ISMS ISO27001

راهنمای پیاده سازی ISMS سازگار با ISO 27001

چک لیست ISO 27001  : راهنمای گام به گام برای پیاده سازی ایزو ۲۷۰۰۱

مشاوره ، استقرار و پیاده سازی ISMS سازگار با ISO 27001 (سیستم مدیریت امنیت اطلاعات) کار بس دشواری به نظر می رسد  اما همانطور که مطلع هستید هیچ استاندارد ارزشگذاری شده ایی آسان نیست و ایزو ۲۷۰۰۱ مطمئنا ارزش آن را دارد. تیم امنیتی ما در حوزه فناوری اطلاعات با طی مراحلی در ۹ گام موثر می توانند استاندارد ISO 27001 را با دقت تمام پیاده سازی کند .

شرح مختصری از مراحل جهت آشنایی بیشتر با روند کاری خود را به اشتراک می گذاریم .

۱٫ جمع آوری تیم پیاده سازی ISO 27001

اولین مرحله تعیین مدیر پروژه برای نظارت بر اجرای ISMS است. مدیر مربوطه باید یک دانش جامع از امنیت اطلاعات داشته باشند (اما نه محدود به فناوری اطلاعات ) و مجاز است که یک تیم را هدایت کند و دستورات مدیران سازمانی و چک لیست های مورد نیاز را بررسی کند.

مدیر پروژه به گروهی از متخصصان و مدیران امنیتی نیاز دارد که در راستای پیاده سازی بتوانند همراهی کنند . همچنین مدیران ارشد می توانند تیم خود را انتخاب کنند و یا اجازه دهند رهبر تیم این امر را عهده دار باشد . هنگامی که تیم مونتاژ می شو د، باید یک ماموریت پروژه ای ایجاد کنند.

 این گام اساسا مجموعه ای از پاسخ به سوالات زیر است :

  • ما امیدواریم چه چیزی به دست آوریم ؟

  • چه زمانی طول میکشد ؟

  • چقدر هزینه دارد؟

  • آیا پروژه پشتیبانی مدیریتی دارد؟

۲٫ توسعه طرح پیاده سازی ISO 27001

اکنون زمان شروع برنامه ریزی برای پیاده سازی است و تیم مربوطه از مأموریت پروژه خود برای ایجاد یک طرح دقیق تر از اهداف امنیتی اطلاعاتی ، برنامه ریزی و ثبت ریسک استفاده خواهد کرد.

این گام شامل تنظیم سیاست های سطح بالا برای ISMS است که پارامتر های زیر را افزایش می دهد :

  • نقش ها و مسئولیت ها

  • قوانین برای بهبود مستمر

  • چگونگی آگاهی روند پروژه از طریق ارتباطات داخلی و خارجی

۳٫ شروع ISMS

این گام زمان مناسبی است که روش شناسی بهبود مداوم را برای استفاده ابزاری تعیین کنیم. ISO 27001 یک روش خاص را مشخص نمی کند بلکه یک روش “فرآیندی” را توصیه می کند. این متد اساسا یک استراتژی Plan-Do-Check-Act است که در آن می توانیم از هر مدلی تا زمانی که نیازها و فرآیندها به وضوح تعریف شده باشد ، به درستی اجرا شده باشد و به طور منظم بررسی و بهبود یافته باشد، استفاده کنیم .

در مرحله بعدی باید سیاست های ISMS ایجاد شود . در این گام لازم نیست که فرآیند های ما زیاد دقیق باشد و به سادگی می توان آنچه را که تیم پیاده سازی میخواهد انجام دهد و چگونگی برنامه ریزی برای انجام آن را مشخص کرد . پس از تکمیل ، این فرآیند باید توسط هیئت مدیره تایید شود.

در این مرحله بقیه ساختار سند خود را توسعه می دهیم که معمولا از یک استراتژی چهارگانه استفاده می شود :

  • خط مشی ها ، تعریف موقعیت سازمان در مورد مسائل خاص مانند استفاده صحیح و مدیریت شده رمز عبور

  • روش هایی برای تطبیق الزامات سیاست ها

  • چگونه کارکنان باید سیاست ها و دستورالعمل های کاری توصیف شده را رعایت کنند

  • ثبت رکوردهای ردیابی مراحل و دستورالعمل های کاری

۴٫ چارچوب مدیریت

گام بعدی ، بدست آوردن دید وسیع تر از چارچوب ISMS است. فرآیند انجام این کار در بند ۴ و ۵ استاندارد ISO 27001 مشخص شده است.

این مرحله در تعریف مقیاس ISMS سازمان و میزان دسترسی آن در عملیات روزمره بسیار مهم است. به این ترتیب، مهم است هر چیزی که مربوط به سازمان شما است شناسایی شود تا پیاده سازی استاندارد ISMS بتواند نیازهای سازمان شما را برآورده کند.

