ترین رویکرد ISMS بر روی دارایی های سازمان و سرویس های آن می باشد. متدولوژی که مشاوره سیستم مدیریت امنیت اطلاعات بر اساس آن عمل می کند، شامل 6 مرحله کلی است که با اجرای آن در فاز های مختلف می تواند در امن سازی سیستم اطلاعاتی سازمان تعادلی مناسب را ایجاد نماید.
در مرحله اول لازم است مشاوره سیستم مدیریت امنیت اطلاعات، از طریق تماس شروع کننده ارتباط باشد و در مرحله بعد با تعیین محدوده تماس سنجشی دقیق را در این مرحله به انجام می رساند و بر اساس تعیین محدوده، فاصله زمانی و مسافتی را تحلیل نموده و به آموزش اولیه در این زمینه می پردازد. در مراحل بعد نیز، مرحله استقرار و پیاده سازی، اخذ گواهینامه و نهایتاً پشتیبانی را باید اجرایی سازد. در هر کدام از مراحل، آموزش حین کار به صورت مستمر و پیوسته انجام می شود و در فاز های طراحی، استقرار، نگهداری، بهبود و پشتیبانی تمامی مراحل می بایست به صورت حرفه ای انجام و همپوشانی شود.
لازم به ذکر است که، از مرحله طراحی تا پشتیبانی می بایست تمام پرسنل در حوزه مربوط به پروژه هماهنگی و همکاری مناسبی داشته باشند تا از این طریق کارشناسان امنیت اطلاعات و مدیران ارشد حرکت در جهت امنیت اطلاعاتی یک سازمان را به شکلی اثربخش محقق سازند. مشارکت کلیه پرسنل در این مهم، تضمین کننده اجرایی موفق، در سیستم امنیت اطلاعاتی کارآمد می باشد.
بکارگیری ساختار مدیریتی قوی و حرفه ای از مهم ترین اقدامات برای پیاده سازی سیستم مدیریت امنیت اطلاعات محسوب می شود که مشاوره سیستم مدیریت امنیت اطلاعات با آگاهی از آن به تبیین الزامات امنیت مدیریتی، سیاست گذاری های مدیریتی، هدف گذاری های مدیریتی، مدیریت مخاطرات امنیت اطلاعات، پایش و بازنگری های مستمر مدیریتی و بهبود مستمر آن می پردازد. مشارکت و حضور بالقوه مدیریت در این پروژه در سطوح مختلف سازمانی همراه با مشاوره سیستم مدیریت امنیت اطلاعات ، از ارکان های ضروری در پیشبرد سریع تر و موفق تر پروژه خواهد بود.
مراحل استقرار سیستم مدیریت امنیت اطلاعات
مراحل استقرار سیستم امنیت اطلاعات، شامل مراحل گوناگونی است که به مشارکت کلیه پرسنل و مدیران در کنار مشاوره سیستم مدیریت امنیت اطلاعات نیازمند می باشد. بر اساس روش های اجرایی سیستم مدیریت امنیت اطلاعات و دستورالعمل های مربوط به آن می بایست مشاوره سیستم مدیریت امنیت اطلاعات به پیاده سازی و استقرار سیستم امنیت اطلاعات مبادرت نماید. بکارگیری استاندارد های بین المللی ایزو 27001، ایزو27002، ایزو 27005 و همچنین الزامات قانونی سازمان هایی نظیر، سازمان فناوری اطلاعات، حراست کل، سازمان مرکزی مدیریت راهبردی و غیره در اجرای سیستم مدیریت امنیت اطلاعات الزامی می باشد.
مراحل استقرار سیستم مدیریت امنیت اطلاعات عبارتند از:
[su_list icon=”icon: hand-o-left” icon_color=”#f0810a”]
- مرحله شناخت و ارزیابی، منظور شناخت و ارزیابی الزامات امنیتی، قانونی، سازمانی، سیاست گذاری و هدف گذاری های امنیت اطلاعات در سازمان می باشد.
- مرحله پیاده سازی، منظور بهره برداری از موارد مهم امنیتی وکنترلی است که جهت مدیریت مخاطرات امنیت اطلاعات هر سازمانی بکار برده می شود.
- مرحله پایش و بازنگری، منظور سنجیدن،آزمایش نمودن و اجرای اثربخش استقرار سیستم مدیریت امنیت اطلاعات است که در چارچوب خاصی باید مورد بررسی و بازنگری قرار گیرد.
- مرحله بهبود مستمر، منظور از این مرحله این است که بعد از اتمام کار پروژه و مشاوره سیستم مدیریت امنیت اطلاعات لازم است، پیوسته بهبود مستمر در طول فرایند های کسب و کار و فازهای مختلف سازمان منطبق بر چارچوب اندازه گیری هدف انجام گردد.
[/su_list]
توجه به این نکته شایان ذکر است که تمامی مراحل استقرار سیستم مدیریت امنیت اطلاعات بر اساس استاندارد ISO/IEC 27001:2005 می باشد که این استاندارد نیز مبتنی بر چرخه دمینگ تبیین می گردد. منظور از چرخه دمینگ چرخه ای است که کلیه مراحل طراحی، اجرا، بررسی و اقدام را شامل می شود و به صورت پیوسته و مکرر در بین مراحل مختلف قابل اجرا می باشد؛ بنابراین استقرار سیستم مدیریت امنیت اطلاعات منطبق بر این چرخه موجب پیشبرد و توسعه کلیه فرآیندهای استقرار و تسریع روند کار را به شکلی هماهنگ و اصولی تر می شود.
