پیاده سازی سیستم مدیریت امنیت اطلاعات ISMS

پیاده سازی سیستم مدیریت امنیت اطلاعات (ISMS (ISO / 27001

ISO / IEC 27001  چیست؟

ISO / IEC 27001  که به عنوان استاندارد ISO 27001 نیز شناخته می شود، یک استاندارد امنیتی در پیاده سازی سیستم مدیریت امنیت اطلاعات است که شرایط پیشنهادی برای ساخت، نظارت و بهبود سیستم مدیریت امنیت اطلاعات (ISMS) را ارائه می دهد. یک ISMS مجموعه ای از سیاست ها برای محافظت و مدیریت اطلاعات حساس سازمان ها مانند داده های مالی، مالکیت معنوی، اطلاعات مشتریان و سوابق کارکنان می باشد.

مزایای استفاده از سرویس دهنده گواهی ISO 27001 عبارتند از:

مدیریت ریسک (Risk management – ISMS) به افرادی که در یک سازمان می توانند به اطلاعات خاص دسترسی پیدا کنند کمک می کند و همچنین ریسک هایی را که می تواند اطلاعات را به سرقت ببرد یا در معرض خطرات قرار گیرد، کنترل می کند.

امنیت اطلاعات (Information security – ISMS) حاوی پروتکل های مدیریت اطلاعات است که جزئیات نحوه کارکرد و انتقال اطلاعات خاص را مشخص می کند.

تداوم کسب و کار (Business continuity) – برای حفظ سازگاری ISO 27001، ISMS ارائه دهنده خدمات باید به طور مداوم تست شده و بهبود یافته باشد . این فرآیند به جلوگیری از نقض اطلاعاتی می انجامد که می تواند کارکردهای اصلی کسب و کار شما را تحت تاثیر قرار دهد.

سیستم مدیریت امنیت اطلاعات (ISMS) در حالی که به ارائه دهندگان خدمات کسب و کار اجازه می دهد که در مورد امنیت داده ها به خوبی مراقب باشد. موجب آرامش خاطر مشتریان نیز می شود .

انطباق ایزو و ساختار سیستم مدیریت امنیت اطلاعات

انطباق با ایزو ۲۷۰۰۱ می تواند یک نقش جدایی ناپذیر در ایجاد یک سیاست حاکمیت امنیت اطلاعات – برنامه ها، ابزار ها و شیوه های کسب و کار مورد استفاده یک سازمان برای محافظت از اطلاعات حساس خود باشد .

ایجاد ISMS سازگار با ISO یک فرایند جامع است که شامل محدوده، برنامه ریزی، آموزش و پشتیبانی می باشد. در زیر برخی از مهمترین عناصری که قبل گرفتن گواهی ایزو، سک سازمان باید مورد توجه قرار گیرد عنوان شده است.

۱_ مفاد سازمانی (ORGANIZATIONAL CONTEXT)

مسائل داخلی و خارجی که می توانند بر توانایی سازمانی برای ایجاد یک سیستم مدیریت امنیت اطلاعات (ISMS)، نظیر امنیت اطلاعات، و همچنین تعهدات قانونی، نظارتی و قراردادی، شناسایی شوند.

۲_ محدوده (SCOPE)

اطلاعات تعریف شده در مرحله اول برای مستند سازی محدوده ISMS، مشخص نمودن مناطق مربوطه و همچنین مرزها مورد استفاده قرار می گیرد. سیستم مدیریت امنیت اطلاعات (ISMS) نسبت نیازهای خود اعم از اجرا، نگهداری و به طور مداوم با توجه به خطرات امنیت اطلاعات خاص و الزامات ISO 27001 بهبود یافته است.

دامنه ایی که بر اهمیت ادغام مدیریت امنیت اطلاعات (ISMS) در سازمان تاکید دارد به عنوان بخشی از یک ساختار و روند مدیریت کلی است که الزامات مربوط به همه سازمانها، صرف نظر از نوع، اندازه و گردش کار می باشد .

۳_ رهبری (LEADERSHIP)

مدیر یک سازمان نیاز به مهارت های رهبری لازم برای حفظ ISMS دارد. که شامل:

  • ایجاد یک سیاست امنیتی اطلاعات با توجه به جهت استراتژیک سازمان
  • ادغام ISMS به فرآیندهای استانداردهای سازمان
  • اطلاع از جزئیات سیاست امنیتی اطلاعات و برجسته کردن اهمیت موارد مورد نیاز ISMS
  • ترویج بهبود و مستمر سیستم مدیریت امنیت اطلاعات (ISMS)
  • اطمینان کافی از کارکنانی که برای بهبود سیستم کار می کنند.

۴_ برنامه ریزی (PLANNING)

یک برنامه برای ریسک خطرات امنیت اطلاعات باید در فرآیند ISMS ادغام شود این برنامه شامل موارد زیر است:

  • ایجاد و اجرای دقیق یک فرایند مدیریت ریسک امنیت اطلاعات که شامل معیارهای خطر، شناسایی تهدیدهای امنیتی اطلاعات، تحلیل ریسک و ارزیابی خطرات مربوط به معیارهای تعیین شده است.
  • تعریف و کاربرد یک فرآیند برای کاهش تهدیدها که شامل کنترل هایی است که برای اجرای هر یک از گزینه های ترمیم ریسک لازم است .

