http://bpap.ir

 

 

از آنجا که امروزه تمامی اطلاعات و ارتباطات سازمان‏ها به صورت دیجیتالی درآمده و از طریق شبکه‏ های کامپیوتری ذخیره ‏سازی و منتقل می‏گردد، دسترس ‏پذیری، صحت و امنیت این دارایی‏های دیجیتالی، دغدغه اصلی مدیران سازمان‏ها گردیده است. دغدغه‏ هایی مانند خطر آشكار شدن رمز عبور، خطر ويروسي شدن سيستمها، ازبين رفتن اطلاعات، تغيير اطلاعات توسط افراد غير مجاز، نفوذ کاربران داخلی یا نفوذگران اینترنتی به سيستمهاي کامپيوتري، و نداشتن رویه ‏های مشخص برای اطمینان از صحت عملکرد سیستم‏های سخت‏ افزاری و نرم‏ افزاری، دلایل ایجاد سیستم مدیریت امنیت اطلاعات (ISMS) می‏باشد هدف اين سيستم به زبان ساده فراهم کردن امکان استفاده مناسب و سودمند از زير ساخت و اجزاي مختلف امنيتي سازمان مي‏باشد. با توجه به الزامات هیات محترم دولت برای پیاده‏ سازی ISMS در کلیه زیرمجموعه‏ ها و سازمان‏ها ونهادهای دولتی، این شرکت با توجه به تجربیات موفق خود در زمینه امنیت شبکه و اطلاعات و ISMS ، مستندات مورد نياز را به گونه‏ای تهیه نموده است که پس از اجرای این طرح سازمان می‏تواند گواهینامه ISO27000 را دریافت نماید.سيستم مديريت منيت اطلاعات(ISMS) با استفاده از مدل PDCA که شامل چهار فاز طرح، اجرا، بررسی و اقدام می‏باشد در جهت بهبود امنيت در سازمان گام برمي‏دارد


امنیت اطلاعات


در سیستم مدیریت امنیت اطلاعات، امنیت اطلاعات در صورت حفاظت از پارامترهاي محرمانگي‏، دسترس ‏پذيري و یکپارچگی كه به اصطلاح مثلث امنیتی نامیده می‏شوند، تامین می‏شود.
در این راستا امنیت اطلاعات از طریق اجرای مجموعه‏ای از کنترل‏ها که شامل خط‏ مشی‏ ها، فرایندها، روش‏های‏اجرایی، ساختارهای سازمانی و دستورالعمل‏ هاست، حاصل می‏شود. این کنترل‏ها باید به منظور اطمینان از تحقق اهداف کنترلی سیستم مدیریت امنیت اطلاعات، ایجاد شوند.

 

اهداف امنیتی سیستم مدیریت امنیت اطلاعات

مجموعه کنترل‏های امنیتی مورد نیاز سیستم ‏های اطلاعاتی و ارتباطی سازمان، شامل موارد زیر است:

 

     تدوین خط‏ مشی امنیت سازمان
ایجاد خط‏ مشی امنیت سازمان، شامل راهنمايي‏ ها و دستورالعمل‏های مديريتي به منظور افزايش امنيت اطلاعات است. اين بخش در قالب يک سند سياست امنيتي در جهت پيشبرد اهداف امنيتي سازمان تنظيم ميشود. این خط‏ مشی در اختیار کارکنانی قرار خواهد گرفت که مسئولیت امنیتی برای آن‏ها تعریف شده است.

     سازمان امنیت اطلاعات
تشکیل شوراء امنیت اطلاعات در سازمان برای مدیریت امنیت و تعریف نقش و مسئولیت‏های هر یک از بخش‏های سازمان در زمینه امنیت اطلاعات.

     مدیریت دارایی
محافظت از دارایی‏ های سازمان به کمک شناسایی دارایی‏ ها و تخصیص مسئول مناسب برای هر دارایی.

     امنیت منابع انساني
کمینه کردن ریسک‏های ناشی از خطای انسانی یا سوء استفاده از تجهیزات، به کمک شناسایی پرسنل، نحوه ایمن سازی آن‏ها، آموزش پرسنل و امضای تعهدنامه حفظ محرمانگی.

     امنیت فیزیکی و محیطی
جلوگیری از دسترسی افراد غیر مجاز، پیشگیری از تداخل یا خرابی اطلاعات، سازماندهی تجهیزات پردازش اطلاعات در مکان‏های امن و ایجاد کنترل‏های لازم به منظور امنيت فيزيکي محيط، کنترل دسترسي ‏ها، امنيت مکان، تجهيزات و نقل و انتقال دارايي‏ هاي اطلاعاتي ميشود.

