پیادهسازی و استقرار سیستم مدیریت امنیت اطلاعات (ISMS) بر اساس استاندارد بین المللی ISO/IEC 27001 یکی از خدمات کلیدی شرکت آشنا ایمن برای سازمانها و شرکتهای دولتی و خصوصی است.
تمرکز بیش از اندازه و نامتناسب به ابعاد فنی و اکتفا به تامین ابزارها و تجهیزات در مقوله امنیت را میتوان به عنوان یکی از بزرگترین مشکلات شرکتها و سازمانهای کشور در زمینه امنیت شبکه، اطلاعات و فضای مجازی مطرح نمود. در حالی که امنیت اطلاعات مقولهای فراتر از ابعاد فنی و خرید تجهیزاتی از قبیل دیواره آتش و سیستم مهاجم یاب است.
به همین خاطر است که بسیاری از سازمانها علی رغم بهرهمندی از تجهیزات امنیتی مناسب، همچنان با بحرانها و مشکلات بسیاری در این خصوص دست به گریبانند. از این رو میبایست با دیدگاهی سیستماتیک به مقوله امنیت اطلاعات نگریسته شود و به منظور مدیریت امنیت اطلاعات سازمان، اقدام به طراحی و پیاده سازی یک سیستم مطلوب گردد.
سیستم مدیریت امنیت اطلاعات (ISMS) راهکاری مدیریتی برای ایجاد، پیادهسازی و استقرار، نظارت و بازنگری و نگهداری و بهبود امنیت اطلاعات در سازمان است (برای کسب اطلاعات بیشتر در این خصوص به این مقاله رجوع نمایید). با گذشت بیش از یک دهه از استقرار سیستم مدیریت امنیت اطلاعات در سازمانهای کشور که هریک با دلایل خاص خود نظیر پیروی از برنامه های کلان کشوری و قوانین بالادستی، ارتقای امنیت اطلاعات و یا افزایش اعتماد و اطمینان مشترین و ذی نفعان خود قدم در این مسیر نهاده اند، هنوز چالش های بزرگی در این حوزه وجود دارد. شرکت آشنا ایمن به عنوان شرکت پیشرو در این عرصه تلاش نموده است با ایجاد راهکاری بومی، عوامل مؤثر بر استقرار اثربخش این سیستم مدیریتی را شناسایی نموده و یک متدولوژی بومی به همراه ابزارهای متناسب با نیاز سازمانها و شرکتهای ایرانی در این حوزه تدوین نماید.
چرا سیستم مدیریت امنیت اطلاعات؟
به طور کلی مزایا و پیامدهای یک سیستم مدیریت امنیت اطلاعات اثربخش در سازمان، عبارتند از:
- شناسایی و رسیدگی به نیازمندی ها و الزامات ذینفعان در حوزه امنیت اطلاعات؛
- شناسایی، ارزشگذاری و طبقهبندی دارایی های اطلاعاتی سازمان از منظر محرمانگی، صحت و یکپارچگی و در دسترس بودن؛
- شناسایی آسیب پذیری ها و نقاط ضعف امنیتی و برنامه ریزی جهت بهبود آنها؛
- سیاست گذاری مناسب در حوزه امنیت اطلاعات؛
- تدوین روال ها و روش های اجرایی در ابعاد مختلف امنیت اطلاعات؛
- شفاف سازی مسئولیت ها و تفکیک وظایف امنیت؛
- کنترل دسترسی به اطلاعات؛
- ایجاد بستر آگاهی رسانی و فرهنگسازی امنیت اطلاعات برای کلیه کارکنان؛
- حصول اطمینان از تداوم فرآیندها و فعالیت های کلیدی و محوری سازمان؛
- کنترل دوره ای و سیستماتیک وضعیت امنیت اطلاعات در ابعاد مختلف و رفع نواقص.