مهمترین بخش این فرایند تعیین دامنه ISMS شماست . این فرایند شامل شناسایی مکان هایی است که اطلاعات ذخیره می شود ، چه اینکه فایل های فیزیکی یا دیجیتال باشد و یا سیستم ها یا دستگاه های قابل حمل باشد.

درستی تعریف دامنه شما بخش مهمی از پروژه پیاده سازی ISMS شما است. اگر محدوده شما خیلی کوچک باشد، اطلاعات شما را در معرض خطر قرار می دهد و امنیت سازمان شما را به خطر می اندازد، اما اگر ISMS بیش از حد بزرگ باشد، سیستم مدیریت امنیت اطلاعات شما پیچیده تر خواهد شد.

۵ . کنترل های امنیتی پایه ایی

پایه امنیت سازمان در حداقل سطح فعالیت مورد نیاز سازمانی برای ایمن سازی کسب و کار است.

میتوانیم پایه امنیتی سازمان را با اطلاعات جمع آوری شده در ارزیابی ریسک ISO 27001 شناسایی کنیم این کار به شما کمک می کند تا بزرگترین آسیب پذیری های امنیتی خود را سازمان دهی و کنترل های مربوطه برای کاهش مخاطرات را ایجاد کنید.

۶٫ مدیریت ریسک

مدیریت ریسک در قلب ISMS قرار دارد و می تواند جنبه های مختلفی از سیستم امنیتی شما بر اساس تهدیدات شناسایی شده را اولویت بندی کند . مدیریت ریسک یک قابلیت اصلی برای هر سازمانی است که ایزو ۲۷۰۰۱ را اجرا می کند.

این استاندارد اجازه می دهد تا سازمان ها فرآیندهای مدیریت ریسک خود را تعریف کنند و روش های متداولی که دارد دید عمیقی از خطرات روی دارایی های خاص یا خطرات ارائه شده در سناریوهای خاص را به مدیران می دهد .توصیه می شود هر فرایندی را که انتخاب می کنید و در مورد آن تصمیمی را اتخاذ می کنید در راستای ارزیابی ریسک باشد .

ارزیابی ریسک یک فرایند پنج مرحله ای است:

  • ایجاد چارچوب ارزیابی ریسک

  • شناسایی خطرات

  • تجزیه و تحلیل خطرات

  • ارزیابی خطرات

  • انتخاب گزینه های مدیریت ریسک

پس از آن باید معیارهای پذیرش ریسک خود را تعیین کنید .

 به عنوان مثال آسیب هایی که از تهدیدات ایجاد می شود و احتمال وقوع آنها زیاد است .

مدیران اغلب در طول فرایند کاری در ماتریس های خطر ورود پیدا می کنند و باید بدانند که نمره ارزیابی ریسک هرچه بالاتر باشد تهدید بزرگتر است .

چهار رویکرد وجود دارد که مدیران می توانند در هنگام ریسک آن را رد کنند:

  • مدارا کردن با ریسک

  • کنار آمدن با ریسک با استفاده از کنترل های مختلف

  • با اجتناب از آن به طور کامل ریسک را متوقف کنند

  • انتقال خطر به یک سازمان دیگر (با یک بیمه نامه یا از طریق قرارداد با احزاب دیگر)

در نهایت ، با استفاده از ISO 27001 نیاز سازمان را برای تکمیل (SoA (Statement of Applicability مستند می کنیم . این مستند نشان می دهد کدام کنترل های استاندارد را انتخاب کرده و یا حذف کرده اید و چرا این انتخاب ها را انجام دادید .

۷٫ پیاده سازی

ما این گام را مرحله پیاده سازی می نامیم ، اما به طور خاصی به اجرای برنامه های ریسک اشاره می کنیم که فرآیند ساخت کنترل های امنیتی را در بر می گیرد و از دارایی های اطلاعات سازمان شما محافظت می کند.

برای اطمینان از اینکه این کنترل ها می توانند موثر واقع شوند ، شروع به تحلیل خصوصیات فردی و گروهی کارکنان سازمانی میکنیم این تحلیل ها نتایجی را مشخص میکند که آیا کارکنان و پرسنل سازمانی می توانند با استاندارد کنترل ها کار کنند یا با آنها ارتباط برقرار کنند و از تعهدات امنیتی اطلاعاتشان آگاه باشند .

در گام بعدی یک فرایند را برای تعیین ، بررسی و حفظ صلاحیت های لازم برای دستیابی به اهداف ISMS تعریف می کنیم که شامل انجام تجزیه و تحلیل نیازها و تعریف سطوح مورد نظر از شایستگی ها است.

