بانک مقالات

پیاده سازی ISO 27001 بخش اول

مشاوره و پیاده سازی استاندارد ISO 27001

استاندارد بین المللی مدیریت امنیت اطلاعات ISO/IEC 27001استاندارد بین المللی مدیریت امنیت اطلاعات، یک چارچوب مدیریت‌شده برای ارتقاء اثربخشی فرآیندهای امنیت اطلاعات سازمان‌ها فراهم می‌کند.

بکارگیری الزامات و ملاحظات این استاندارد به عنوان یکی از چهارچوب های سیستم مدیریت امنیت اطلاعات چه به عنوان یک راهکار داخلی و چه با هدف اخذ گواهینامه ISO 27001 نیازمند دنبال کردن یک رویکرد ساختارمند، توجه به دامنه کسب و کار و داشتن درک درستی از مخاطرات امنیتی کسب و کار سازمان می باشد. شرکت اینفوامن می تواند شما را در زمینه قدم های مورد نیاز برای انطباق با استاندارد راهنمایی کند. تیم ما می تواند:

به شما کمک کند تشخیص دهید چه فرآیندهایی از کسب و کارتان نیاز بیشتری به توجه به ملاحظات امنیت اطلاعات دارد.
مخاطرات کسب و کار سازمان شما در زمینه امنیت اطلاعات شناسایی و ارزیابی کند.
با افزایش سطح دانش پرسنل در حوزه امنیت اطلاعات مخاطرات ناشی از عملکرد انسانی را کاهش دهد.
راهکارهایی برای بهبود فرآیندهای امنیتی فعلی شما شناسایی کند و در تصمیم سازی برای پیاده سازی آنها شما را توانمند سازد.
مهندسی مجدد فرآینده های اجرایی سازمان و رعایت ملاحظات امنیتی در آنها در قالب تهیه و بازنگری فرآیند، خط مشی، آیین نامه، دستور العمل، روش اجرایی و فرم های اجرایی
در زمینه‌های تخصصی مثل ارزیابی ریسک، تهیه برنامه و طرح تداوم کسب‌ و کار، تست آسیب پذیری و نفوذپذیری زیرساخت و سیستم های فناوری اطلاعات
تعریف و اندازه گیری شاخص های بهبود حوزه امنیت اطلاعات در راستای اهداف استراتژیک سازمان
انجام ممیزی های داخلی بصورت موردی و دوره ای
تهیه و اجرای برنامه های آموزشی عمومی و تخصصی در حوزه امنیت اطلاعات
همراهی سازمان در ممیزی های شخص ثالث تا مرحله اخذ گواهینامه

دامنه پروژه

تعریف درست دامنه پروژه ISO 27001 اولین قدم مهم به سوی کسب انطباق می باشد، در این راستا ما به شما کمک خواهیم کرد فرآیندهای بحرانی کسب‌ و کارتان را که بهترین هدف برای کسب انطباق اولیه با استاندارد هستند، شناسایی کنید. ما همچنین می توانیم در زمینه اخذ گواهینامه استاندارد (Certification) شما مشاوره دهیم. اینفوامن ثابت کرده است که در سازمان‌های پیچیده می تواند برنامه های انطباق موفق و پیشرویی براساس دامنه اولیه ISMS ایجاد کند.

پیاده سازی منجر به گواهینامه استاندارد در دو سازمان بزرگ که از معدود شرکتهای مستقر کننده راهکار ERP مبتنی بر SAP در کشور می باشند و انجام بیش از 8 پروژه پیاده سازی دیگر در شرکت های سرآمد کشور خود شاهدی بر این مدعا است که ما این کار را به خوبی می شناسیم و با تمامی زوایای آن آشنا هستیم.

بررسی میزان فاصله با الزامات استاندارد ISO 27001

قدم ضروری بعدی، بررسی میزان فاصله (Gap) با الزامات استاندارد می باشد که طی آن ارزیابی کاملی از وضعیت فعلی امنیت در سازمان شما در زمانی کوتاه به صورت می گیرد و شمای امنیتی سازمان را بصورت خلاصه ارائه داده و به سازمان کمک می کند قلمرو هایی از حوزه 11 گانه استاندارد را که سازمان نیاز توجه بیشتری به آن را دارد با شرح نقاط نامنطبق و شواهد آن شناسایی و مشخص سازد. شرکت اینفوامن این خدمت را بصورت جداگانه برای شرکتهایی که تصمیم برای حرکت به استقرار سیستم مدیریت امنیت اطلاعات دارند لیکن آمادگی زمانی و هزینه ای مربوطه را کسب نکرده اند و سایر شرکتهایی که نیاز دارند تا یک نمای کلی و در عین حال دقیق از نمای امنیتی سازمان خود در کوتاهترین زمان داشته باشند پیشنهاد می کند.

