سیستم مدیریت امنیت اطلاعات

بطور کلی سیستم مدیریت امنیت اطلاعات مجموعه ای است از اهداف استراتژی ها و مستندات شناخت و ارزیابی مخاطرات که متناسب با نیاز و زمینه کاری شرکت ها یا سازمانها طراحی و اجرا می گردد. سیستم ISMS در واقع وظیفه تداوم امنیت اطلاعات در شرکت یا سازمان را برعهده دارد.

معرفی سیستم مدیریت امنیت اطلاعات

هر فرآیند معرفی سیستم مدیریت امنیت اطلاعات مبتنی بر فن آوری اطلاعات در معرض تهدیدات امنیتی قرار دارد. سازمانها و شرکتها باید اطمینان حاصل کنند که فرآیندهای تعریفی سازمان به مبارزه با حملات امنیتی و یا حتی سایبری را به حداقل می رسانند.

از آنجایی که این اقدامات آسان نیست لذا شرکتها یا سازمانها باید چارچوب هایی را اتخاد نمایند. بهترین روشهایی که می تواند به انجام این فرآیندها کمک نمایند همین سیستم مدیریت امنیت اطلاعات است. سیستم مدیریت امنیت اطلاعات یا همان ISMS سیاست ها و روشهایی برای مدیریت و کنترل و بهبود مستمر امنیت در شرکت تعریف میکند.

روش ها و فرآیندهای تعریف شده در واحدIT سازمان یا شرکت جهت رسیدن به یک سطح امنیتی محرمانه مناسب در راستای یکپارچگی اطلاعات دسترس بودن و در کل سازمان یا یک محدوده تعریف می گردد. همه ما از اهمیت اطلاعات و ارتباطات در زندگی روزمره با خبر هستیم. نمونه روش اجرایی فعالیت های ICT جهت الگوبرداری سازمان ها و شرکت ها بصورت رایگان در وبسایت این مرکز جهت مدیریت امنیت اطلاعات سازمان در دسترس است.

همانطور که می دانیم سیستم مدیریت امنیت اطلاعات یک مبنا برای اجرا و رعایت استاندارهای امنیتی فراهم می کند. همچنین تهدیدات احتمالی مربوط به امنیت اطلاعات شناسایی و آنالیز می کنند. پس بنابراین خطرات احتمالی کاهش و قابل کنترل می گردد. تقریبا همه سازمان ها و شرکت ها به نوعی از فناوری اطلاعات و ارتباطات برای پیشبرد اهداف سازمانی استفاده می کنند. جهت الگو برداری و اجرا در سازمان خود می توانید در وبسایت این مرکز از قسمت دانلود رایگان مستندات ایزو به اطلاعات مورد نیاز سازمان خود دسترسی داشته باشید.

تفاوت کلیدی بین امنیت اطلاعات و امنیت IT

در خصوص سوال کاربران در خصوص تفاوت کلیدی بین امنیت اطلاعات و امنیت IT اینگونه می توان پاسخ داد که بر خلاف امنیت IT، امنیت اطلاعات به مسائل سازمانی مانند مجوزها و مسئولیت های مربوط به آنها اشاره دارد. بنابراین امنیت اطلاعات فقط مرتبط به واحد IT نیست و باید در همه زمینه ها اجرا گردد.

هدف محافظت از سیستم مدیریت امنیت اطلاعات

طبق استاندارهای بین المللی ISO 27000 هدف محافظت از سیستم مدیریت امنیت اطلاعات شامل سه اصل مهم محرمانگی ، صحت درستی و دسترسی است که باید رعایت گردد. با استفاده از ISMS می توانیم امنیت اطلاعات سازمان را بطور ساختار یافته در شرکت یا سازمان اجرا کرد. همچنین از رعایت همه استانداردهای امنیتی، اطمینان حاصل کرد. اجرای این ساختار مزیت های زیر را ارائه می نماید:

حفاظت از اطلاعات مهم و حیاتی

حفظ تداوم کسب و کار

رعایت الزامات انطباق

راستی آزمایی سیستم مدیریت امنیت اطلاعات

بهبود مقرون به صرفه بودن و کاهش هزینه ها

مزایای گواهینامه ISO 27001 سیستم مدیریت امنیت اطلاعات

در واقع متن فارسی استاندارد ایزو 27001:2013 الزامات سیستم مدیریت امنیت اطلاعات را تشریح میکند. مزایای گواهینامه ISO 27001 سیستم مدیریت امنیت اطلاعات، حفاظت از اطلاعات بین کارکنان ایجاد می نماید. امنیت اطلاعات سازمان بطور مرتب ارزیابی می گردد. نظارت مداوم بر عملکرد توسعه سیستم ها سریعتر می گردد.

فعالیت های امنیت اطلاعات توسط فرآیندها و اسناد پشتیبانی می گردد. از آنجا که سیستم اطلاعاتی و شبکه های رایانه ای تحت کنترل دائمی هستند سیستم ها همچنان در برابر تهدیدها و خطرات احتمالی محافظت می گردد. اهمیت حفاظت از اطلاعات در سازمان مشخص می گردد.

دارایی های اطلاعاتی شرکت در برابر حملات احتمالی و سوء استفاده ها محافظت می گردد.

محرمانگی و قابلیت اطمینان و دسترسی اطلاعات، حس اعتماد برای شرکت یا مشتریان ایجاد می کند.

شرکت یا سازمان قدرت رقابت در بازار را افزایش می دهد. در نتیجه گردش پول و کارایی سازمان افزایش می یاید.

از اتلاف وقت غیر ضروری و بازکاری غیر ضروری برای اطلاعات جلوگیری بعمل می آید.

دستیابی به سیستم مدیریت امنیت اطلاعات

در حال حاضر دستیابی به سیستم مدیریت امنیت اطلاعات، مجموعه ای از استانداردهای مدیریتی و ایمن سازی برای تبادل اطلاعات سازمانها ارائه گردیده است که در راس این استانداردها، ISO 27001 قرار دارد. در استاندارد  ایزو 27001 نکات مهمی مورد توجه قرار گرفته است که به آنها اشاره میکنیم:

تعیین مراحل ایمن سازی و شکل گیری چرخه امنیت اطلاعات و ارتباطات سازمان تعریف گردیده است.

جزئیات مراحل ایمن سازی و تکنیکهای فنی مورد نیاز در هر مرحله تعریف گردیده است.

لیست و محتواری طرح ها و برنامه های امنیتی مورد نیاز سازمان تعریف گردیده است.

کنترل های امنیتی مورد نیاز برای هر یک از سیستم های اطلاعاتی و ارتباطی سازمان تعریف گردیده است.

الزامات استقرار سیستم مدیریت امنیت اطلاعات

1- مقدمه

هدف از تدوین این سند، معرفی روش اجرایی جهت آماده سازی گزارش برای ارائه به دستگاه‌ های زیرساختی (حیاتی، حساس و مهم) ودستگاه‌ های غیر زیرساختی است. این سند حداقل انتظارات مرکز مدیریت راهبردی افتا در پروژه سیستم مدیریت امنیت اطلاعات است. دستگاه‌ های زیر ساختی و غیر زیرساختی توسط شرکت‌ های دارای گواهی اجرا می گردد.

