با توجه به دو حوزه استانداردی مطرح شده از سوی سازمان ISO در حوزه فناوری اطلاعات، تحت عناوین مدیریت خدمات (خانواده 20000) و امنیت (خانواده 27000)، بسیاری از سازمان های IT محور، مزایای پذیرش هر دو استاندارد ISO 27001 برای امنیت اطلاعات و ISO 20000 برای مدیریت خدمات را به رسمیت می شناسند. برخی سازمان ها یکی از این سیستم ها را پیاده نموده اند و نیاز به پیاده سازی سیستم دوم را دارند. برخی سیستم ها نیز، نیاز به استقرار همزمان را دارند. در این مقاله به تشریح چگونگی یکپارچه سازی این دو استاندارد می پردازیم. استاندارد ISO 27013 به عنوان دستورالعمل اجرای یکپارچه استانداردهای فوق الذکر، در مورد پیاده سازی یکپارچه سیستم مدیریت امنیت اطلاعات و سیستم مدیریت خدمات فناوری اطلاعات، مبتنی بر (ISO/IEC 27001 (ISMS و ISO/IEC 20000-1 ارائه می دهد.
استاندارد به کاربران در مورد مراحل و اسناد و مدارك پشتيباني مورد نياز براي پياده سازي يك سيستم مديريت يكپارچه دوگانه، كمك ميكند. به عنوان مثال:
استاندارد ISO 27001 را هنگامی در سازمان پیاده سازی کنید که قبلاً استاندارد ISO 20000-1 را پیاده سازی کرده باشید و یا برعکس.
هر دو استاندارد ISO 27001 و ISO 20000-1 را با هم از ابتدا پیاده سازی کنید.
سیستم های مدیریت ISO 27001 و ISO 20000-1 که از قبل در سازمان پیاده سازی شده است را هماهنگ و هم سو کنید.
دامنه این استاندارد شامل دو زیر مجموعه ISO / IEC JTC1 است. SC 27 و SC 7 در تدوین این استاندارد با هم همکاری کردند تا اطمینان حاصل شود که دیدگاه های امنیت اطلاعات و مدیریت فناوری اطلاعات هر دو به درستی در نظر گرفته شده اند.
استاندارد چارچوبی برای سازماندهی و اولویت بندی فعالیت ها ارائه می دهد و همچنین توصیه هایی را در خصوص موارد زیر ارائه می دهد:
استاندارد برای اولین بار در سال 2012 منتشر شد و مطابق با نسخه 2013 ISO / IEC 27001 مورد بازنگری قرار گرفت: نسخه دوم در سال 2015 منتشر شد. در حال حاضر استاندارد مطابق با نسخه فعلی ISO / IEC 20000-1 و نسخه فعلی سال 2013 ISO / IEC 27001 در حال بازنگری است و قرار است نسخه جدید آن در سال 2022 منتشر شود.
استاندارد ISO/IEC 27013:2015 Information technology — Security techniques — Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 دارای 6 فصل (1 تا 6) به شرح زیر است که فصول 1 تا 3، مقدمه و کلیات را بیان نموده و از فصل 4 تا 6 به بیان الزامات پرداخته شده است.
در فصل چهارم استاندارد دو سیستم مرجع این استاندارد معرفی شده اند.
مفاهیم استاندارد ISMS) ISO 27001)
استاندارد ISO 27001 ، الزامات ایجاد، پیاده سازی، اجرا، پایش، بازنگری، نگهداری و بهبود ISMS برای محافظت از دارایی های اطلاعاتی فراهم می کند. دارایی اطلاعاتی، شامل اطلاعات در هر شکل، ذخیره شده در هر نوع و مورد استفاده برای هر گونه هدف توسط سازمان یا درون سازمان است.
مفاهیم استاندارد SMS) ISO 20000-1)
استاندارد ISO 20000-1، می تواند توسط سازمان ها یا قسمت هایی از سازمان ها که از خدمات استفاده می کنند یا آن را ارائه می دهند، استفاده شود. این کار برای مشتری و ارائه دهنده خدمت ارزش ایجاد می کند. استاندارد اساساً برای اطمینان از این است که خدمات، الزامات خدمت را برآورده کنند و برای مشتری و فراهم کننده خدمت ایجاد ارزش کنند.
