آنالیز انطباق با ISO 27001

آنالیز انطباق با استاندارد مدیریت امنیت اطلاعات (ISO27001 Gap Analysis)

هدف از آنالیز انطباق با سیستم مدیریت امنیت اطلاعات، ارزیابی میزان انطباق علمکرد و فرآیندهای سازمان شما در 11حوزه استاندارد ISO 27001 است.

در پروژه های پیاده سازی سیستم مدیریت امنیت اطلاعات و سازمانهایی که نیاز دارند در یک بازه زمانی کوتاه از میزان انطباق خود را با حوزه ها و کنترلهای استاندارد ISO 27001 و یا به عبارت دیگر وضعیت جاری امنیت اطلاعات در سازمان خود آگاه شوند، انجام آنالیز انطباق راه کاری مناسب بوده و از چندین جهت بسیار راهگشا می باشد:

 آشنایی با سازمان و فرآیندهای امنیتی سازمان 

ایجاد دید شفاف و مستند از میزان انطباق شرکت در برابر الزامات استاندارد ISO 27001 و شمای امنیتی
(Security Posture)
تعیین میزان آمادگی سازمان و فراهم نمودن امکان درک دقیق وضع موجود امنیت اطلاعات سازمان
تعیین نقاط قوت و ضعف و موارد مورد تمرکز (Focus Point) ها جهت بهبود وضع موجود و نیل به وضع مطلوب
تعیین محدوده اجرایی پیاده سازی سیستم مدیریت امنیت اطلاعات با توجه به میزان بلوغ امنیت اطلاعات در سازمان
ایجاد معیار و شاخص اولیه عملکرد (Key Performance Index) از وضعیت امنیت اطلاعات شرکت به منظور ایجاد پایه ای برای اندازه گیری و مشخص نمودن روند بهبود در مطالعات دوره ای بعدی

درصد بالای انطباق با الزامات کنترلی استاندارد نیز از مواردی است که عموما سطح بلوغ امنیت شرکت را نشان می دهد و می تواند به عنوان یک شاخص مدیریتی در چرخه بهبود های دوره ای، اندازه گیری و مقایسه شود تا روند بهبود سیستم قابل مشاهده شود. هدف نهایی و مطلوب یک سیستم مدیریت کارا وجود سطح مناسبی از انطباق در کلیه قلمروهای 11 گانه و شکل همگون در نمودار انطباق می باشد که نشان دهنده رشد در تمامی زوایا و الزامات امنیت اطلاعات در سازمان می باشد.

در این راستا شرکت اینفوامن با تکیه بر دانش تخصصی خود در حوزه ها و صنایع مختلف و با استفاده از تجارب پیاده سازی بومی خود و نیز با نگاهی به تجارب موفق (Best Practice) های جهانی، شناسایی وضع موجود و آنالیز ارزیابی فاصله با الزامات استاندارد ISO 27001 را به انجام می رساند.

چارچوب آنالیز انطباق با سیستم مدیریت امنیت اطلاعات

هر چند باید به یاد داشته باشیم که استاندارد های مدیریتی بین المللی را در هر سطح و بلوغی می توان پیاده سازی نمود و ایجاد الزامات مربوطه می تواند در سطوح بلوغ مختلف صورت پذیرد. سطح بلوغ مدیریت امنیت سازمان ها عموما به دو صورت زیر تقسیم می گردد:

    سطح پایه و یا رعایت حداقل الزامات (Security Baseline)   

سطح بلوغ یافته و یا رعایت حداکثر الزامات در عین رعایت حداقل فشارها و کنترل های محدود کننده مستقیم بر سازمان. (مدیریت و اعمال کنترل نا محسوس)

عموما در سطح اجرایی سازمان ها بدواً یک استاندارد را به عنوان گام اول جهت استقرار سطح پایه انتخاب و نسبت به پیاده سازی آن اقدام نموده و پس از ایجاد انطباق اولیه با الزامات اقدام به ایجاد بهبود با استفاده از مدل های تعالی می نمایند؛ به عنوان مثال در این خصوص می توان به انتخاب مدل تعالی سازمانی EFQM به عنوان مدل بلوغ پس از استقرار چند ساله سیستم مدیریت کیفیت QMS بر اساس استاندارد ISO 90001:2000 اشاره نمود.

استفاده از مدل های دیگر بلوغ امنیت اطلاعات مثل مدل پيشنهادي مجمع عمومي متخصصين امنيت ISM3 (Information Security Management Maturity Model) نیز مثالی است بر وجود مدل های تعالی مدیریت امنیـت که می توان پس از استقرار استاندارد و جهت بهبود در آن، سرلوحه تعالی شرکت در این امر قرار گیرند.

نحوه بررسی

چارچوب مرجع در هر مورد الزامات و کنترل های استاندارد و نیز کاربرگ های سنجش میزان بلوغ سازمان در پیاده سازی الزامات می باشد.

نحوه و متد مطالعه بدین ترتیب است که بدوا مخاطبین و مسئولین مرتبط با هر حوزه از الزامات استاندارد شناسایی گردیده و طی برگزاری جلسات مصاحبه با هر یک، از وضعیت جاری شرکت در برابر الزام و کنترل های مربوطه از ایشان سئوال می گردد.

نتایج حاصل از بررسی کاربرگ های سنجش میزان بلوغ سازمان در قالب گزارش و نمودارهایی که مبین میزان بلوغ سازمان در امنیت اطلاعات است ارائه می گردد. این گزارش ورودی پروژه‌های پیاده سازی سیستم مدیریت امنیت اطلاعات براساس استاندارد ISO 27001 است.