2- قلمرو این سند

همانطور که در بند قبل مطرح گردید، قلمرو این سند در تمامی پروژه ‌های سیستم مدیریت امنیت اطلاعات، در تمامی سطوح، که در دستگاه های زیرساختی و غیر زیرساختی اجرا می گردد، کاربردی خواهد بود. به‌عبارت بهتر شرکت ‌های مجری این سیستم و سازمان ‌ها و واحد های کارفرما ملزم به رعایت تمامی بندهای این سند هستند.

3- اصطلاحات و مفاهیم

کارفرما: سازمان ‌های دولتی/غیردولتی و یا شرکت ‌ها و واحد های خصوصی که قصد اجرای سیستم مدیریت امنیت اطلاعات را دارند.

مجری: شرکت ‌های دارای گواهی «مشاوره و استقرار استانداردهای امنیت اطلاعات و ارتباطات» که کارفرما جهت اجرا و یا مشاوره پروژه سیستم مدیریت امنیت اطلاعات با آنها قرارداد منعقد می نماید.

قلمرو: محدوده ‌ای که برای پیاده سازی سیستم مدیریت امنیت اطلاعات توسط کارفرما تعیین گردد.

طرح اقدامی: برنامه های کلان فناوری اطلاعات است.

روش اجرایی: شرح اینکه چه کاری توسط چه کسی و در چه زمانی باید انجام گردد.

دستورالعمل: چگونگی انجام کار است.

4- اقدامات کارفرما قبل از پیشنهاد پروژه

کارفرما قبل از پیشنهاد پروژه باید اقدامات زیر را انجام دهد:

تعیین محدوده (قلمرو) پروژه سیستم مدیریت امنیت اطلاعات

تعیین متولی/مسئول پروژه ISMS در سازمان: متولی پروژه در سازمان باید مشخص باشد که با تیم پیاده‌ ساز، مشاور و ممیز در ارتباط بوده و اطلاعات مورد نیاز پروژه را در اختیار شرکت مجری قرار دهد.

برگزاری مناقصه بین شرکت ‌های دارای گواهینامه مرتبط از مرکز مدیریت راهبردی افتا

تعیین کمیته اجرایی ISMS در سطح سازمان: در سازمان باید تیمی از کارشاناسان برای همراهی با شرکت مجری تعیین کنند. این تیم با شرکت در دوره های آموزشی و فراگیری اصول سیستم مدیریت امنیت اطلاعات در کنار شرکت مجری وظیفه پیاده سازی و نگهداری از سیستم ISMS را در سازمان خواهند داشت.

– ارتباط با ذینفعان: در صورتی که کارفرما جزء دستگاه های زیرساختی (حیاتی، حساس و مهم) باشد در پیاده سازی سیستم مدیریت امنیت اطلاعات ملزم به رعایت الزامات مرکز مدیریت راهبردی افتا خواهد بود که در قالب “طرح ایمن‌سازی زیر ساختهای حیاتی در قبال حملات الکترونیکی” به زیرساخت ‌ها ابلاغ گردیده است و از این مرکز قابل استعلام است. در غیر اینصورت هرگونه الزام بالا دستی که سازمان ملزم به رعایت آن است و پروژه ISMS  می تواند تحت تاثیر آن باشد، باید شناسایی و اطلاعات آن در اختیار شرکت مجری قرار گیرد.

5- اجزای فنی سند پیشنهاد پروژه

5-1- قلمرو پروژه

کارفرما باید محدوده اجرایی پروژه ISMS را به طور دقیق مشخص کند. در مورد دستگاه های زیرساختی، قلمرو پروژه باید با هماهنگی مرکز افتا تعریف و به تایید این مرکز برسد.

5-2- شرح خدمات فنی پروژه

در ادامه مطابق با استانداردهای خانواده 27000 IEC/ISO فازهای اصلی پروژه سیستم مدیریت امنیت اطلاعات (ISMS) و شرایط پیاده سازی آنها عنوان گردیده است. کارفرما و مجری ملزم به رعایت موارد مذکور هستند.

1- بازبینی زمینه (ساختار) و ذینفعان

توضیحات فعالیت ‌ها:

زمینه (ساختار) داخلی و خارجی سازمان بازبینی گردد.

ذینفعان شناسایی و انتظارات ذینفعان از سیستم مدیریت امنیت اطلاعات بررسی می گردد.

گستره و پوشش فعالیت:

بررسی و بازنگری موارد مربوط به مدیریت امنیت اطلاعات از اطلاعات کلی این موضوع در سازمان مورد بررسی قرار می گیرد.

بررسی توسط مجری بر اساس اطلاعات زمینه (ساختار) و ذینفعان که توسط کارفرما پیش از آغاز پروژه آماده گردیده اند، انجام خواهند گردید.

خروجی:

عوامل داخلی و خارجی

فهرست ذینفعان و انتظارات ایشان

توضیح: (هر دو می تواند مستقلاً یا به عنوان بخشی از یک سند دیگر -مثلاً سند دامنه- ارائه گردد).

سطح کیفی مورد انتظار:

اطلاعات باید دقیقاً منطبق بر سازمان و شرایط آن و موارد ذکر شده در استاندارد ISO/IEC 27001 در مورد زمینه (ساختار) بیرونی و درونی را شامل باشد.

مسئولیت‌ های به عهده کارفرما:

مستندات زمینه (ساختار) و ذینفعان تهیه و توسط کارفرما پیش از آغاز پروژه در اختیار مشاور قرار گیرد.

تحلیل SWOT در سطح کسب و کار و یا موارد مرتبط با برنامه ‌ریزی استراتژیک در صورت وجود در اختیار مجری قرار بگیرد.

زمینه (ساختار) و انتظارات ذینفعان تأیید و تصویب گردد.

2- نهایی‌ سازی دامنه

توضیحات فعالیت ‌ها:

دامنه سیستم مدیریت امنیت اطلاعات باید با در نظر گرفتن زمینه (ساختار) و انتظارات ذینفعان نهایی گردد.

گستره و پوشش فعالیت:

دامنه تعیینی در ابتدای پروژه با توجه به زمینه (ساختار) و انتظارات ذینفعان بررسی و در صورت نیاز باید بازنگری گردند.

خروجی

سند دامنه سیستم مدیریت امنیت اطلاعات (می تواند مستقلاً یا به عنوان بخشی از یک سند دیگر ارائه گردد)

-در قالب مستندات تحت کنترل

پیشنهاد تغییرات در پروژه (در صورت تغییر دامنه)

سطح کیفی مورد انتظار:

عنوان دامنه (که در گواهینامه ثبت می گردد) به طور دقیق و شفاف مشخص است.

دامنه پرسنلی به طور دقیق مشخص گردد.

محدوده تکنولوژیکی به طور دقیق مشخص گردد. در این محدوده باید ایستگاه ‌های کاری، برنامه‌ های کاربردی خاص/توسعه یافته، سرورها، سازوکارهای امنیتی (نظیر فایروال، IDS/IPS و…) و موارد دیگر به طور دقیق مشخص گردند.

محدوده فرآیندی به طور دقیق مشخص گردند. در این محدوده باید فرآیندهای کاری و سرویس ‌های فناوری اطلاعات که در محدوده قرار میگیرند به طور دقیق مشخص گردند.

محدوده سازمانی شفاف است. در این محدوده باید تمامی قسمت ‌هایی از سازمان (به طور مثال معاونت ‌ها، واحد ها، گروه ها و…) که در محدوده قرار می گیرند به طور دقیق مشخص گردند.