     مدیریت عملیات و ارتباطات
حصول اطمینان از امنیت و عملکرد صحیح تجهیزات پردازش اطلاعات، شناخت مسئولیت‏ها و رویه‏ های عملیاتی و مدیریتی در رابطه با تجهیزات پردازش اطلاعات.

     کنترل دسترسی
ایجاد قوانین و کنترل‏های لازم و مدیریت آن‏ها جهت دسترسی کاربران به منابع و سرمایه‏ های سازمان شامل سیستم‏های اطلاعاتی، شبکه و کامپیوترها.

     توسعه و نگهداری سیستم های اطلاعاتی
اطمینان از تثبیت امنیت در سیستم‏های اطلاعاتی به کمک کنترل‏های امنیتی، کنترل برنامه های کاربردی و خدمات ارائه شده که تاثیر زیادی بر امنیت اطلاعات خواهد داشت.

مدیریت حوادث امنیت اطلاعات
تدوین مقررات مورد نیاز در خصوص پاسخگویی به نیازهای امنیتی، خط‏ مشی‏ های امنیتی مورد نیاز، ابزارها و مکانیزم‏ های بازرسی امنیتی سیستم‏ها.

     مدیریت تداوم کسب و کار سازمان
کاهش و پیشگیری از وقفه در فعالیت‏های سازمان و حفاظت از فرایندهای عملیاتی اصلی سازمان، در مقابل خطاها و خرابی‏های عمده یا حوادث طبیعی.

         انطباق
         انطباق با شرایط قانونی به منظور پیشگیری از هر گونه تجاوز از قوانین جزائی، حقوقی و رعایت کلیه حقوق معنوی و حق تالیف              و تکثیر در سیستم ‏های سازمان.

 

معرفی فازهای طراحی، اجرا، بررسي، اقدام و بخش آموزش

 

مراحل پیاده‏ سازی سیستم مدیریت امنیت اطلاعات شامل فازهاي طراحي، اجرا، بررسي و اقدام مي‏باشد

 

فاز طراحی سیستم مدیریت امنیت اطلاعات

فاز طراحی شامل 10 مرحله زیر می باشد:

 

تهیه سند دامنه و مرز سیستم مدیریت امنیت اطلاعات

تهیه بیانیه خط مشی امنیت اطلاعات

تشریح متدلوژی برآورد مخاطرات

شناسایی مخاطرات

تحلیل و ارزیابی مخاطرات

شناسایی و ارزیابی گزینه‏ های برطرف‏ سازی مخاطرات

گزینش اهداف کنترلی و کنترل‏ها برای برطرف‏ سازی مخاطرات

دریافت مصوبه مدیریت برای مخاطرات باقیمانده

تعهد مدیریت برای پیاده‏ سازی و اجرای سیتم مدیریت امنیت اطلاعات

تهیه بیانیه کاربست‏ پذیری

 

فاز اجرا سیستم مدیریت امنیت اطلاعات

در فاز اجرای سیستم مدیریت امنیت اطلاعات، با توجه به سند بیانیه کاربست‏ پذیری تهیه شده در فاز طراحی، طرحی برای

برطرف‏ سازی مخاطرات تنظیم می‏شود و این طرح برای دستیابی به اهداف کنترلی شناسایی شده، پیاده‏ سازی خواهد شد

 

 

 بخش آموزش

بخش آموزش به موازات فاز طراحی و اجرا انجام می شود. این بخش شامل :

 

آموزش در زمینه آشنایی با استاندارد ISO 27001 تا ممیزی داخلی

آشنایی با فرم‏های شناسایی و ارزش‏ گذاری دارایی‏ ها و چگونگی تکمیل آن‏ها

آموزش نحوه انجام کار با نرم ‏افزار تحلیل ریسک شامل مراحل ارزیابی تهدیدها، ارزیابی آسیب‏پذیری ها و شناسائی

کنترل‏های امنیتی

آشنایی با مستندات استاندارد ( روش‏های اجرایی، آئین نامه‏ ها، خط‏ مشی ‏ها و فرم‏ها  (

آشنایی با چک لیست‏ های ممیزی و آموزش چگونگی تکمیل آن‏ها

راهنمایی جهت تنظیم طرح برطرف‏ سازی مخاطرات به منظور مدیریت مخاطرات

راهنمایی جهت پیاده ‏سازی طرح برطرف ‏سازی مخاطرات

مشاوره جهت پیاده ‏سازی کنترل‏ های انتخاب شده

 