اشتراکات دو استاندارد
مدیریت خدمت و مدیریت امنیت اطلاعات به طور معمول به گونه ای تلقی می شوند که نه متصل و نه وابسته هستند. مفهوم این جداسازی این است که مدیریت خدمت می تواند به سادگی به کارایی و سودآوری مربوط شود، در حالی که مدیریت امنیت اطلاعات اغلب به عنوان پایه ای برای تحویل خدمت مؤثر در نظر گرفته نمی شود.
وقتی با دو استاندارد کار میکنیم، بهتر است درک شود که آن ها در بیش از یک جهت دارای ویژگی های متفاوت هستند. استاندارد ISO 20000-1 طراحی شده است تا اطمینان دهد که سازمان خدمات مؤثری ارائه می کند، در حالی که استاندارد ISO 27001 طراحی شده است تا سازمان را برای مدیریت ریسک امنیت اطلاعات و پیشگیری از رخدادهای امنیتی توانمند سازد.
سازمانی که در حال برنامه ریزی برای پیاده سازی استاندارد ISO 27001 و استاندارد ISO 20000-1 است، می تواند یکی از سه حالت زیر را داشته باشد:
توصیه می شود سازمانی که در حال طرح ریزی برای پیاده سازی سامانه مدیریت یکپارچه است حداقل موارد زیر را در نظر داشته باشد:
الف- سایر سامانه (های) مدیریتی که در حال استفاده هستند (مانند سامانه مدیریت کیفیت)
ب- همه خدمات، فرآیندها و وابستگی آن ها در مفهوم سامانه مدیریت یکپارچه
پ- عناصر هر استاندارد که می توانند ادغام شوند و چگونگی ادغام آن ها
ت- عناصری که باید جدا بمانند
ث- تأثیر سامانه مدیریت یکپارچه بر روی مشتریان، تأمین کنندگان و سایر طرف ها
ج- تأثیر بر فناوری در حال استفاده
چ- تأثیر یا ریسک بر خدمات و مدیریت خدمت
ح- تأثیر یا ریسک بر امنیت اطلاعات و مدیریت امنیت اطلاعات
خ- تحصیلات و آموزش در سامانه مدیریت یکپارچه
د- گام ها و توالی فعالیت های پیاده سازی.
حالت اول: هیچ استانداردی در حال حاضر به عنوان مبنای سامانه مدیریت به کار نمی رود.
سازمانی که سامانه مدیریتی بر اساس استاندارد ISO 27001، یا استاندارد ISO 20000-1، ندارد احتمالاً دارای شکلی از سامانه مدیریت است. این سامانه باید تعدیل شده تا به انطباق با یکی یا هر دو استاندارد برسد. تصمیم مربوط به ترتیب پیاده سازی دو سامانه مدیریت، بهتر است بر اساس نیازهای کسب و کار اتخاذ شود.
ملاحظاتی در این خصوص به شرح زیر توصیف شده اند:
الف- توصیه می شود سازمانی که خدماتی فراهم می کند با پیاده سازی استاندارد ISO 20000-1، آغاز کند و با به کار گیری درس های آموخته شده در طول پیاده سازی، سامانه مدیریت را توسعه دهد تا شامل استاندارد ISO 27001 نیز شود.
ب- سازمانی که از تأمین کنندگان استفاده می کند و شامل سایر ذی نفعان است، بهتر است برای تحویل برخی از اجزای خدمات، ابتدا بر استاندارد ISO 20000-1، تمرکز کند و سپس سازمان به سمت استاندارد ISO 27001، حرکت کند.
پ- سازمان های کوچک بهتر است بر اساس سطح وابستگی خود به مدیریت خدمت یا امنیت اطلاعات بر استاندارد ISO 27001، یا استاندارد ISO 20000-1، تمرکز کنند.
ت- سازمان های بزرگ با تحویل خدمت داخلی، بهتر است پیاده سازی را به عنوان یک پروژه ساده ساماندهی کنند. اگر این کار ممکن نباشد، سپس توصیه می شود سازمان پیاده سازی را به زیر پروژه با یک برنامه فراگیر کاری تقسیم کند و هر زیر پروژه باید یک استاندارد را مدیریت و به عنوان یک زیر پروژه در ادامه پیاده سازی را یکپارچه کند.
ث- در هر سازمانی که امنیت اطلاعات دارای سطح بالایی از اهمیت است، بهتر است در ابتدا ISMS پیاده سازی شود که با الزامات استاندارد ISO 27001، مطابقت داشته باشد و سپس برای پشتیبانی امنیت اطلاعات در مرحله بعد استاندارد ISO 20000-1، توسعه داده شود.