فواید استانداردها در استقرار سیستم مدیریت امنیت اطلاعات
فواید استانداردها در استقرار سیستم مدیریت امنیت اطلاعات، برای در اختیار داشتن سیستم امنیت اطلاعاتی پیشرفته و اثربخش از ضروریات هر سازمانی است که مشاوره سیستم مدیریت امنیت اطلاعات باید به آن توجه نموده و در استقرار سیستم امنیت اطلاعات در سطوح مختلف سازمان از آن بهره مند شود. در ادامه به بیان این فواید می پردازیم:
[su_list icon=”icon: hand-o-left” icon_color=”#f0810a”]
- برقراری امنیت اطلاعات در سطوح مختلف فیزیکی،پرسنلی و ارتباطات.
- جدیدترین و بروزترین استاندارد های امنیتی در سازمان
- ارائه راهکار و رویکرد پیشگیرانه
- افزایش اعتبار سازمان
- کمک به تدوین برنامه های عملیاتی
- ایجاد فضای امن جهت تبادل اطلاعات
- استاندارد مورد قبول شورای عالی امنیت فضای تبادل اطلاعات کشور
- ارائه سیستم مدیریت امنیت پویا
- ارائه سیستم امنیت مستمر
- دارای نگاهی جامع و هم جانبه به سوح امنیتی سازمان
- رویکرد آموزش محور بودن
- کاهش زمان و هزینه ها
[/su_list]
مزایای پیاده سازی سیستم مدیریت امنیت اطلاعات
بکارگیری و پیاده سازی سیستم مدیریت امنیت اطلاعات در هر سازمانی با هدف دستیابی به راهکارهای امن سازی و به منظور مدیریت مخاطرات امنیت اطلاعات معرفی گردید و مزایای پیاده سازی سیستم مدیریت اطلاعات که شامل مواردی متنوع می باشد، در چارچوب مجموعه مخاطرات کسب و کار و پس از طی نمودن ارزیابی راهبردی و پشتیبانی امنیت فناوری اطلاعات که در سطوح مختلف برون سازمانی و درون سازمانی بکارگرفته می شود، مطرح گردید.
یک مشاوره سیستم مدیریت امنیت اطلاعات قبل از هر اقدامی لازم است، جهت آگاهی کلیه پرسنل از مزایای این سیستم و دلایل استقرار آن در سازمان ها، به تشریح و توضیحات در این مهم بپردازد. از جمله مزایای پیاده سازی سیستم مدیریت امنیت اطلاعات که توسط مشاوره سیستم مدیریت امنیت اطلاعات تبیین می گردد، عبارتند از:
[su_list icon=”icon: hand-o-left” icon_color=”#f0810a”]
- شناسایی دارایی های طبقه بندی شده سازمان توسط مشاوره سیستم مدیریت امنیت اطلاعات
- ارزش گذاری دارایی های سازمان بر اساس محرمانگی اطلاعاتی، یکپارچگی اطلاعاتی، دردسترس بودن اطلاعات وصحت و درستی اطلاعات
شناسایی نیازها و الزامات مخاطبین و ذینفعان سازمان - تهیه RFP برای سازمانها (منظور نیاز سنجی امنیتی و بکارگیری استاندارد های لازم و متناسب برای سازمان می باشد که باید مشاوره سیستم مدیریت امنیت اطلاعات قبل از هر اقدامی آن را تهیه نماید).
- شناسایی کردن و اجرایی نمودن فرایند ها و روش های اجرایی در چارچوب امنیت اطلاعات
- شناسایی و ارزیابی آسیب های امنیتی و نقاط ضعف سازمان
- شفاف نمودن مسئولیت ها و وظایف در حوزه امنیتی
- فرهنگ سازی امنیت اطلاعاتی و آموزشی به کلیه کارکنان
- دسترسی به اطلاعات با کنترل های دقیق امنیتی
- برنامه ریزی جهت بهبود مستمر سازمان و چشم اندازهای امنیتی برای آن
- کنترل و ارزیابی های دوره ای، فصلی و سیستماتیکی سازمان از نظر سیستم مدیریت امنیت اطلاعات
- اولویت بندی و پیاده سازی کنترل های امنیتی در سازمان
- اطمینان از اجرایی شدن فرایند ها و رویه های کاری سازمان در چارچوب سیستم مدیریت امنیت اطلاعات
- اطمینان از تداوم فعالیت های کلیدی سازمان در چارچوب امنیت اطلاعاتی
- چک نمودن ابعاد مختلف سازمان در بحث مدیریت امنیت اطلاعات و رفع نواقص آن
- شناخت سازمان کارفرما
- کنترل ریسک دارایی های سازمان و حداقل رساندن ریسک
- تدوین و طراحی متدولوژی ارزیابی مخاطرات سازمان
- برگزاری دوره ها و سمینارهای آموزشی در حوزه امنیت اطلاعات
- تشکیل کمیته های امنیتی و پشتیبانی راهبردی
- سنجش اثربخشی سیستم امنیتی از جهات مختلف
- ارائه راهکارهای امنیتی در مواقع بحران متناسب با شرایط سازمان
- و غیره.
[/su_list]