فاز بررسي

در فاز بررسي روش‏هاي اجرايي و كنترل‏ها اجرا خواهند شد. به كمك روش‏هاي اجرايي ارائه شده، مي‏توان ميزان اثربخشي كنترل‏ها،

بازنگري برآورد مخاطرات و بازنگري مديريت را انجام داد. مميزي داخلي سيستم نيز در اين فاز انجام مي‏شود

 فاز اقدام

در اين فاز بر مبنای نتایج ممیزی داخلی سیستم مدیریت امنیت اطلاعات و بازنگری مدیریت، اقدامات اصلاحي و پيشگيرانه پياده‏

سازي مي‏شوند

مستندات و سوابق سیستم مدیریت امنیت اطلاعات

 

مستندات سیستم مدیریت امنیت اطلاعات
سیستم مدیریت امنیت اطلاعات به مستندات و سوابق بسیار وابسته است. مستندات از الزامات استاندارد ISO/IEC 27001 میباشد و سوابق، به عنوان شواهد پیاده ‏سازی و انطباق با الزامات ISMS محسوب می‏شود

   نمونه مستندات سیستم مدیریت امنیت اطلاعات :

 

بیانیه مستند شده خط ‏مشی و اهداف ISMS

 دامنه ISMS

 بیانیه کاربست ‏پذیری

 توضیحات متدولوژی برآورد مخاطرات

 گزارش ارزیابی ریسک

 

روش‏های اجرایی، آئین‏ نامه‏‏ ها، خط‏ مشی ‏ها مانند:

 

 

روش‏اجرایی مدیریت دارایی‏ ها

 روش‏‏اجرایی کنترل اسناد و رکورد‏ها

 روش‏اجرایی ممیزی داخلی و ...

 آئین‏ نامه مدیریت دارایی ‏ها

 آئین‏ نامه مدیریت امحا دارایی

 آئین ‏نامه کنترل دسترسی و ...

 خط‏ مشی امنیت سازمان

 خط‏ مشی مدیریت دسترسی کاربر

 خط‏ مشی امنیت پرسنل و ...

 

 

سوابق سیستم مدیریت امنیت اطلاعات

سوابق مورد نیاز سیستم مدیریت امنیت، به الزامات سازمان وابسته است. این سوابق شاهد تطابق با الزامات و میزان موثر بودن

پیاده‏ سازی سیستم مدیریت امنیت اطلاعات است.

نمونه سوابق سیستم مدیریت امنیت اطلاعات:

 

 

سوابق ممیزی داخلی

 سوابق آموزشی کارکنان

 جزئیات بازنگری مدیریت

 سوابق اقدامات اصلاحی، پیشگیرانه

 گزارش حوادث

 

سوابق و اطلاعات فوق از اجرا شدن روش های‏ اجرایی تنظیم شده برای سازمان، بدست خواهد آمد.

 

 

فعالیت‏ها و فرایند‏های سیستم مدیریت امنیت اطلاعات

برای اثربخش بودن عملکرد سازمان، باید فعالیت‏های متعددی را شناسایی و مدیریت کرد. فعالیت‏ها و فرایندهای موجود در سیستم

مدیریت امنیت به کمک روش‏های ‏اجرایی کنترل می‏شوند. در روش‏های اجرایی، نقش‏ها و مسئولیت‏ها به روشنی تعریف خواهند شد.

نمونه‏ای از فرایندها و فعالیت‏های سیستم مدیریت امنیت اطلاعات شامل موارد زير می‏باشد   :

 

 

شناسایی نقش‏ها و مسئولیت‏ها در سازمان

 مشخص کردن کنترل‏ها برای کاهش مخاطرات

 مدیریت دارایی

 مدیریت مخاطرات

 مدیریت تغییرات

 آموزش و آگاه‏ سازی امنیتی

 مدیریت حوادث

 ممیزی داخلی و ...

 

تماس با ما

 

 

دفتر مرکزی :

 

تهران ، خیابان ولیعصر ، پایینتر از پارک ساعی                 
برج سپهر ساعی ، طبقه پنجم ، واحد 505

تلفن :   88107859-021
فكس :  88704425-021
ايميل : info@bpap.ir
 
 
 
دفتر شاهرود :
 
 
شاهرود ، خیابان فردوسی ، روبه روی اداره پست مرکزی
کوچه شهید مصطفایی ، ایران انفور ماتیک
 
تلفن :    32380580-023
                        09119798907
            09034659771