۵_ حمایت کردن (SUPPORT)

هر سازمانی نیاز دارد تا منابع، افراد و زیرساخت ها را جهت پیاده سازی موثر سیستم مدیریت امنیت اطلاعات (ISMS) در اختیار داشته باشد که این شامل موارد زیر است .

پشتیبانی شامل آموزش کارکنان برای مقابله با اطلاعات حساس است. علاوه بر این، کارکنان باید در مورد چگونگی کمک به اثربخشی ISMS و پیامدهای عدم مطابقت با سیاست های امنیت اطلاعات مطلع شوند .

در نهایت ، سیاست های ارتباطی داخلی و خارجی مربوط به ISMS باید ایجاد شود. سیاست ها باید شامل تعریف مسائل مورد نیاز برای ارتباط باشد و با این مسائل و روش های ارتباطات باید ارتباط برقرار شود.

۶_عملیات (OPERATIONS)

این مرحله بر اجرای برنامه ها و فرآیندهای تعریف شده در بخش های قبلی تمرکز دارد. سازمان باید تمام اقدامات محول شده را انجام دهد تا اطمینان حاصل شود که پروسس ها به صورت برنامه ریزی شده اجرا می شوند . علاوه بر این، فرآیندهای برونسپاری باید شناسایی شوند تا خطرات امنیت اطلاعات را ارزیابی و کنترل کنند.

۷_ سنجش عملکرد (PERFORMANCE EVALUATION)

ارزیابی و سنجش عملکرد اطمینان از کارایی پایدار و بهبود مستمر در سیستم مدیریت امنیت اطلاعات (ISMS) می باشد و به طور مرتب محدوده هایی را برای بهبود بالقوه امنیت اطلاعات مشخص می کند.

حسابرسی داخلی و بررسی مدیریت باید انجام شود و در فواصل منظم برای ارزیابی عملکرد سیستم های اطلاعاتی  تعیین و مستند شود .

۸_ بهبود (IMPROVEMENT)

مسیر عدم انطباق با الزامات ISO 27001 پس از کشف باید بلافاصله مشخص شود. سازمانها باید مراحل عدم انطباق را شناسایی و اجرا کنند تا اطمینان حاصل شود که مسائل مشابهی مجددا بروز نمی کنند.

علاوه بر این، سازمان ها باید به طور مستمر تلاش کنند که تناسب ، کفایت و کارآیی سیستم امنیت اطلاعات (ISMS) خود را بهبود ببخشند.

ISMS ISO 27001

استانداردهای سیاست امنیت اطلاعات

ISO 27001 یکی از استانداردهای امنیتی اطلاعاتی است که برای ایمن سازی داده ها استفاده می شود. علاوه بر این، PCI DSS، SOC 2، SOX، HIPAA و Toolkit Governance Tool نقش مهمی در نحوه اجرای سرویس های سیاست امنیتی و حاکمیت امنیت در اطلاعات خود دارند.

شرکت ایران سایبر به عنوان ارائه دهنده خدمات گواهینامه ISO 27001، سیاست های امنیتی اطلاعات خود را به طور مرتب به روز می کند و اطمینان می دهد که تمام داده های مشتری به درستی مورد استفاده قرار می گیرد.

 

تهیه کننده : سید محمد اسماعیلی

اطلاعات بیشتر درباره این مطلب در Wikipedia

All Comments:

  1. Arora Cream

    ۱۳/۰۹/۱۳۹۷

    Wonderful beat ! I wish to apprentice while you
    amend your web site, how can i subscribe for a blog web site?

    The account helped me a appropriate deal.
    I have been a little bit familiar of this your broadcast offered bright transparent concept.

  2. Arora Cream

    ۱۳/۰۹/۱۳۹۷

    Wonderful beat ! I wish to apprentice while you amend your
    web site, how can i subscribe for a blog web site?
    The account helped me a appropriate deal. I have been a little bit familiar of this your
    broadcast offered bright transparent concept.

دیدگاه شما:

نوشته های مرتبط

Seedworm Malware

۲۲

آذر
آسیب پذیری ها, امنیت, هک و امنیت, همه موضوعات

گزارش باج افزار Seedworm

باج افزار و بدافزار Seedworm :  هدف بدافزار  Seedworm :گروه های سازمانی، آژانس های دولتی، نفت و گاز، سازمان های غیر دولتی، مخابرات، و شرکت های فناوری اطلاعات است. محققان سیمانتک یک گروه جاسوسی سایبری در حملات اخیر سایبری کشف کرده اند که هدف آنها جمع آوری اطلاعات در مورد اهداف گسترش یافته در درجه اول در خاورمیانه […]

Docker

۲۲

آذر
همه موضوعات

نحوه نصب Docker در اوبونتو ۱۸٫۰۴ LTS

نحوه نصب و استفاده از Docker در اوبونتو ۱۸٫۰۴ LTS برای انجام مجازی سازی کامل سیستم نیاز به حافظه و فضای دیسک کافی خواهید داشت Docker یک سیستم مخزنی است . یک ماشین مجازی داکر را می توان یک مخزن هم نام برد . داکر از هسته سیستم عامل میزبان استفاده می کند و از ویژگی های[…]