چگونه گواهینامه ISMS دریافت کنیم؟ از کجا باید شروع کرد؟

شاید این روزها واژه سیستم مدیریت امنیت اطلاعات یا ISMS، میان جامعه فناوری اطلاعات کشور و فعالان این حوزه، عبارتی آشنا باشد که با توجه به داغ بودن مباحث مربوط به امنیت اطلاعات زیاد به گوش می‌خورد. در این بین کسب گواهینامه این سیستم مدیریتی نیز در بسیاری از مواقع به عنوان یک دست‌آورد مهم و اساسی در کانال‌های ارتباطی و خبری سازمان‌ها مخابره می‌شود. اما موضوع و ماهیت گواهینامه مذکور چیست؟ سازمان‌ها چرا به سراغ آن می‌روند؟ آیا این گواهینامه تضمین کننده امنیت اطلاعات سازمان است؟ سازوکار اعطاء گواهینامه توسط مراجع ذی‌صلاح چگونه است و تفاوت گواهینامه بین‌المللی و ملی چیست؟ چگونه می‌توانیم گواهینامه مذکور را اخذ نماییم؟ من میلاد یداللهی، در این مطلب سعی می کنم پاسخ این سوالات و برخی دیگر از سوالات مرتبط را با زبانی ساده تشریح نمایم.

گواهینامه ISMS چیست؟

اولین نکته در پاسخ به این سوال این است که اصلا چیزی به نام گواهینامه ISMS وجود ندارد و گواهینامه مذکور با عنوان گواهینامه ISO 27001، به سازمان‌هایی اعطا می‌شود که پس از انجام ممیزی خارجی (توسط یک مرجع معتبر و ذی‌صلاح)، توانسته باشند انطباق خود را با الزامات مندرج در استاندارد ISO/IEC 27001 (برای کسب اطلاعات بیشتر در خصوص تاریخچه و آخرین تغییرات استاندارد ISO 27001 به این مقاله رجوع شود) با موفقیت نشان دهند. نسخه سال 2013 این استاندارد به عنوان مرجع اصلی سیستم مدیریت امنیت اطلاعات و معتبرترین استاندارد حال حاضر ISMS و مورد قبول جهانیان است (برای کسب اطلاعات بیشتر در مورد استانداردهای خانواده 27000 به این مقاله رجوع شود.) شاید این سوال نیز مطرح شود که گواهینامه‌های فردی که بسیاری از متخصصین حوزه امنیت با عنوان گواهینامه‌های ISMS در رزومه تخصصی خود از آنها یاد می کنند پس چیست؟ در پاسخ باید بگویم که گواهینامه‌های مذکور در واقع گواهینامه‌های آموزشی هستند که  در واقع بیان کننده تخصص و مهارت افراد در حوزه‌های مختلف ISMS از قبیل پیاده‌سازی، ممیزی داخلی، سرممیزی و یا مدیریت ریسک امنیت اطلاعات می باشند و متفاوت از گواهینامه‌های سازمانی دسته‌بندی می‌شوند.