محدوده فیزیکی تعریف گردد. این محدوده شامل محدوده فیزیکی دامنه نظیر سایت های فیزیکی، مراکز اطلاعات و… خواهد بود.

موارد خارج از دامنه با توجه به زمینه (ساختار) و انتظارات ذینفعان مشخص و واسطه ‌ها و وابستگی ‌ها با فعالیت ‌های خارج از سازمان درنظر گرفته اند.

توضیح: در مورد سازمانهای دولتی/ غیردولتی زیرساختی و شرکت ‌های خصوصی دارای زیرساخت حیاتی دامنه پروژه باید به تایید مرکز مدیریت راهبردی افتا برسد.

مسئولیت ‌های به عهده کارفرما:

بازنگری حدود قرارداد مجری در صورت تغییر دامنه استقرار

تایید اولیه دامنه سیستم مدیریت امنیت اطلاعات

3- گردآوری اطلاعات اولیه و تهیه طرح مدیریت پروژه و بروزرسانی برنامه ها

توضیحات فعالیت‌ ها:

مجری شناخت اجمالی روی سازمان کارفرما و محدوده پروژه کسب کند.

مخاطرات پروژه تعیین گردد.

مراحل تفکیکی انجام پروژه توسط مجری و با همکاری کارفرما تهیه گردند.

برنامه ‌های زمانبندی و مدیریت پروژه روی هر یکی از مراحل تفکیکی پروژه توسط مجری و با همکاری کارفرما تهیه گردند.

گستره و پوشش فعالیت:

تدوین طرح مدیریت پروژه به عهده مجری است که حداقل شامل فرآیندهای مدیریت زمان، ارتباطات، کیفیت و ریسک پروژه هستند.

خروجی:

سند اولیه طرح مدیریت پروژه PMP

نسخه اولیه برنامه اقدام پروژه plan Action

سطح کیفی مورد انتظار:

طرح مدیریت پروژه حداقل باید شامل روال‌ ها، مسئولیت‌ ها و فرم‌ های مورد نیاز برای فرآیند های مربوطه باشد. این طرح توسط مجری ارائه می گردد.

برنامه اقدام حداقل باید تا سطح 3 شکست فعالیت ‌ها، ترتیب و توالی فعالیت ‌ها و خروجی ‌ها را شامل گردد و دربرگیرنده اقدامات مورد نیاز از سمت کارفرما و مجری، به طور دقیق باشند. این برنامه توسط مجری ارائه می گردد.

زمانبندی اجرای فعالیت ‌ها حداقل باید تا سطح 2 توسط مجری ارائه گردند.

مسئولیت ‌های به عهده کارفرما:

تأیید اولیه طرح مدیریت پروژه و برنامه اقدام پروژه

4- برگزاری جلسه افتتاحیه رسمی

توضیحات فعالیت‌ ها:

نمایندگان رسمی کارفرما و مجری باید معرفی گردند.

نحوه مدیریت پروژه (شامل نقش‌ ها و مسئولیت ‌های طرفین و فرآیند های مدیریت پروژه) به طور دقیق بررسی گردند.

توافق در مورد نقاط عطف (Milestone) مراحل تفکیک انجام پروژه صورت گیرد.

توضیح: لیست افراد شرکت مجری باید در گواهینامه شرکت مجری که از طرف مرکز مدیریت راهبردی افتا صادر گردیدند، ذکر گردد. در غیر اینصورت فرد نماینده از طرف شرکت مجری مجاز به فعالیت در سازمان/شرکت کارفرما نیست.

گستره و پوشش فعالیت:

برگزاری جلسه/جلساتی در محل کارفرما

بازدید اولیه از سازمان

صورتجلسه آغاز پروژه

طرح نهایی مدیریت پروژه و برنامه نهایی اقدام پروژه

دامنه نهایی سیستم مدیریت امنیت اطلاعات

اصلاحات و تغییرات در قرارداد شرکت مجری در صورت تغییر دامنه نسبت به تعریف اولیه پیش از آغاز پروژه

سطح کیفی مورد انتظار:

این جلسه با حضور مدیر ارشد کارفرما، مدیران ذینفع در دامنه پروژه، مدیران پروژه کارفرما و همچنین تیم پیاده سازی/مشاور شرکت مجری باید برگزار گردد.

مسئولیت‌ های به عهده کارفرما:

هماهنگی برگزاری جلسه

تصویب نهایی طرح مدیریت پروژه و برنامه اقدام پروژه

تصویب نهایی دامنه سیستم مدیریت امنیت اطلاعات

تأیید و ابلاغ تغییرات در قرارداد مجری در صورت تغییر دامنه استقرار نسبت به شرح کار اولیه

5- تهیه/بررسی و بروزرسانی مستندات روش مدیریت اطلاعات

توضیحات فعالیت‌ ها:

تدوین/بررسی و بروزرسانی موارد زیر انجام گردد:

ساختار اطلاعات مستندی سازمان

قالب و چارچوب هر یک از انواع اطلاعات مستندی

نحوه شناسایی، کدگذاری و مدیریت ویرایش‌ ها

روال و مسئولیت‌ های تهیه، تدوین، تأیید، تصویب، ابلاغ، انتشار و نگهداری مستندات

ساختار، سازوکار و ابزارهای مورد نیاز مدیریت و نگهداری کتابخانه مستندات و آرشیو سوابق سازمانی

گستره و پوشش فعالیت:

در صورت وجود سیستم‌ های مدیریتی دیگر و یا روال ‌های مدیریت اسناد و سوابق در سازمان، مجری باید روال موجود را از نظر کیفیت و تناسب بررسی و در صورت نیاز نظرات اصلاحی خود را به کارفرما ارائه دهد.

در صورتی که روال مدیریت اسناد و سوابق در سازمان وجود ندارد، مجری باید فرآیند مربوطه و جزئیات مورد نیاز آن، مشتمل بر ساختار، قالب، مسئولیت‌های آماده سازی، تأیید، انتشار، مدیریت، بازنگری و بروزرسانی اطلاعات مستندات را تهیه نماید.

در مورد سازوکار و ابزارهای موردنیاز جهت مدیریت و نگهداری کتابخانه مستندات و آرشیو سوابق، پیشنهاد توسط مجری ارائه می گردد، لیکن اجرا و پیاده سازی آن به عهده شرکت مجری نیست.

خروجی:

روال بازنگری/تدوینی مدیریت اطلاعات مستندی

ساختار، سازوکار و ابزارهای مورد نیاز طراحی/بازنگری گردیده مدیریت و نگهداری کتابخانه مستندات سازمانی و آرشیو سوابق

سطح کیفی مورد انتظار:

توصیه می گردد روال ارائه مطرحی برای مدیریت اطلاعات مستندی از راهنمایی‌ های استاندارد10013ISO  تبعیت نماید و با دیگر سیستم‌های مدیریتی مستقر، یکپارچه باشد.

درباره قالب اسناد لازم است نوع مستند، هدف و دامنه، عنوان، تاریخ تصویب و انتشار، طبقه‌ بندی امنیتی، کد سند، شماره ویرایش و سوابق ویرایش ‌ها، مشخصات تدوین کننده، تأیید و تصویب‌کننده و همچنین مسئول بهره‌ برداری و نگهداری مشخص گردد.