ارزیابی و مدیریت مخاطرات امنیت اطلاعات

یکی از مولفه های الزامی و در عین حال حیاتی استاندارد ISO 27001 ارزیابی مخاطرات می باشد، ما بر این باوریم موفقیت اصلی تمامی سیستم های مدیریت امنیت اطلاعات در گروی یک سیستم ارزیابی و مدیریت مخاطرات کارا می باشد.

در این زمینه ما شما را در ارزیابی، تحلیل سطوح مخاطرات و ارائه راهکارهای مقابله با مخاطرات امنیت اطلاعات در فرآیندهای تجاریتان یاری می دهیم. ارزیابی مخاطرات را می توان حسب زمان و توانایی سازمان شما با استفاده از ابزارهایی مثل CRAMM یا روشهای دیگر مبتنی بر متد های روز دنیا مثل OCTAVE, COBRA, ISO27005 و … اجرا کرد.

رویکرد اینفوامن در این زمینه پیشنهاد متدی بر اساس ساختار سازمانی، منابع انسانی، توان عملیاتی، نگرش بدنه تصمیم ساز و زمان در سازمان شما می باشد؛ چرا که ما بر این باوریم که یک ارزیابی مخاطرات کارا زمانی محقق می گردد که شاخص های خروجی آن برای بدنه تصمیم ساز سازمان قابل فهم، ملموس و بوده و در عین حال فرآیند باز ارزیابی آن قابل تکرار باشد.

چراکه بهره مند شدن از مزایای یک سیستم مدیریت امنیت اطلاعت زمانی محقق می گردد که سازمان خود چندین بار چرخه ارزیابی و مدیریت مخاطرات را تجربه کرده باشد.

پس از ارزیابی می توان یک برنامه کنترل مخاطرات ایجاد نمود که به تشریح کنترل های امنیتی مورد نیاز برای مواجه با مخاطرات شناسایی‌شده، می پردازد. به این ترتیب شما می توانید به یک ممیز نشان دهید که برای مثال شما اقداماتی را برای کاهش مخاطرات به یک سطح قابل قبول اجرا نموده اید.

ارتقاء امنیت

با تحلیل نمودن نتایج بررسیِ میزان فاصله با الزامات استاندارد و کنترل های توصیه‌شده در فاز ارزیابی مخاطرات، یک برنامه ارتقاء امنیت رسمی می توان ایجاد نمود.

اینفوامن می تواند بسته به نیاز شما، برای پیاده‌سازی برنامه ارتقاء شما را یاری دهد و راهکارهای عملی در هر یک از حوزه های استاندارد به شما توصیه کند. مشاوران ما می توانند همچنین به شما در تهیه بیانیه کاربست‌پذیری (SOA)، سند مرجع مهمی که کاربرد هر یک از کنترل های امنیتی و نحوه پیاده‌سازی آن در سازمان را توضیح می دهد، کمک کنند.

قالب بیانیه کاربست پذیری (SoA) تهیه شده توسط اینفوامن مزایای تجاری مهمی برای شما به بار می‌آورد. این قالب برای مثال می تواند به عنوان یک سند خط‌مشی سطح بالا به کار گرفته شود و همچنین مبنایی برای ممیزی داخلی یا توافقنامه‌های سطح خدمات (SLA) با دپارتمان‌‌های دیگر یا پیمانکاران باشد.

آمادگی برای اخذ گواهینامه ISO 27001

اگر شما به دنبال کسب گواهینامه ISO 27001 هستید، مشاوران ما مزایا و تفاوت هزینه ها را برای شما تشریح می کنند و می توانند شما را برای دریافت گواهینامه و پیاده‌سازی تغییرات نهایی ضروری برای ISMS آماده کنند.

در مرحله آخر ما می توانیم شما را طی انجام فرآیند ممیزی داخلی، انتخاب راه کارهای پیشگیرانه و اصلاحی، همراهی شما در جلسات بازنگری مدیریت، همراهی در جلسات ممیزی ثالث (Certification Body) پشتیبانی کنیم و به نیابت از سوی شما مذاکرات را با گواهی‌دهنده تا پایان انجام ممیزی منجر به صدور گواهینامه انجام دهیم. درک و تفسیر نمودن استاندارد معمولا فرآیند پیچیده‌ای است و بسیاری از مشتریان اینفوامن همراهی ما را در این مرحله نهایی و حیاتی بسیار موثر و سودمند دانسته‌اند.

Related Posts

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *