اندازه و گستره محدوده پیاده سازی سیستم مدیریت امنیت اطلاعات ISMS؛ چالش مدیران!!!

  • نویسنده: میثم ارجمندفر
  • تاریخ انتشار: سه‌شنبه ، ۱۰ مرداد ماه ۹۶
  • تعداد بازدید: 828
  • تعداد نظرها: 0
  • دسته بندی: سیستم مدیریت امنیت اطلاعات

همان‌طور که می‌دانید پیاده‌سازی سیستم مدیریت امنیت اطلاعات ISMS در چند سال اخیر بسیار رایج و در حوزه فناوری اطلاعات موردتوجه شرکت‌ها و سازمان‌های دولتی و خصوصی قرارگرفته است. در پیاده‌سازی سیستم مدیریت امنیت اطلاعات می‌توان از رویکردهای متنوعی به‌منظور اجرای پروژه ISMS استفاده نمود که در مقاله‌ای با عنوان "رویکردهای استراتژیک سازمان برای پیاده‌سازی ISMS – تمرکز بر روی توان داخلی یا استفاده از مشاور؟" به‌صورت کامل و مفصل به انواع رویکردهای پیاده‌سازی سیستم مدیریت امنیت اطلاعات اشاره‌شده است. فارغ از اینکه شما از چه رویکردی در پیاده‌سازی سیستم مدیریت امنیت اطلاعات استفاده می‌نمایید، لازم است در ابتدای پیاده‌سازی این سیستم اقدام به تعیین محدوده پیاده‌سازی سیستم مدیریت امنیت اطلاعات نمایید، در این خصوص نیز در مقاله‌ای با عنوان "شروع پیاده‌سازی سیستم مدیریت امنیت اطلاعات و تعیین محدوده آن" نحوه تعیین محدوده و ابعاد مختلف آن به‌صورت کامل توضیح داده شده است. لذا آنچه در این مقاله موردبحث قرار می‌گیرد تعیین اندازه و وسعت محدوده[1] پیاده‌سازی سیستم مدیریت امنیت اطلاعاتISMS [2] می‌باشد. اگر تاکنون با استاندارد ISO 27001 آشنا نشده اید، در ابتدا توصیه می‌کنم مقالات معرفی خانواده استانداردهای سیستم مدیریت امنیت اطلاعات و چگونه گواهینامه ISMS دریافت کنیم؟ از کجا باید شروع کرد؟ را مطالعه نمایید.

هر سازمان و شرکت با توجه نوع و ماهیت کاری دارای ابعاد و اندازه‌های مختلفی می‌باشد، برخی از سازمان‌ها و شرکت‌های دولتی و خصوصی نظیر شرکت‌های هلدینگ، بانک‌ها، بیمه‌ها، وزارتخانه‌ها ممکن است دارای تعداد زیادی ساختمان (از بعد فیزیکی)، بیش از 100 نفر کارمند (از بعد پرسنلی)، تعداد زیادی سرور و انواع تجهیزات شبکه‌ای و سخت‌افزاری (از بعد تکنولوژیکی) و همچنین ازلحاظ ساختار سازمانی گسترده و دارای مجموعه زیادی از فعالیت‌ها و فرآیندهای سازمانی باشد. این نوع سازمان‌ها معمولاً جزء سازمان‌های متوسط و بزرگ در نظر گرفته می‌شوند و سایر سازمان‌ها و شرکت‌ها ممکن است نسبت به هر یک از ابعاد مطرح‌شده بزرگ‌تر یا کوچک‌تر باشند. که می‌توان به‌طورکلی اندازه سازمان را تخمین نمود. لذا تعیین اندازه و وسعت محدوده پیاده‌سازی سیستم مدیریت امنیت اطلاعات با توجه به اندازه و بزرگی سازمان بسیار مهم است.

سؤالی که ذهن مدیران را درگیر می‌کند این است که آیا پیاده‌سازی این سیستم می‌بایست شامل کل سازمان باشد؟

قبل از پاسخ به این سؤال به استاندارد ISO 27001 مراجعه می‌کنیم. مطابق با بند 1 (محدوده) به این نکته اشاره‌شده است که:

    "تمامی الزامات این استاندارد بینالمللی عمومی بوده و قابلیت اعمال در کلیۀ سازمان‌ها، صرف‌نظر از نوع، اندازه و ماهیت فعالیت آن‌ها را دارا است"

 لذا متوجه خواهیم شد محدودیتی در پیاده‌سازی این سیستم در کل سازمان وجود ندارد. اما پیشنهاد به مدیران سازمان‌ها این است که در ابتدای استقرار این سیستم ابتدا محدوده کوچک‌تری به‌منظور استقرار سیستم انتخاب گردد و در صورت امکان و با در نظر گرفتن شرایط و امکانات، این محدوده گسترش و تعمیم یابد.

  • گام اول: انتخاب بهینه محدوده اولیه

محدوده اولیه سیستم مدیریت امنیت اطلاعات باید به نحوی انتخاب گردد که با توجه دانش، تجربه، مهارت و امکانات موجود به‌سادگی قابل پیاده‌سازی باشد و حداکثر منافع مورد انتظار را حاصل نماید. به‌عبارت‌دیگر انتخاب بهینه محدوده باعث می‌شود که با صرف زمان و هزینه کمتر بتوان مهم‌ترین دارایی‌های اطلاعاتی و ریسک‌های ناشی از آن را تحت پوشش قرارداد و از شکست‌های احتمالی پروژه جلوگیری و همچنین با توجه به تجارب به‌دست‌آمده بتوان اقدام به گسترش محدوده پیاده‌سازی سیستم مدیریت امنیت اطلاعات نمود.