در مورد اسناد و سوابق، الزامات قالب شامل زبان، قلم، نوع فایل و ویرایش نرم ‌افزار مربوطه، نحوه مدیریت نسخ کاغذی و الکترونیک مشخص گردد.

فرآیند نگهداری و بازنگری شامل مدت اعتبار، مسئول بازنگری، چکانه (trigger) بازنگری و مدیریت تغییرات در اطلاعات مستندی است.

مسئولیت ‌های به عهده کارفرما:

در صورت استقرار سیستم‌ های مدیریتی دیگر و یا روال‌ های مدیریت اسناد و سوابق، مستندات مرتبط در اختیار مجری قرار گیرد.

اصلاحات در روال موجود ابلاغ و اصلاح گردد و در صورتی که روال جدیدی تدوین گردید آن را ابلاغ نماید.

سازوکار و ابزارهای مورد نیاز مدیریت و نگهداری کتابخانه مستندات اجرا و پیاده سازی گردد.

6- تهیه سند خط مشی امنیت اطلاعات

توضیحات فعالیت‌ ها:

خط مشی امنیت اطلاعات با در نظر گرفتن الزامات استاندارد تهیه، به تایید مدیریت ارشد سازمان رسیده و ابلاغ گردد.

گستره و پوشش فعالیت تهیه پیش‌نویس و ارائه راهنمایی ‌های مناسب به مدیریت ارشد به عهده شرکت مجری است.

خروجی:

سند خط‌ مشی امنیت اطلاعات (در قالب مستندات تحت کنترل)

سطح کیفی مورد انتظار:

پیش‌نویس تهیه و توسط مجری باید متناسب با مشخصات سازمان/شرکت کارفرما و نوع کسب و کار، برای کارفرما خصوصی‌سازی گردد و متناسب با اهداف کلان سازمان/شرکت کارفرما باشد.

این سند باید رویکرد سازمان در قبال الزامات بالا دستی را مشخص نمایند.

توضیح: در صورتی که برای سایر سیستم‌ های مدیریتی مستقر در سازمان خط مشی ‌هایی وجود دارد، خط مشی سیستم مدیریت امنیت اطلاعات (پیشنهادی توسط مجری) باید هم‌ راستا و همسو با سایر خط مشی ‌های سیستم‌ های مدیریتی مستقر در سازمان/شرکت کارفرما باشند.

مسئولیت ‌های به عهده کارفرما:

همکاری و مسئولیت پذیری مدیریت ارشد برای اطمینان از منعکس شدن ملاحظات و انتظارات سازمان در خط‌ مشی

نهایی ‌سازی و ابلاغ خط‌ مشی به کارکنان و به فراخور نیاز ذینفعان

7- تعیین ساختار، نقش‌ ها، مسئولیت ‌ها و اختیارات سیستم مدیریت امنیت اطلاعات و صلاحیت ‌های مورد نیاز توضیحات فعالیت ‌ها

شرح وظایف و مسئولیت ‌های حوزه ISMS و انطباق آن با ساختار سازمانی به طور شفاف باید مشخص گردد.

صلاحیت ‌های مورد نیاز هر نقش شامل دانش، مهارت و تجربه مورد نیاز باید تعیین گردد.

گستره و پوشش فعالیت:

نقش ‌ها، مسئولیت ‌ها و اختیارات مرتبط با موارد زیر باید مشخص گردند:

مختص ISMS، شامل نقش ‌ها، مسئولیت‌ ها و اختیارات مرتبط با هماهنگی، پیاده سازی، اجرا، نگهداری، گزارش ‌دهی، مشاوره و بهبود فرآیند ها و کنترل ‌های امنیتی

مالکین دارایی و ریسک

مدیران، پرسنل سازمان و کاربران عمومی در رابطه با  ISMS

سیستم مدیریت یکپارچه IMS به‌بیان دیگر تلفیق سه سیستم مدیریت کیفیت  ISO 9001 ، سیستم مدیریت زیست محیطی ISO14001 و استاندارد ایمنی و بهداشت شغلی ( حرفه ای ) ISO 45001 میباشد.

همواره مدیران، صاحبان صنایع، کارشناسان HSE، کارفرمایان به‌ جستجو در زمینه گواهینامه IMS میپردازند. راهنمای دریافت گواهینامه IMS مختص متقاضیان گواهینامه های بین المللی سری ISO است. عبارت لاتین IMS مخفف Integrated Management System میباشند. زمانیکه‌ مجموعه ای سه سیستم مدیریتی کیفیت ، محیط زیست ، ایمنی و بهداشت را به‌طور همزمان و یکپارچه اجرایی نماید میگوییم سیسیتم مدیریت یکپارچه را در سازمان خود استقرار داده ست.

خروجی:

شناسنامه نقش‌ ها، مسئولیت ‌ها، اختیارات و صلاحیت ‌های مرتبط با امنیت اطلاعات (هماهنگ با قالب مورد استفاده سازمان)

شناسنامه کمیته/کمیته ‌های مرتبط با سیستم مدیریت امنیت اطلاعات

توضیح:

در خصوص دستگاه های زیرساختی در کمیته ‌های امنیتی پیشنهادی در سازمان/شرکت کارفرما، نماینده‌ ای از مرکز افتا نیز در ساختار این کمیته‌ ها لحاظ گردد.

سطح کیفی مورد انتظار:

تمامی نقش‌ ها، مسئولیت ‌ها و صلاحیت‌ ها باید توسط مجری و پس از مطالعه و شناخت سازمان/شرکت کارفرما برای کارفرما خصوصی‌ سازی و متناسب با ساختار سازمانی وی تعریف گردد.

توضیح:

مجری موظف است نقش ‌ها، مسئولیت ‌ها و اختیارات مرتبط با ISMS را به کارفرما پیشنهاد دهد و طراحی ساختار سازمانی یا نقش ‌ها و مسئولیت ‌های کارکردی سازمان، جزء وظایف وی به حساب نمی‌آید.

مسئولیت ‌ها به عهده کارفرما:

ارائه مستندات نقش‌ ها و مسئولیت ‌ها و اختیارات و صلاحیت ‌های موجود سازمانی به مجری

ادغام نقش ‌ها و مسئولیت‌ ها و اختیارات و صلاحیت‌ های مرتبط با سیستم مدیریت امنیت اطلاعات در اسناد سازمانی مربوطه و ابلاغ آن

8- شناسایی مخاطرات و فرصت‌ های سیستم مدیریت امنیت اطلاعات

توضیحات فعالیت ‌ها:

موارد ناشی از زمینه (ساختار) درونی و بیرونی و انتظارات ذینفعان بررسی و مخاطرات و فرصت‌ های مربوط به استقرار سیستم مدیریت امنیت اطلاعات و حصول نتایج مطلوب شناسایی گردند.

اقدامات لازم برای پرداختن به مخاطرات و فرصت ‌های فوق الذکر شناسایی و اجرا گردد.

گستره و پوشش فعالیت:

شامل مخاطرات و فرصت ‌های پروژه استقرار ISMS و همچنین مخاطرات و فرصت های عملکرد ISMS  و حصول نتایج مورد انتظار آن

توضیح: موارد فوق می تواند در قالب مدیریت ریسک پروژه نیز تحت پوشش قرار گیرند.

خروجی:

شناسایی مخاطرات و فرصت ‌ها و اقدامات متناسب برای پرداختن به مخاطرات و فرصت‌ ها که اجرایی و با سیستم یکپارچه هستند.