سازمان‌ها چرا به سراغ پیاده‌سازی و کسب گواهینامه ISO 27001 می روند؟

واضح است که با توجه به وجود الزامات جامع و مسنجم امنیت اطلاعات در این استاندارد، پیاده‌سازی آن موجب ارتقای امنیت اطلاعات در حوزه‌های مختلف نظیر دارایی های اطلاعاتی، شبکه و سرویس های زیرساختی، نرم‌افزارها و سخت‌ افزارها، منابع انسانی، امنیت فیزیکی، مدیریت حوادث و وقایع، تداوم کسب و کار، ارتباط با اشخاص ثالث و غیره در سازمان خواهد شد. اما شاید این موضوع دلیل اصلی (و یا حداقل اولویت اول) برخی سازمان‌ها برای پیاده‌سازی و استقرار سیستم مدیریت امنیت اطلاعات و اخذ این گواهینامه نباشد. برخی سازمان‌ها به دلیل وجود الزام دستگاه های بالادستی (نظیر الزامات افتا، به این مقاله رجوع شود) و یا کارفرمایان خاص و یا حتی شرکای تجاری خود در این مسیر پای می گذارند. دسته دیگر سازمان‌ها که معمولا بیشتر با اطلاعات محرمانه مشتریان سروکار دارند، (نظیر بانک ها و موسسات مالی) پیاده‌سازی ISMS را در سازمان خود به عنوان یک عامل تضمین‌کننده برای آسودگی مشتریان و سرویس‌گیرندگان خود مطرح می‌کنند. به هر حال با وجود هر نوع نیت و یا اولویتی برای پیاده‌سازی این سیستم در سازمان، باید توجه داشت که کسب موفقیت در این عرصه و بهره‌مندی از مزایای فراوان استقرار سیستم مدیریت امنیت اطلاعات در سازمان نیازمند عزم جدی، تلاش مستمر، حمایت مدیریت ارشد و عوامل کلیدی بسیاری است.

آیا اخذ گواهینامه ISMS تضمین کننده امنیت اطلاعات در سازمان است؟

شاید تا به حال با این خبر روبرو شده باشید که مثلا "وبسایت شرکت الف مورد حمله هکرها قرار گرفت و از دسترس خارج شد" و از طرفی مدتی پیش خبردار شدید که اتفاقا همان شرکت الف موفق به اخذ گواهینامه ISO 27001 شده بود. این تناقضی بزرگ است که در ذهن بسیاری از افراد پیش می آید که چگونه ممکن است مجموعه‌ای سیستم مدیریت امنیت اطلاعات ISMS را پیاده‌سازی نماید و حتی گواهینامه آن را دریافت کند ولی وبسایتش هک شود! در پاسخ به این تناقض، توجه به چند نکته در رابطه با این موضوع ضروری است:

• دریافت گواهینامه ISO 27001 به معنای وجود و اجرای سطوح امنیتی بالا و قوی در یک سازمان نیست. کماهی که ممکن است سازمان‌هایی با داشتن سطوح امنیتی مناسب در برخی حوزه‌ها نظیر امنیت شبکه، موفق به دریافت آن نشوند. این گواهینامه تنها نشان می دهد که

یک سیستم مدیریت امنیت اطلاعات در سازمان موجود است که مراحل برنامه ریزی، استقرار، پیاده‌سازی، بازبینی و بازنگری را مطابق با الزامات استاندارد طی نموده و در حال بهبود مستمر است.

• با توجه به نکته قبلی باید انتظار داشت (و می توان نتیجه گرفت) که سازمان‌هایی که مدت زیادی از پیاده‌سازی ISMS در آنها گذشته است، قاعدتا باید در سطوح امنیتی مناسب‌تری (حداقل نسبت به خود) قرار بگیرند و دستاوردهای سیستم در آنها مشهودتر باشد.
• یک اصل در امنیت وجود دارد که "امنیت هیچ گاه 100 درصد نیست" بنابراین بروز این چنین اتفاقاتی در برخی موارد به دلیل وجودخطاهای انسانی، عدم کارد صحیح سیستم و مواردی از این دست، اجتناب ناپذیر است. البته این موضوع ناهی مزایا و دستاوردهای پیاده‌سازی ISMS در کاهش و جلوگیری از بروز رخدادها و حوادث مذکور نمی‌باشد.