حالت دوم: یک سامانه مدیریت وجود دارد که الزامات یکی از استانداردها را برآورده می کند
توصیه می شود هدف اصلی در این حالت یکپارچه سازی الزامات با استاندارد دیگر باشد. در این راستا سازمان ویژگی های سامانه مدیریت برقرار شده را شناسایی و بازنگری کند که حداقل موارد زیر را شامل شود:
حالت سوم: سامانه های مدیریت جداگانه ای وجود دارند که الزامات هر کدام از استانداردها را برآورده می کنند.
ممکن است یک سازمان، استاندارد ISO 27001 را در یک محدوده و استاندارد ISO 20000-1 را در محدوده دیگری از سازمان پیاده سازی کرده باشد. سپس سازمان می تواند تصمیم بگیرد یکی از استانداردها را با حیطه وسیع تری از فعالیت ها اعمال کند.
توصیه می شود بازنگری نقطه آغاز را با هدف دستیابی به موارد زیر شکل دهد:
الف- شناسایی و مستند کردن حوزه های کاربردی موجود و پیشنهاد شده هر استاندارد، با توجه ویژه به تفاوت های آن ها.
ب- مقایسه سامانه های مدیریت موجود و در صورت وجود، تعیین نمودن ابعاد ناسازگاری دو جانبه.
پ- آغاز به درگیر کردن ذینفعان در هر دو سامانه مدیریت با یکدیگر
ت- برنامه ریزی بهترین رویکرد به سمت یک سامانه مدیریت یکپارچه
توصیه می شود در همه موارد هدف سازمان تولید یک سامانه مدیریت یکپارچه بادوام باشد که مطابقت با هر دو استاندارد را امکان پذیر سازد. می توان یک مجموعه واحد از مستندات برای سامانه مدیریت یکپارچه ایجاد نمود و برای پشتیبانی از آن می توان از مستندی مانند ماتریس انطباق جهت نشان دادن انطباق هر کدام از استانداردها با سامانه مدیریت یکپارچه استفاده نمود.
چالش های بالقوه
مفهوم دارایی
دارایی در استاندارد ISO 20000-1، با دارایی اطلاعاتی در استاندارد ISO 27001، متفاوت است. استاندارد ISO 20000-1، از یک اصطلاح تعریف شده استفاده می کند، مورد پیکربندی (CI)، به عنوان عنصری که جهت تحویل خدمت یا خدمات نیاز به کنترل شدن دارد.
در ISO 27001، دارایی های اطلاعاتی به عنوان دانش یا داده ای که بدون توجه به نوعشان برای سازمان دارای ارزش هستند، تعریف شده است. در نتیجه دارایی های اطلاعاتی می توانند CI باشند؛ اما CI ها لزوماً دارایی اطلاعاتی نیستند.
تصویر 1- ارتباط بین دارایی های اطلاعاتی در استاندارد ISO 27001 و CI ها در استاندارد ISO 20000-1
طراحی و انتقال خدمت
شامل الزاماتی برای طراحی و انتقال خدمات جدید یا تغییر یافته است. بند معادل مستقیمی در استاندارد ISO 27001 ندارد. توصیه می شود برنامه ریزی همه خدمات جدید یا تغییر یافته در برگیرنده ملاحظات امنیت اطلاعات باشد.
مدیریت و ارزیابی ریسک
اگرچه مدیریت ریسک در هر دو استاندارد در نظر گرفته شده است؛ اما ماهیت این ریسک ها متفاوت است. استاندارد ISO 20000-1 ریسک های سیستم مدیریت امنیت اطلاعات و خدمات را در بر می گیرد، در حالی که استاندارد ISO 27001 مخاطره امنیت اطلاعات و چگونگی تأثیرش بر سازمان را در نظر می گیرد.
بهتر است سازمان یکی از دو رویکردی که در زیر توصیف شده است را اتخاذ کند.
الف- یک رویکرد متداول برای مدیریت ریسک، شامل ارزیابی ریسک، برای هر دو استاندارد جهت اجتناب از دوباره کاری، استفاده شود.
ب- از روش های ارزیابی ریسک جداگانه برای دو استاندارد استفاده شود. که در این صورت بهتر است سازمان از اصطلاح شناسی استفاده کند که بین ارزیابی ریسک SMS و خدمات ریسک از ISMS و امنیت اطلاعات تمایز قائل شود.