نتایج ارزیابی اثربخشی اقدامات فوق

سطح کیفی مورد انتظار:

سازوکاری برای ارزیابی تأثیر اقدامات و پایش اثربخشی اقدامات طرح‌ ریزی و مستقر گردد؛ این سازوکار می‌تواند در قالب مدیریت مخاطرات امنیت اطلاعات ادغام و یا مجزا باشند.

در صورت امکان یکپارچه ‌سازی شناسایی مخاطرات و فرصت ‌های سیستم با روش مدیریت مخاطرات امنیت اطلاعات و شناسایی مخاطرات و فرصت‌ های سایر سیستم‌ های موجود در سازمان صورت پذیرد.

مسئولیت ‌ها به عهده کارفرما نهایی سازی، ابلاغ، اجرا و یکپارچه ‌سازی اقدامات طرح‌ریزی در روال‌ های سازمان

9- تدوین متدولوژی مدیریت مخاطرات امنیت اطلاعات

توضیحات فعالیت ‌ها:

روش مدیریت مخاطرات امنیت اطلاعات شامل روش شناسایی، تحلیل، ارزشیابی، معیارهای پذیرش مخاطرات باید متناسب با شرایط کسب و کار کارفرما توسط مجری خصوصی سازی گردد.

توضیح:

روش شناسایی مخاطرات می تواند مبتنی بر «دارایی-آسیب‌پذیری-تهدید» و یا «رویداد محور» و یا دیگر روش‌ ها باشد.

رویکرد تحلیل مخاطرات می تواند کیفی، کمی یا نیمه کمی باشند.

گستره و پوشش فعالیت:

تمامی جزئیات فرآیند مدیریت مخاطرات شامل فازهای مختلف، اقدامات، راهنماها، روش گردآوری  و تحلیل اطلاعات و مخاطرات، فرم‌ ها و قالب‌ ها و همچنین ابزارها (در صورت نیاز به ابزار) باید شناسایی و مدون گردند.

خروجی:

سند متدولوژی مدیریت مخاطرات امنیت اطلاعات – در قالب مستندات تحت کنترل

سطح کیفی مورد انتظار:

در روش مدیریت مخاطرات امنیت اطلاعات با اهداف، زمینه (ساختار)، انتظارات ذینفعان و شرایط سازمان/شرکت کارفرما منطبق و متناسب با آن باید خصوصی ‌سازی گردد.

روش مدیریت مخاطرات مورد استفاده باید بتواند منجر به تولید نتایج همخوان و قابل تکرار گردند.

همچنین روش مدیریت مخاطرات پوشش دهنده انواع مختلف مخاطرات (فرآیندی، فنی، مدیریتی و …) است.

رویه مدیریت مخاطرات قابلیت اجرا توسط سازمان را دارند.

توضیح:

در صورتی که در سازمان/شرکت کارفرما رویه ‌ای برای مدیریت مخاطرات مستقر گردد، رویه مدیریت مخاطرات امنیت اطلاعات باید حتی المکان همسو و یکپارچه با روش موجود منطبق گردند.

مسئولیت ‌های به عهده کارفرما تایید و ابلاغ روال مدیریت مخاطرات

10- ارزیابی مخاطرات امنیت اطلاعات

توضیحات فعالیت ‌ها:

مخاطرات امنیت اطلاعات مطابق با متدولوژی مدیریت مخاطرات، شناسایی، تحلیل و ارزیابی گردند.

گستره و پوشش فعالیت:

تجمیع، دسته ‌بندی، صحت ‌سنجی، تحلیل اطلاعات و ارائه نتایج مربوط به مخاطرات امنیت اطلاعات

شناسایی آسیب ‌پذیری ‌های فنی با پویش آسیب ‌پذیری در سطح سیستم، سرویس و برنامه کاربردی

توضیح:

تجمیع، دسته ‌بندی، صحت ‌سنجی، تحلیل اطلاعات و ارائه نتایج مربوط به مخاطرات امنیت اطلاعات در سال اول پیاده سازی سیستم مدیریت امنیت اطلاعات، به عهده شرکت مجری است. با همکاری و آموزش کامل کارفرما خواهد بود و سال‌های بعدی پیاده سازی بعهده کارفرما و با همکاری و مشاوره شرکت مجری خواهد بود.

خروجی:

در خصوص مخاطرات امنیت اطلاعات، شناسایی موارد زیر ضروری است:

سناریوی مخاطره

سطح مخاطره

در صورت استفاده از رویکرد مبتنی بر «دارایی-آسیب ‌پذیری-تهدید»، جزئیات مرتبط

نتیجه مقایسه مخاطرات با معیار پذیرش و فهرست مخاطرات نیازمند اقدام کنترلی و مخاطرات ابقا شده (Retained)

سطح کیفی مورد انتظار:

میزان ریزدانگی، جزئیات و پوشش حوزه‌ های مختلف در ارزیابی مخاطرات کافی و همگن است.

مخاطرات خاص مرتبط با صنعت و کسب و کار کارفرما توسط مجری و با همکاری کارفرما استخراج گردد.

کلیه مخاطرات سیستمی و فنی شناسایی گردند.

کلیه دارایی ‌های امنیت اطلاعات شناسایی گردند.

توضیح:

در خصوص استخراج دارایی ‌های امنیت اطلاعات موارد زیر باید رعایت گردند:

مدل دارایی ها (ترجیحا با رویکرد سرویس‌گرایی) توسط شرکت مجری پیشنهادی و رابطه سلسله مراتبی و وابستگی بین دارایی ‌ها تهیه گردد. در صورتی که مدل دارایی خاصی در سازمان/شرکت کارفرما مستقر است مدل دارایی حتی المکان منطبق و یا همسو با مدل موجود است.

دارایی‌ های اصلی و پشتیبان و رابطه بین آنها شناسایی گردند.

اطمینان حاصل گردد که کلیه دارایی‌ های‌ اصلی (اولیه) شناسایی گردند.

آموزش فرآیند گردآوری فهرست دارایی ‌ها و مدل دارایی بر عهده مجری و گرد آوری دارایی‌ ها برعهده کارفرما با هدایت و نظارت شرکت مجری خواهد بود.

مسئولیت اطمینان از اجرای کامل فرآیند گردآوری دارایی ‌ها بر عهده مجری است.

کارفرما موظف است تسلط لازم برای مدیریت دارایی‌ ها را در طول زمان داشته باشند.

در خصوص دستگاه های زیرساختی، کارفرما باید سیستم ‌های مدیریت دارایی را در سازمان/شرکت مستقر کند.

در مورد استخراج آسیب پذیری ‌های فنی و غیرفنی موارد زیر رعایت گردد:

برای استخراج آسیب ‌پذیری‌ ها حداقل از منابع زیر استفاده گردند:

آسیب ‌پذیری ‌های مرتبط با کنترل ‌های پیوست الف استاندارد 2۷۰۰۱ و توضیحات مندرج در 2۷۰۰2

پیوست D استاندارد 2۷۰۰5

نتایج پروژه ‌های قبلی ارزیابی آسیب‌ پذیری و تست نفوذ و سوابق رخداد ها در دامنه

آسیب ‌پذیری‌ های خاص مرتبط با صنعت و کسب و کار کارفرما توسط مجری و با همکاری کارفرما استخراج گردد.

