متدولوژی مشاوره سیستم مدیریت امنیت اطلاعات شرکت آشنا ایمن
(AISCM)
این مرحله به عنوان اولین قسمت از متدولوژی مشاوره ISMS شرکت آشنا ایمن، همکاری این شرکت را با سازمان متقاضی شروع میکند. بدین منظور سازمان متقاضی با تکمیل فرم خودارزیابی ISMS (تعبیهشده در وبسایت) و همچنین فرم اولیه تعیین محدوده ISMS، طی یک تماس تلفنی درخواست خود را مبنی بر دریافت خدمات مشاوره سیستم مدیریت امنیت اطلاعات ثبت مینماید.
پس از ثبت درخواست مشاوره در مرحله پیشین، فرمهای تکمیلشده سازمان متقاضی، توسط تیم سطح دوم مشاوره آشنا ایمن بررسیشده و فرم تعیین محدوده برای مشتری ارسال میگردد. در قسمت بعد و به کمک کارشناسان شرکت آشنا ایمن، فرم نهایی تعیین محدوده توسط سازمان متقاضی تکمیل میگردد. در این مرحله یک جلسه حضوری، با حضور کارشناسان سطح یک مشاوره آشنا ایمن و شرکت متقاضی به منظور نهایی سازی تعیین محدوده ISMS برگزار میگردد.
در این مرحله سعی میشود با استفاده از متد RIIOT یک شناخت اولیه و اجمالی از سازمان در مورد وضعیت موجود پیادهسازی کنترلهای امنیتی کسب شود. این قسمت شامل برگزاری مصاحبه، بررسی مستندات، مشاهده رفتار سیستم و کاربران، آزمون و بازبینی مکانیسمهای امنیتی خواهد بود. این فعالیت باعث کسب آگاهی از کنترلهای موجود استاندارد توسط سازمان، آشنایی بهتر و متعاقباً برنامهریزی بهتر روند کار توسط آشناایمن، هدفگذاری امنیت اطلاعات و اختصاص منابع بهینه به پروژه سیستم مدیریت امنیت اطلاعات خواهد شد. برگزاری دوره مقدماتی ISMS برای کارشناسان محدوده پیادهسازی نیز در این مرحله پیشبینیشده است.
این مرحله به عنوان مرحله اصلی و محوری مشاوره قلمداد میشود که به طور کلی کلیه فرآیندها و وظایف مربوط به طراحی، پیادهسازی و نظارت در سیستم مدیریت امنیت اطلاعات را به خود اختصاص میدهد. به صورت اجمالی روش آشناایمن در این قسمت در قالب پنج مرحله طراحی، پشتیبانی، عملیات، سنجش عملکرد و بهبود مستمر قابل دستهبندی است که شرح تفضیلی آن به صورت ارائه پیشنهاد برای سازمان متقاضی ارسال میگردد.
پس از پیادهسازی کامل الزامات استاندارد ISO 27001 در سازمان و برگزاری فعالیتهای پایانی تکمیل فرآیند ISMS نظیر ممیزی داخلی و بازنگری مدیریت، در این مرحله شرکت آشنا ایمن با برطرف کردن عدم انطباقهای گزارششده و ارائه مشاوره به منظور انتخاب سازمان ارائهدهنده گواهینامه (CB)، سازمان را در کل فرآیند ممیزی شخص ثالث (صدور گواهینامه) از ابتدا تا دریافت گواهینامه همراهی خواهد کرد.
با توجه به ماهیت مستمر سیستم مدیریت امنیت اطلاعات و لزوم پرهیز از نگاه پروژهای به آن، در این مرحله شرکت آشنا ایمن به ارائه خدمات پشتیبانی سیستم میپردازد. بدین ترتیب کلیه فعالیتهای پیشبینیشده در مرحله چهارم، بهصورت مستمر مورد بازنگری و بهروزرسانی قرار میگیرند. مواردی همچون بهروزرسانی فهرست داراییها، فرآیند ارزیابی مخاطرات، روشها و رویههای امنیت اطلاعات، ممیزی داخلی، سنجش اثربخشی شاخصها و آمادهسازی سازمان برای ممیزی مراقبتی (تمدید گواهینامه) در قالب پشتیبانی سیستم مدیریت امنیت اطلاعات قابل ارائه هستند.