در جایی که ارزیابی ریسک و مدیریت ریسک برای سازمان نقش کلیدی دارد، توصیه می شود اولویت به پیاده سازی استاندارد ISO 27001 اختصاص یابد.
تفاوت ها در سطوح پذیرش ریسک
جایی که یک مشتری، داده یا سامانه های خود را به دست طرف سوم می سپارد، ممکن است تفاوت هایی بین سطح پذیرش ریسک مشتری و طرف سوم وجود داشته باشد. این مسئله به طور واضح در هیچ کدام از استانداردها پوشش داده نشده است، اما توصیه می شود سازمان از این موضوعات آگاه باشد و با توجه به سطح ریسک که توسط طرف های مختلف کنترل می شوند، تصمیم روشنی بگیرد.
مدیریت رخداد و مشکل
استاندارد ISO 27001 یک فرایند واحد را برای رسیدگی کردن به تمام رخدادهای امنیت اطلاعات توصیف می کند.
استاندارد ISO 20000-1 نه تنها دارای اصطلاحات متنوعی است، بلکه ساز و کارهای گوناگونی برای مدیریت این رویدادها، مانند مدیریت رخداد و تقاضای خدمت، روال رخدادهای بزرگ و مدیریت مشکل را داراست. به منظور تطبیق این دیدگاه ها، سازمان بهتر است تصمیم بگیرد چگونه مدیریت رخدادها را که در محدوده هر دو سامانه مدیریت هستند، ساماندهی کند.
توصیه می شود در یک سامانه مدیریت یکپارچه، فرایند مدیریت مشکل تعریف شود. همچنین علاوه بر شناسایی و ارزشیابی آسیب پذیری های مورد نیاز برای یک ارزیابی ریسک امنیت اطلاعات در استاندارد ISO 27001، توصیه می شود به عنوان یک فرایند تحلیل داده که می تواند به عنوان ورودی مشکل به کار رود، در نظر گرفته شود.
تصویر 2- توصیف ارتباط بین استانداردها برای مدیریت مخاطره
مدیریت تغییر
برای اطمینان از اینکه نیازمندی های مدیریت تغییر برآورده شود، بهتر است چک لیست های ارزیابی اثر یا بازنگری پس از پیاده سازی به عنوان قسمتی از سامانه مدیریت یکپارچه توسعه داده شود.
فواید بالقوه
استفاده از چرخه طرح - اجرا - بررسی - اقدام
چرخه PDCA اساس بهبود مستمر در هر دو استاندارد است. بهتر است در نظر داشت که چرخه های PDCA می توانند در مقیاس زمانی مختلف اتفاق بیفتد، اما اگر در کل ممکن باشد، سازمان بهتر است یک چرخه واحد یکپارچه برای فراهم کردن دوره بازنگری یا ممیزی داخلی همزمان را به کار برد.
مدیریت سطح خدمت و گزارش گیری
وقتی استاندارد ISO 27001 پیاده سازی می شود، جزئیات کنترل های امنیت اطلاعات تعریف شده است و اثربخشی این کنترل ها باید سنجش شود. این عمل همچنین یک فرصت برای یکپارچه شدن با فرایند گزارش گیری خدمت فراهم می کند.
تعهد مدیریتی
استاندارد ISO 27001، امنیت اطلاعات در رابطه با ذی نفعان را توصیف می کند. ذی نفعانی که به آن ها اشاره شده است طرف هایی هستند، با نفع واگذار شده در سازمانی که ISMS در آن پیاده سازی شده است. (شامل کارمندان، سهامداران، مشتریان و احتمالاً حتی مقامات نظارتی یا عموم مردم)
استاندارد ISO 20000-1، به مشتریان و طرف های ذی نفعان اشاره می کند. (شخص یا گروهی که سود خاصی در کارایی یا موفقیت فعالیت های فراهم کننده خدمت دارند)
بنابراین طرف های علاقه مند مشابه "ذی نفعان" که در استاندارد ISO 27001 استفاده شده است، در نظر گرفته می شود.
همچنین توصیه می شود الزامات استاندارد ISO 20000-1 برای انتصاب واضح مسئولیت ها جهت مدیریت بهبود به کار رود تا اطمینان حاصل شود که مدیریت بهبود برای امنیت اطلاعات به نقش مشخصی تخصیص یافته است.