۸٫ اندازه گیری، نظارت و بررسی

اغلب مدیران نمیتوانید اطمینان از کارکرد صحیح فرآیند ISMS داشته باشند مگر آنکه یک تیم متخصص وضعیت آن را بررسی کند . ما توصیه می کنیم این کار را حداقل سالیانه انجام دهید تا بتوانید چشم انداز دقیقی را در ریسک در حال رشد داشته باشید .

بررسی وضعیت ISMS شامل  تجزیه و تحلیل کیفی است که در آن اندازه گیری براساس شرایط سازمانی در چارچوب استاندارد ها و پیاده سازی چک لیست امنیتی می باشد . تیم امنیتی ما از تجزیه و تحلیل کیفی استفاده می کند تا وقتی که ارزیابی برای یک طبقه بندی مناسب مطابق با الزامات ISO 27001 پیش رفته باشد ( مانند “بالا”، “متوسط” و “کم” ) .

علاوه بر این روند ، حسابرسی داخلی منظم ISMS را با فواصل زمانی خاصی انجام می دهیم . اعمال چگونگی حسابرسی یا ممیزی داخلی شرایط خاصی ندارد و بسته به نوع چارچوب کاری سازمانی صورت می گیرد تا از تخریب قابل توجهی که در جلوگیری از بهره وری ممکن است ایجاد شود ، جلوگیری شود  و تضمین کند که تلاش های تیم ما در میان وظایف مختلف بسیار کارساز و عملی بوده است .

با این حال مدیران مربوطه باید زمان بندی این فرایند را بررسی کنند یا در اختیار تیم امنیتی قرار دهند تا خود ما زمانبندی مناسبی را در نظر بگیریم ( پیش فرض : بیشترین سرعت ممکنه ) و مهمتر اینکه مدیران سازمانی باید به این نکته را در نظر داشته باشند که نیاز به دریافت نتایج ، بررسی و برنامه ریزی برای ممیزی سال بعد را نیز دارند .

نتایج ممیزی داخلی ما ورودی هایی است که برای بررسی مدیریتی بسیار لازم بوده و به روند بهبود مستمر فرآیند های سازمانی کمک زیادی میکند .

۹٫ صدور گواهینامه

هنگامی که ISMS در محل سازمانی پیاده سازی می شود ،  می توانید انتخاب کنید که به دنبال دریافت گواهینامه هستید یا خیر . اگر نیاز به دریافت گواهی نامه باشید باید برای حسابرسی یا ممیزی خارجی نیز آماده شوید.

صدور گواهینامه در دو مرحله انجام می شود .

ممیزی اولیه تعیین می کند که آیا ISMS در سازمان مربوطه پیاده سازی شده و مطابق با نیازهای ISO 27001 توسعه یافته است

 اگر حسابرس یا سر ممیز راضی باشد ، اصولا تحقیقات دقیق تری را برای اعطاء گواهی نامه انجام خواهد داد.

توصیه : قبل از انجام این کار باید به توانایی تیم امنیتی مربوطه اعتماد داشته باشید  زیرا این فرایند وقت گیر است و اگر بلافاصله در پیاده سازی شکست بخورید ، هزینه های شما بی نتیجه می ماند . هزینه پیاده سازی و صدور گواهینامه احتمالا یکی از عوامل چالش برانگیز برای مدیران سازمانی است و توصیه ما به شما این است که نباید نگران باشید .

 

گردآورنده : سید محمد اسماعیلی

نوشته های مرتبط

امنیت سرور ssh

۱۹

مرداد
همه موضوعات

سند امنیت در سرور OpenSSH – چک لیست امنیتی OpenSSh

انتشار محتوای سایت ایران سایبر فقط با ذکر منبع رسمی مجاز است OpenSSH اجرای پروتکل SSH است و به دلیل امنیت بالا برای ریموت لاگین ، ایجاد پشتیبان ، انتقال فایل از راه دور از طریق scp یا sftp و موارد دیگر توصیه می شود. SSH جهت حفظ محرمانگی و یکپارچگی داده های تبادل شده بین دو شبکه […]

کنترل پهنای باند اینترنت

۱۶

مرداد
همه موضوعات

محدود کردن سرعت اینترنت کاربران شبکه LAN در لینوکس

انتشار محتوای سایت ایران سایبر فقط با ذکر منبع رسمی مجاز است  اینترنت می تواند ترافیک نامطلوب زیادی را از جمله فعالیت هکرها ، اسپم ها ، جاسوس افزارها و موارد دیگر به همراه آورد. در این مقاله قصد دارم یک ابزار منبع باز را معرفی کنم تا بوسیله آن بتوانید ترافیک اینترنت را کنترل کرده و فعالیت[…]