شناسایی آسیب ‌پذیری ‌های فنی در دستگاه های غیر زیرساختی؛ از طریق پویش آسیب ‌پذیری، حداقل در سطح سیستم، سرویس و برنامه کاربردی با هماهنگی با کارفرما در محیط کارفرما توسط شرکت مجری (در صورتی که این توانایی در کارفرما وجود ندارد و یا کارفرما تمایل به برون ‌سپاری این خدمت دارند) انجام می گردد.

شناسایی آسیب ‌پذیری ‌های فنی در دستگاه های زیرساختی از طریق انجام آزمون نفوذ پذیری در کل دامنه پیاده سازی، با هماهنگی با کارفرما توسط شرکت مجری (در صورتی که این توانایی در کارفرما وجود ندارند و یا کارفرما تمایل به برون سپاری این خدمت دارند) انجام می گردد.

شناسایی آسیب ‌پذیری‌ های غیرفنی در سال اول به عهده مجری و با همکاری و آموزش کامل کارفرما و از سال‌ های بعدی پیاده سازی، به عهده کارفرما و با همکاری و مشاوره شرکت مجری خواهد بود.

در محاسبه اثر ریسک معیارهای محرمانگی، یکپارچگی و دسترس پذیری لحاظ گردند.

مسئولیت ‌های بعهده کارفرما:

گردآوری و ارائه اطلاعات پایه ‌ای مورد نیاز ارزیابی مخاطرات مربوط به کارفرما (مانند دارایی‌ ها، سوابق رخداد ها و…) به شرکت مجری

ارائه اطلاعات آسیب ‌پذیری فنی تجهیزات، ابزارها و سیستم‌ ها به شرکت مجری (مگر در مواردی که انجام ارزیابی آسیب‌ پذیری فنی در شرح خدمات مجری باشند).

11- مقابله با مخاطرات امنیت اطلاعات

توضیحات فعالیت ‌ها

استراتژی مقابله با مخاطرات تعیین گردند.

راهکارهای مقابله با مخاطرات تعریف و به کنترل‌ های پیوست الف استاندارد 27001 IEC/ISO نگاشت گردند.

سند بیانیه کاربرد پذیری (SoA) تدوین گردد.

طرح مقابله با مخاطرات (RTP) تدوین و به تایید مالکین مخاطرات برسد.

گستره و پوشش فعالیت:

تعیین استراتژی ‌های مقابله با مخاطرات و پیشنهاد کنترل ‌های مقابله با مخاطرات با توجه به شناخت از سازمان/شرکت کارفرما، توسط شرکت مجری با همکاری کارفرما انجام می گردد.

تجمیع، قالب ‌دهی و تولید سند طرح مقابله با مخاطرات توسط مجری با همکاری کارفرما و آموزش کامل وی انجام می گردند.

تجمیع اطلاعات، قالب ‌دهی و تولید سند بیانیه کاربرد پذیری (SoA) توسط مجری با همکاری کارفرما آموزش کامل وی انجام می گردد.

ارائه طراحی جزئی فنی، فهرست اقلام (LoM) پیاده سازی و بهره ‌برداری از کنترل ‌های مقابله با مخاطرات در مسئولیت شرکت مجری نیست. کارفرما برای پیاده سازی کنترل ‌های پیشنهادی باید از شرکت ‌های دارای گواهینامه مرتبط از مرکز مدیریت راهبردی افتا (در صورتی که توانایی پیاده سازی کنترل در کارفرما وجود ندارد و یا کارفرما تمایل به برون‌ سپاری خدمت دارد) استفاده نمایند.

RFP های فنی مورد نیاز و شرح خدمات اصلی برای پروژه های مورد نیاز، به صورت کلان تهیه می گردد.

خروجی:

طرح مقابله با مخاطرات (RTP)

سند بیانیه کاربردپذیری (SoA)

سطح کیفی مورد انتظار:

ارتباط هر راهکار با مخاطرات مشخص و انتخاب راهکار از منظر اثربخشی و کارآمدی (بهره‌وری) قابل دفاع است.

سند SoA شامل توجیه شمول و کنارگذاری کنترل ‌ها، وضعیت کنونی کنترل، راهکارهای اجرایی به‌کارگرفته برای هر کنترل، اسناد و سوابق مرتبط با هر کنترل و مسئولیت اجرای هر کنترل است.

RTP شامل ریسک، کنترل منتخب، راهکارهای اجرایی مربوطه، وضعیت و پیشرفت اجرای اقدامات، مالک مخاطرات، مقدار مخاطرات اولیه و پیش بینی مخاطرات باقیمانده، مسئولیت اجرا، برنامه زمانی یا زمان پایان اقدامات است.

توضیح:

کنترل‌ های پیشنهادی در یکی از چهاردسته زیر قرار می گیرد:

سیاست: مجری با هماهنگی و تایید کارفرما

روش اجرایی: مجری با هماهنگی و تایید کارفرما (مانند رویه مدیریت حوادث)

دستورالعمل: کارفرما با هماهنگی و هدایت مجری (مانند چگونگی تغییر کلمه عبور)

طرح: پیشنهاد عنوان طرح و نیازمندی‌ های ریسک توسط مجری و تهیه برنامه زمانی اجرایی طرح توسط کارفرما (نیاز به زیرساخت ‌های نرم افزاری یا سخت ‌افزاری)

آموزش و آگاهی ‌رسانی

مسئولیت‌ های بعهده کارفرما:

تبدیل کنترل‌ ها و اقدامات مقابله با مخاطرات با برنامه اجرایی یا پروژه

ارائه برنامه زمانی اجرایی‌ سازی طرح مقابله با مخاطرات

پیگیری تصویب طرح مقابله با مخاطرات توسط مالکین مخاطرات

ابلاغ طرح مقابله با مخاطرات

پیگیری اجرای طرح مقابله با مخاطرات مطابق برنامه مصوب

12- تعیین اهداف امنیت اطلاعات و تدوین برنامه نیل به اهداف

توضیحات فعالیت ‌ها:

اهداف امنیت اطلاعات هم ‌راستا با خط مشی امنیت اطلاعات استخراج و روش و سنجش ‌های اندازه ‌گیری تحقق اهداف تعریف گردند.

برنامه‌ های نیل به اهداف امنیت اطلاعات طرح ریزی گردد.

فرآیند پایش، هدایت و بازنگری اهداف امنیت اطلاعات تدوین گردد.

گستره و پوشش فعالیت:

تدوین اهداف و برنامه‌ های نیل به اهداف

تدوین فرآیند پایش، هدایت و بازنگری اهداف

خروجی:

مستند اهداف امنیت اطلاعات و برنامه ‌های نیل به اهداف و فرآیند پایش، هدایت و بازنگری اهداف امنیت اطلاعات

سطح کیفی مورد انتظار:

اهداف امنیت اطلاعات باید هم ‌راستا و همسو با اهداف و برنامه ‌های استراتژیک سازمان و زمینه (ساختار) و انتظارات ذینفعان باشد.

ارتباط اهداف با مخاطرات امنیت اطلاعات مشخص گردد.

اهداف امنیت باید توسط یک یا چند شاخص کلیدی عملکرد (KPI) پشتیبانی گردد. هر یک از شاخص ‌ها حداقل شامل موارد زیر هستند:

عنوان شاخص

معیار و مطلوبیت

روش اندازه‌گیری

مسئول اندازه‌گیری

دوره اندازه‌گیری

توضیح:

تدوین اهداف و برنامه‌ های نیل به اهداف به عهده شرکت مجری است.