سازوکار اعطا گواهینامه ISO 27001 چگونه است و تفاوت گواهینامه بین‌المللی و ملی چیست؟

استاندارد ISO 27001 نیز به عنوان یکی از استانداردهای سازمان جهانی استاندارد ISO از سازوکار این موسسه جهانی برای اعطای گواهینامه استفاده می‌نماید. بدین ترتیب که سازمان‌های متقضی پس از اطمینان از انطباق کامل خود با الزامات مندرج در استاندارد مذکور، درخواست خود را برای یک شرکت گواهی‌دهنده (Certification Body (CB)) جهت انجام ممیزی و ثبت سیستم ارسال می‌نمایند. شرکت‌های گواهی‌دهنده، خود نیز اعتبار و مجوز ممیزی را از مراجع اعتبار بخشی (Accreditation Body (AB)) دریافت می کنند. این مراجع (AB) معمولا دولت ها و یا سازمان‌های استاندارد کشورهای مختلفی هستند که عضو سازمان ISO بوده و با آن در تعامل می‌باشند. بدین ترتیب یک ساختار سلسله مراتبی از سازمان ISO تا AB و CB وجود دارد که اعتبار گواهینامه را تضمین می نماید. ذکر این نکته ضروری است که مجوز ممیزی و صدور گواهینامه برای استانداردهای مختلف، به هر یک از AB ها و متعاقب آن CB ها اعطا می‌شود و این بدان معنا است که تنها برخی از شرکت‌های گواهی‌دهنده (CB) مجوز صدور گواهینامه ISO 27001 را دارند. بدین تریب CB پس از اجرای فرآیند ممیزی و در صورت موفقیت سازمان متقاضی، اقدام به صدور گواهینامه بین‌المللی به مدت 3 سال می‌نماید و موظف است به صورت سالیانه (در دو مرحله) ممیزی های مراقبتی خود را جهت حصول اطمینان از استمرار انطباق سازمان با استاندارد برگزار نماید.

اما چند سالی است که با توجه به حساسیت موضوع امنیت اطلاعات و اقدام در جهت جلوگیری از نشت اطلاعات سازمان‌ها، اخذ گواهینامه بین‌المللی برای سازمان‌ها و دستگاه‌های دولتی منع شده است. در این خصوص ساز و کاری تقریبا مشابه برای صدور گواهینامه‌های ملی در نظر گرفته شده است که در آن سازمان‌های متولی این حوزه نظیر مرکز افتای ریاست جمهوری و سازمان فناوری اطلاعات کشور نقش اعتباربخشی و شرکت های دارای صلاحیت و تاییدشده‌ی این مراجع نقش ممیزی را بر عهده می‌گیرند. نکته قابل توجه در خصوص گواهینامه ملی سیستم مدیریت امنیت اطلاعات این است که سازمان‌هایی که در زمره زیرساخت‌های حیاتی کشور قرا می‌گیرند، می‌بایست به منظور دریافت گواهینامه مذکور، علاوه بر الزامات موجود در استاندارد مرجع، برخی از نیازمندی‌ها و الزامات خاص این نوع دستگا ه‌ها و سازمان‌ها را که سوی مرکز افتای ریاست جمهوری به آنها ابلاغ شده است را نیز پیاده‌سازی نمایند. اعتبار گواهی نامه‌های ملی نیز همچون گواهینامه‌های بین‌المللی 3 ساله است و روند ممیزی‌های مراقبتی در آن‌ها برقرار می باشد.

چگونه می توانیم گواهینامه ISO 27001 را اخذ نماییم؟ (از کجا شروع کنیم؟)

پیاده‌سازی سیستم مدیریت امنیت اطلاعات (ISMS) در سازمان یک تصمیم استراتژیک است که می‌بایست از تعهد مدیریتی برخوردار باشد. به زبان ساده‌تر، بدون حمایت مدیریت ارشد سازمان و اختصاص منابع مکفی و مورد نیاز، احتمال شکست در اجرای این سیستم مدیریتی بسیار بالا می‌رود. در بسیاری از پروژه‌ها مشاهده می‌شود که تنها عده‌ای محدود از بدنه کارشناسی سازمان درگیر فرآیندهای ISMS می‌شوند و دیگر بخش‌های مرتبط و مدیران هیچ اطلاعی از اجرای سیستم در سازمان خود ندارند، این موضوع مشکلی است که می‌بایست از ابتدای فرآیند پیاده سازی و استقرار به آن توجه ویژه‌ای نمود.