رویکرد آشنا ایمن در استقرار سیستم مدیریت امنیت اطلاعات
هر یک از سازمان ها یا شرکت ها، با توجه به شرایط و ویژگی های خاص خود می توانند رویکردهای استراتژیک متفاوتی را برای پیاده سازی ISMS را در مجموعه خود انتخاب کرده و اقدام به اولویت بندی و پیاده سازی کنترل های امنیتی نمایند. آشنا ایمن با بیش از 16 سال فعالیت در حوزه مشاوره، طراحی، پیادهسازی و استقرار سیستم مدیریت امنیت اطلاعات، رویکردی بومی را به منظور استقرار این سیستم مدیریتی تدوین نموده است. در این رویکرد سعی شده است در کنار الزامات استانداردهای بینالمللی ISO 27001:2013، ISO 27002:2013، ISO 27005 و غیره الزامات قانونی سازمان های بالادستی نظیر حراست کل، مرکز مدیریت راهبردی افتا، سازمان فناوری اطلاعات و غیره برای دستگاه های دولتی در نظر گرفته شود.
در رویکرد آشنا ایمن با تلفیق رویکرد مبتنی بر دارایی ISMS و رویکرد مبتنی بر سرویس سیستم مدیریت خدمات فناوری اطلاعات (ITIL-ITSM)، مدیریت ریسک امنیت اطلاعات بر روی سرویس ها و دارایی های سازمان صورت می پذیرد. آنچه این رویکرد را از سایر رویکردهای معمول متمایز می سازد، امکان ارزیابی ریسک سرویس های مختلف یک مرکز، در کنار ارزیابی ریسک دارایی های مختلف است. در خصوص فرآیندهای سیستم نیز این شرکت بسته دستورالعمل ها و روش های اجرایی سیستم مدیریت امنیت اطلاعات بومی خود را برای هر یک از مشتران به صورت شخصی سازی با توجه به شرایط و ویژگی های هر سازمان ارائه می دهد. بر این اساس آشنا ایمن متدولوژی مشاوره سیستم مدیریت امنیت اطلاعات (Ashna Imen Security Consultancy Methodology – AISCM) خود را به صورت مراحل شش گانه زیر ارائه می نماید. (شرح متدولوژی AISCM)
با اجرای این رویکرد (مرحله چهارم از AISCM)، استقرار و پیادهسازی سیستم مدیریت امنیت اطلاعات در 5 فاز طراحی، پشتیبانی، عملیات، سنجش عملکرد و بهبود صورت می پذیرد. در اجرای کلیه مراحل متخصصین ما با رویکرد آموزش حین کار، سعی خواهند نمود تا حد امکان مراحل استقرار را به تیم کارفرما منتقل نموده تا سازمان بدون نیاز به مشاور بتواند بخش عمدهای از فعالیت های چرخه سیستم مدیریت امنیت اطلاعات را به خصوص در چرخه های بعدی، اجرایی نماید. همچنین به منظور افزایش کیفیت و سرعت پیاده سازی ISMS این شرکت از نرم افزار جامع سیستم مدیریت امنیت اطلاعات ایمن یار بهره می گیرد.
آشنا ایمن، بسته به نیاز و با توجه به شرایط هر سازمان، اقدام به تعیین محدوده استقرار سیستم می نماید (در این مقاله در خصوص چالش های تعیین محدوده ISMS مطالعه نمایید). در ادامه این فعالیت، تحلیل کاستی ها در حوزه های استاندارد مرجع است که در آن میزان بلوغ و همچنین میزان کاستی های سازمان در 14 حوزه، 35 هدف کنترلی و 114 کنترل استاندارد بررسی و نمایش داده خواهد شد. همچنین در پی آن، آشنا ایمن با تلفیق رویکرد فنی و رویکرد سیستمی سعی می کند الزامات استاندارد ISO 27001:2013 و استاندارد ملی سیستم مدیریت امنیت اطلاعات را در سازمان اجرایی نماید.