مدیریت ظرفیت
مدیریت ظرفیت در استاندارد ISO 20000-1 شامل طیف وسیع تری از مفاهیم ظرفیت نسبت به استانداردISO 27001 است. بنابراین برخی الزامات استاندارد ISO 20000-1 برای پشتیبانی پیاده سازی استاندارد ISO 27001 می تواند به کار رود. ISO 20000-1 به ظرفیت فنی و منابع انسانی هر دو توجه دارد و در خصوص ISO 27001 مدیریت منابع می تواند به مدیریت ظرفیت مرتبط شود.
مدیریت ریسک اشخاص ثالث
در استاندارد ISO 27001 یک طرف سوم مانند مشتری، تأمین کننده یا گروه داخلی مستقل، خارج از محدوده ISMS وجود دارد و به عنوان منبعی بالقوه از ریسک دیده می شود و کنترل هایی برای مدیریت امنیت این طرف سوم ها در این استاندارد وجود دارد.
در مقابل در استاندارد ISO 20000-1 طرف سوم ها موجودیت هایی هستند که تحت کنترل مستقیم فراهم کننده خدمت نیستند، اما در محدوده SMS با خدمت همکاری می کنند.
به طور خلاصه سامانه مدیریت یکپارچه بهتر است رویکرد استاندارد ISO 27001 را برای مدیریت روابط با تأمین کنندگان دنبال کند، اما همچنین با الزامات بند 6-6-2 از استاندارد ISO 20000-1 کنترل های امنیت اطلاعات با توجه به ریسک تأمین کننده، انطباق یابد.
مدیریت تأمین کنندگان
مدیریت تأمین کنندگان تحت هر دو استاندارد می تواند به طور مؤثری ترکیب شود. در این راستا ISO 27001 شامل اطلاعات بیشتری در رابطه با مدیریت ریسک مرتبط با تأمین کنندگان است.
مدیریت پیکربندی
مفهوم داده های مدیریت پیکربندی در استاندارد ISO 20000-1 مشابه انبار دارایی در استاندارد ISO 27001 است. اما محدوده و بنابراین چشم انداز آن متفاوت است.
الزامات جهت مبنای پیکربندی و نسخه های اصلی در استاندارد ISO 20000-1 عملاً از منظر استاندارد ISO 27001 کنترل می شود. این الزامات بهتر است هنگام یکپارچه سازی رویکردهای مدیریت ریسک در نظر گرفته شود.
مدیریت انتشار و استقرار
مطابقت با الزامات مدیریت انتشار و استقرار، مطابقت با الزامات استاندارد ISO 27001 برای انتشار را تضمین نمی کند. در این راستا ریسک های امنیت اطلاعات بهتر است همیشه با دنبال کردن فرایندهای امنیت اطلاعات تأیید شده، بدون توجه به اینکه کدام فرایند انتشار و استقرار استفاده می شود، به خوبی مدیریت شوند.
بودجه بندی و حسابداری
الزامات بودجه بندی و حسابداری نمی تواند به طور مستقیم به هیچ یک از الزامات ISO 27001 نگاشت شود. در استاندارد ISO 27001، الزام فراهم کردن منابع و خروجی بازنگری مدیریت می تواند از فرایند ملاحظه منابع مالی و بودجه تعریف شده بهره ببرد.
نتیجه گیری
هدف اصلی این مقاله، آشنایی با ساختار کلان و الزامات استاندارد ISO/IEC 27013:2015 بود. برای این منظور، تلاش شد که معرفی کلان در 6 فصل استاندارد صورت پذیرد. تصمیم گیری در خصوص نحوه استقرار یکپارچه این دو سیستم مدیریتی، در سازمان با شرایط مختلف متفاوت است.
مهم ترین نکته ای که مدیران فناوری اطلاعات و مدیران امنیت اطلاعات باید بدانند، تفاوتها و شباهتهای این دو سیستم مدیریتی است و درک صحیح الزامات کمک به استقرار اثربخش این سیستم می نماید.
در انتها از مزایای مهم اجرای یکپارچه این دو سیستم مدیریتی برای سازمانها می توان به موارد زیر اشاره نمود:
سعید حسینی
چهارشنبه ، ۰۹ مهر ماه ۹۹
مقاله خوبی بود اما کاش یه مقدار روانتر می نوشتین موقع مطالعه حس خوندن یک ترجمه رو داشتم نه یک مقاله تالیفیهمچنین بهتر بود تجربه خودتون رو هم ذکر می کردین