  • محدوده فناوری اطلاعات(IT)، بهترین محدوده پیاده‌سازی سیستم مدیریت امنیت اطلاعات

معمولاً بیش از 90 درصد پروژه‌های پیاده‌سازی سیستم مدیریت امنیت اطلاعات توسط واحد فناوری اطلاعات[3] شرکت‌ها و سازمان‌ها انجام می‌شود و این واحد به‌عنوان مجری و متولی پیاده‌سازی در نظر گرفته می‌شود، همچنین محدوده پیاده‌سازی  نیز محدود به واحد فناوری اطلاعات می‌گردد. علت چیست؟؟.

پیشرفت تکنولوژی و فناوری اطلاعات باعث شده است حجم اطلاعات سازمانی بیشتر به این بستر انتقال داده شده و همچنین نگه‌داری و پردازش گردد. همچنین با نگاه به قانون پارتو (قانون 80-20)  می‌توان گفت که تقریباً 80 درصد اطلاعات سازمان‌ها در اختیار 20 درصد از سازمان است که معمولاً واحد فناوری اطلاعات می‌باشد. اما در واقعیت این میزان بیش از 80 درصد بوده و روزبه‌روز در حال افزایش می‌باشد. درنتیجه با انتخاب واحد فناوری اطلاعات به‌عنوان محدوده پیاده‌سازی سیستم مدیریت امنیت اطلاعات درواقع بیش از 80% از دارایی‌های اطلاعاتی و ریسک‌های مربوطه را می‌توان تحت پوشش قرارداد.

  • سازمان‌های بزرگ‌تر، محدوده‌های کوچک‌تر

برخی از سازمان‌ها و شرکت‌ها به لحاظ اندازه بسیار بزرگ می‌باشد. به‌عنوان‌مثال واحد فناوری اطلاعات در خیلی از بانک‌ها خود شامل یک سازمان مجزا بوده که دارای حجم عظیمی از سرویس‌های اطلاعاتی می‌باشد یا اینکه به لحاظ پراکندگی تجهیزات و موقعیت‌های فیزیکی بسیار گسترده می‌باشد. در این شرایط معمولاً پیشنهاد می‌شوند محدوده اولیه پیاده‌سازی سیستم مدیریت امنیت اطلاعات محدود به اتاق سرور یا سرویس‌ها و فرآیندهای مشخصی از حوزه فناوری اطلاعات گردد.

  • گام دوم: گسترش محدوده سیستم مدیریت امنیت اطلاعات

سیستم مدیریت امنیت اطلاعات علی‌رغم آنکه به‌صورت پروژه تعریف می‌شود، یک فعالیت مقطعی و کوتاه‌مدت نیست، بلکه به‌عنوان یک سیستم مدیریتی می‌بایست به‌صورت دائم و پیوسته در سازمان جاری و در بازه‌های زمانی مشخص موردبازنگری و بهبود قرار گیرد. یکی از موارد بازنگری در سیستم مدیریت امنیت اطلاعات، بازنگری محدوده و در صورت نیاز گسترش آن می‌باشد. گسترش محدوده سیستم مدیریت امنیت اطلاعات یکی از اهداف مدیران جهت در نظر گرفتن حداکثر تعداد دارایی‌های اطلاعاتی و ریسک‌های ناشی از آن‌ها می‌باشد. همچنین می‌توان خیلی از فرآیندهای سازمانی را تحت پوشش قرارداد و فرآیندهای تدوین‌شده در سیستم مدیریت امنیت اطلاعات را به سایر بخش‌های سازمان نیز تسری داد.

  • اولویت‌ها در گسترش محدوده

معمولاً آنچه که در سازمان به‌عنوان اولویت در افزایش محدوده در نظر گرفته می‌شود سیاست‌های و تصمیم‌گیری‌های مدیریتی و میزان آمادگی هر بخش از سازمان در پیاده‌سازی این سیستم می‌باشد. ضمن اینکه محدودیت بودجه و زمان نیز در تصمیم‌گیری مدیران در این حوزه تأثیرگذار است. اما در این خصوص می‌توان از راهکاری‌های منطقی‌تری جهت تعیین اولویت‌ها در افزایش محدوده سیستم مدیریت امنیت اطلاعات استفاده نمود. یکی از راهکارها انجام فرآیند بررسی تحلیل کاستی‌ها[4] به‌صورت مجزا برای هر بخش از سازمان یا موارد خارج از محدوده می‌باشد. همچنین تحلیل بر روی نتایج فرآیند ارزیابی مخاطرات[5] و میزان ارتباط و اشتراک بین دارایی‌ها و فرآیندهای داخل محدوده با موارد خارج از محدوده می‌تواند میزان تأثیر ناشی از ریسک‌ها در نظر گرفته نشده و کاهش ریسک‌های بالقوه سازمان را تعیین نماید. که در نتیجه آن می توان اولویت‌ها را در گسترش محدوده تعیین نمود.

در این خصوص مشاوره پیاده‌سازی و استقرار سیستم مدیریت امنیت اطلاعات از جمله خدمات کلیدی و قابل ارائه شرکت آشنا ایمن است که این شرکت مطابق با  متدولوژی مشاوره سیستم مدیریت امنیت اطلاعات (Ashna Imen Security Consultancy Methodology – AISCM) در مراحل ابتدایی اقدام به تعیین محدوده سیستم می نماید. برای اطلاعات بیشتر می توانید  فرم اولیه تعیین محدوده ISMS Prescoping Form) ISMS) را مشاهده نمایید.

 

[1] Scope

[2] Information security Risk Management

[3] Information Technology

[4] GAPs Analysis

[5] Risk Assessment