پیشنهاد شاخص ‌های کلیدی عملکرد به عهده شرکت مجری است.

اهداف امنیت اطلاعات باید با توجه به ساختار، اهداف و برنامه‌ های استراتژیک کارفرما و انتظارات ذینفعان خصوصی‌ سازی گردند.

مسئولیت ‌های به عهده کارفرما:

تصویب و ابلاغ اهداف امنیت اطلاعات

تصویب  برنامه ‌ها و اجرای برنامه ‌های مصوب

تصویب فرآیند پایش، هدایت و بازنگری اهداف امنیت اطلاعات و اجرای آن

13- تدوین سیاست‌ ها، روش ‌های اجرایی، دستورالعمل‌ ها و طرح‌ ها

توضیحات فعالیت ‌ها:

سیاست ‌ها (خط ‌مشی) های امنیتی بر اساس مشخصات و الزامات سازمان، اهداف امنیت اطلاعات و نتایج مدیریت مخاطرات تدوین گردد.

روش ‌های اجرایی و دستورالعمل‌ ها بر اساس روال ‌های موجود عملیاتی سازمان، الزامات ناشی از سیاست ‌های امنیتی، اهداف امنیت اطلاعات و نتایج مدیریت مخاطرات تدوین گردد.

روش ‌های اجرایی الزامی مندرج در استاندارد ICO/IEC 27001 با توجه به مشخصات سازمان و روال‌ های موجود بازنگری یا تدوین گردند.

برای کلیه سیاست‌ هایی که اجرایی ‌سازی آنها منوط به تامین زیرساخت ‌های نرم افزاری یا سخت افزاری است طرح متناسب تدوین گردد.

گستره و پوشش فعالیت:

تعداد و تفکیک سیاست ‌ها، فرآیندها و روال ‌ها بسته به ابعاد سازمان، پیچیدگی فرآیندهای داخلی، سطح حساسیت امنیتی کسب ‌وکار، مخاطرات شناسایی و میزان بلوغ امنیتی سازمان باید توسط مجری تصمیم‌گیری و با کارفرما توافق گردد. اساس آن مستندات مربوط به سیاست ‌ها، فرآیندها و روال ‌ها تدوین گردد.

نگارش متن سیاست‌ ها، روال‌ ها و فرآیند های امنیتی و همچنین طراحی فرم‌ ها، راهنماها و مستندات تکمیلی مورد نیاز برای بهره ‌برداری از روال ‌ها و فرآیندها به عهده مجری و با همکاری ( آموزش کامل) کارفرما است.

کلیه مستندات باید در قالب مورد استفاده سازمان برای مدیریت اطلاعات مستندی (مستندات و سوابق) تهیه و به کارفرما ارائه گردد. در صورت وجود سیستم های مدیریتی دیگر، روال‌ های الزامی و مشترک ISMS با آنها تلفیق و در غیر این صورت مستقلاً  تدوین خواهد گردید.

در مورد طرح‌ ها، پیشنهاد عنوان طرح و نیازمندی ‌های ریسک توسط مجری تدوین گردد.

خروجی:

مستندات سیاست ‌ها، روش ‌های اجرایی، دستورالعمل‌ ها و طرح‌ ها

سطح کیفی مورد انتظار:

کلیه سیاست‌ ها، روش‌ های اجرایی و دستورالعمل‌ ها باید علاوه بر پوشش الزامات امنیتی، با شرایط و اختصاصات سازمانی منطبق گردند.

ارتباط سیاست ‌های امنیتی با اهداف، نتایج مدیریت مخاطرات، کنترل ‌های استاندارد و الزامات بالا دستی، همچنین ارتباط روش‌ های اجرایی و دستورالعمل‌ ها با سیاست ‌های امنیتی می بایست مشخص گردد.

روش‌ های اجرایی و دستورالعمل‌ ها باید به صورت یکپارچه با روش‌ های اجرایی و دستورالعمل‌ ها و فعالیت ‌های موجود و عملیاتی سازمان طراحی و تدوین گردند.

نقش ‌ها و مسئولیت ‌های اجرای روش ‌های اجرایی و دستورالعمل ‌ها باید مشخص و مدون گردد.

جهت اطمینان از اجرای صحیح و کنترلی روش ‌های اجرایی و دستورالعمل‌ ها لازم است ساختار اطلاعات (در قالب فرم و چک ‌لیست)، راهنماهای اجرایی و مستندات مرجع مورد نیاز به میزان کافی تهیه گردد.

پیشنهاد عنوان طرح و نیازمندی ‌های ریسک و تهیه برنامه زمانی اجرای طرح.

توضیح:

تمامی سیاست‌ ها، طرح ‌ها، روش ‌های اجرایی و دستورالعمل‌ ها و به تبع آنها طراحی فرم‌ ها، راهنما ها و مستندات تکمیلی می بایست توسط مجری و با همکاری کارفرما برای سازمان خصوصی ‌سازی گردد. در صورتی که قبلاً در سازمان فرم، مستند و یا راهنمایی تدوین و یا روالی برای تدوین آنها وجود دارد. مجری موظف است حتی ‌الامکان از روال‌ های موجود برای مستندسازی، طراحی فرم‌ ها و راهنماها در سازمان/شرکت کارفرما تبعیت کند.

آموزش‌ های لازم در خصوص استفاده و بروزرسانی مستندات، فرم‌ ها و راهنماها از طرف مجری به کارفرما تحویل گردد.

در خصوص دستگاه های زیرساختی (حیاتی، حساس و مهم) در تدوین سیاست‌ ها، روش های اجرایی، دستورالعمل ‌ها و طرح‌ ها الزامات مرکز مدیریت راهبردی افتا نیز که در قالب “طرح امن‌ سازی زیرساخت ‌های حیاتی در قبال حملات الکترونیکی” به آنها ابلاغ گردیده است، باید مدنظر قرار گیرد.

هر نوع سیاست، طرح، روش اجرایی و دستورالعمل حتما باید توسط کارفرما بررسی و تایید گردد. مجری موظف است تا زمانی که موارد مذکور به تایید کارفرما برسد نسبت به بازنگری و بازبینی آنها اقدام نماید.

مسئولیت‌ های به عهده کارفرما:

قراردادن اطلاعات مورد نیاز از وضعیت فعلی روش های اجرایی و دستورالعمل ‌ها در اختیار شرکت مجری

بررسی و تصویب سیاست‌ ها، روش‌ های اجرایی، دستورالعمل ‌ها و طرح‌ های تدوینی توسط مجری و ابلاغ آنها

تهیه برنامه زمانی اجرای طرح

14- تعیین ارتباطات مورد نیاز سیستم مدیریت امنیت اطلاعات

توضیحات فعالیت ‌ها:

تمامی ارتباطات مورد نیاز برای عملکرد مؤثر سیستم مدیریت امنیت اطلاعات باید شناسایی و مدون گردد.

گستره و پوشش فعالیت:

برای تمامی ارتباطات مدون باید فرآیند مرتبط، فرد مسئول برقراری ارتباط، طرف دریافت‌کننده ارتباط، زمان و چکانه (trigger) برقراری ارتباط، کانال و نحوه ارتباط، محتوا و ضوابط ارتباط مشخص گردد.