برای شروع پیاده‌سازی و استقرار سیستم و به منظور جلوگیری از هزینه های اضافی و هدررفت منابع و همچنین برنامه‌ریزی دقیق‌تر و اختصاص منابع به صورت بهینه، معمولا پیشنهاد می‌شود که سازمان یک فرآیند ارزیابی اولیه را از خود داشته باشد. این فعالیت با نام‌هایی چون Pre-Assessment، آنالیز فاصله، ارزیابی اولیه (ابزار خودارزیابی)، تحلیل وضع و موجود و غیره نیز شناخته می‌شود. سازمان در این فرآیند می تواند وضع موجود خود را از منظر الزامات استاندارد مرجع بررسی نموده و نقشه راه دقیق‌تری را برای خود ترسیم نماید. مزیت دیگری که این مرحله به ارمغان می آورد، فرهنگ‌سازی اولیه و آشنایی اعضای تیم پیاده‌سازی ISMS در سازمان با مفاهیم و نیازمندی‌های این سیستم در حین اجرای فرآیند ارزیابی اولیه خواهد بود که حتی می تواند همراه با برگزاری دوره‌های مقدماتی و پیشرفته این حوزه، دانش سازمان را ارتقاء دهد. خروجی های مورد انتظار از این فرآیند شامل موارد ذیل است:

• وضعیت موجود سازمان در مقایسه با هر یک از الزامات و حوزه های امنیتی استاندارد ISO 27001
• مشکلات پیش روی پروژه و پیش بینی ریسک‌های احتمالی (برخی چالشهای پیاده سازی ISMS برای اپراتورهای موبایل در این مقاله آورده شده است)
• ترسیم نقشه راه و برنامه زمان‌بندی استقرار و پیاده‌سازی تمامی مراحل ISMS (برای اطلاعات تکمیلی به این مقاله رجوع شود)
• برآورد زمانی و هزینه‌ای پروژه
• شفاف‌سازی و تعیین محدوده دقیق پیاده‌سازی (برای اطلاعات بیشتر به این مقاله رجوع شود)
• تعیین استراتژی پیاده‌سازی و استقرار (برای اطلاعات بیشتر به این مقاله رجوع شود)
• تهیه در خواست ارائه پیشنهاد (RFP) (برای پروژه هایی که نیازمند استفاده از مشاوران و پیمانکاران است)

یکی از خروجی های مهم این فاز، تعیین استراتژی سازمان برای پیاده‌سازی و استقرار ISMS است، موضوعی که بسیاری از سازمان‌ها در ابتدای راه درگیر آن می شوند. این چالش معمولا با این سوال آغاز می‌شود که آیا برای استقرار این سیستم باید از مشاوران و شرکت‌های پیمانکار کمک گرفت و یا می توانیم اجرای آن را به دست کارشناسان داخلی بسپاریم؟ برای این کار به چه ابزارهایی نیازمندیم؟ و یا اولویت پیاده سازی با کدام الزامات امنیتی است؟ و سوال‌هایی از این جنس! در مقاله بعدی به انواع مکانیزم‌ها، روش‌ها و استراتژی‌های پیاده‌سازی و استقرار ISMS در سازمان، مزایا و معایب هر یک و پاسخگویی به این قبیل سوالات خواهم پرداخت.

برای مطالعه بیشتر در خصوص موضوعات مختلف مرتبط با سیستم مدیریت امنیت اطلاعات، می توانید به مجموعه مطالب و مقالات مرتبط با این حوزه (در این لینک) رجوع نمایید. همچنین در صورت نیاز، جهت دریافت مشاوره پیاده سازی ISMS به این صفحه مراجعه نمایید.