خروجی:

فهرست یا جدول ارتباطات سیستم مدیریت امنیت اطلاعات

فرآیند های ارتباطی مدونی (با ذکر جزئیاتی نظیر کانال ارتباطی، فرد مسئول برقراری ارتباط، طرف دریافت‌کننده ارتباط، زمان و چکانه (trigger) برقراری ارتباط، کانال و نحوه ارتباط، محتوا و ضوابط).

توضیح: در قالب یک سند مستقل یا به صورت توزیعی در روال‌ ها و فرآیند های مربوطه.

سطح کیفی مورد انتظار:

در شناسایی ارتباطات باید حداقل موارد زیر لحاظ گردد:

خواسته ‌ها و انتظارات ذینفعان

برنامه ‌ها و نتایج مدیریت مخاطرات

اهداف امنیت اطلاعات و نتایج نیل به اهداف

رخدادها و بحران‌ های امنیت اطلاعات

وظایف، نقش‌ ها و مسئولیت‌ ها

اطلاعات مورد نیاز برای تبادل جهت اثربخشی فرآیندهای ISMS

تغییرات در ISMS و فرآیندها یا کنترل ‌های امنیتی

موارد مورد نیاز ناشی از کنترل‌ ها، فرآیندها یا روال‌ های امنیت اطلاعات

توضیح:

در خصوص دستگاه های زیرساختی، مرکز مدیریت راهبردی افتا به عنوان نهاد هماهنگ کننده و متولی امنیت مدنظر قرار گرفته و روالی برای ارتباط دائمی و مستمر با این مرکز در سازمان/شرکت کارفرما ایجاد نماید.

همچنین نقش این مرکز به عنوان مرکز عملیات امنیت (SOC) ملی و تیم امداد رایانه ‌ای ملی مد نظر قرار گیرد.

در خصوص دستگاه های زیرساختی الزامات مرکز افتا (طرح امن سازی مرکز افتا) در قالب انتظارات ذینفعان لحاظ گردد.

مسئولیت‌ های بعهده کارفرما:

بررسی، تصویب و اجرای ارتباطات مورد نیاز

15- مشاوره و نظارت بر طرح مقابله با مخاطرات و کنترل ‌های مقابله با مخاطرات

توضیحات فعالیت‌ ها:

نظارت بر اقدامات و پروژه ‌های تعریفی در سازمان/شرکت کارفرما در فرآیند مدیریت مخاطرات و بررسی انطباق با نتایج مورد انتظار.

بررسی اثربخشی اقدامات و پروژه ‌های تعریفی در سازمان/شرکت کارفرما در کاهش سطح مخاطرات امنیت اطلاعات.

گستره و پوشش فعالیت:

کلیه اقدامات و طرح ‌هایی که مطابق برنامه مقابله با مخاطرات در طی چرخه اول سیستم مدیریت امنیت اطلاعات قرار میگیرند باید از منظر اثربخشی در کاهش سطح مخاطره توسط مجری تحت نظارت قرار گیرند.

نظارت عملیاتی یا فنی بر اجرای برنامه و پروژه ‌ها و بر عهده مجری قرار ندارد.

خروجی:

گزارش وضعیت اثربخشی کنترل ‌های مقابله با مخاطرات اجرایی

سطح کیفی مورد انتظار:

در صورتی که کنترل ‌های پیشنهادی نتوانسته ‌اند سطح مخاطره را به اندازه پیش بینی کاهش دهند مجری موظف است راهکارهای کنترلی جدید را با همکاری خود کارفرما به آنها پیشنهاد دهند.

توضیح:

در خصوص دستگاه های زیرساختی، مرکز مدیریت راهبردی افتا به عنوان ناظر پروژه ‌های امنیتی و طرح‌ ها و پروژه ‌های امنیتی که در راستای کاهش مخاطرات امنیت اطلاعات تعریف می گردد باید با نظارت و تایید مرکز افتا تعریف و اجرایی گردند. همچنین کارفرما برای اجرای طرح‌ ها و پروژه ‌های تاییدی باید از شرکت ‌های دارای گواهینامه از مرکز افتا استفاده کنند.

در خصوص دستگاه های غیرزیرساختی، کارفرما برای اجرای طرح‌ ها و پروژه ‌های امنیتی – که در راستای کاهش سطح مخاطرات امنیت اطلاعات تعریف گردیدند صرفاً می تواند از شرکت ‌های دارای گواهینامه «مرتبط» با پروژه تعریفی از مرکز مدیریت راهبردی افتا استفاده نماید.

مسئولیت ‌های بعهده کارفرما:

اجرای برنامه مقابله با مخاطرات و کنترل‌ های مرتبط با آن

ارائه نتایج حاصل از اقدامات و پروژه‌ ها به مجری برای انعکاس در فرآیند مدیریت مخاطرات و ارزیابی اثربخشی کنترل ‌ها

اعمال اصلاحات و نظرات مجری در اقدامات و پروژه ‌های مقابله با مخاطرات

16- مدیریت عملیات ISMS و همکاری در پیاده سازی روال ‌ها و فرآیندها

توضیحات فعالیت ‌ها:

متولیان اجرای روش‌ های اجرایی و دستورالعمل‌ ها در مورد روش اجرا و الزامات سیاست ‌های تدوینی و کنترل ‌های امنیتی توجیه گردند.

همراهی و راهنمایی لازم برای تولید سوابق اجرای روش ‌های اجرایی و دستورالعمل‌ ها صورت گیرد.

بازخوردهای ذینفعان در مورد سیاست‌ ها، روش ‌های اجرایی و دستورالعمل‌ ها و نتایج اجرای آنها اخذ و در صورت لزوم اصلاحات و تنظیمات در روش‌ های اجرایی و دستورالعمل‌ ها شناسایی و اعمال گردد.

گستره و پوشش فعالیت:

توجیه متولیان اجرا در جلسه/جلسات مورد نیاز توسط مجری انجام گیرد.

مجری موظف است بر اساس بررسی ‌ها و بازخوردهای کارفرما نسبت به بازنگری و بهبود روش‌ های اجرایی اقدام کند و در خصوص دستورالعمل‌ ها پیشنهاداتی برای بهبود به کارفرما ارائه دهد.

شرکت مجری تنها راهنمایی و رفع اشکال را انجام و در زمینه اجرای روشهای اجرایی و دستورالعمل ها و تولید سوابق مسئولیت عملیاتی ندارد.

خروجی:

سوابق اجرای روشهای اجرایی و دستورالعملها

اصلاحات در روش‌ های اجرایی و دستورالعمل ‌ها

پیشنهاد اصلاح سیاست‌ ها و کنترل‌ ها جهت طرح در بازنگری مدیریت

سطح کیفی مورد انتظار:

تمام روش ‌های اجرایی و دستورالعمل ‌های تدوینی باید در زمان ممیزی داخلی حداقل دو ماه و یا در مورد روال‌ های غیر مستمر یک دوره سوابق اجرایی داشته باشند.

تسلط کافی برای اجرای روش ‌های اجرایی و دستورالعمل ‌ها توسط متولیان مربوطه بدون کمک مجری حاصل گردند.

اصلاحات مورد نیاز در مورد جزئیات و مراحل اجرای روش‌ های اجرایی و دستورالعمل ‌ها، قالب ثبت سوابق و نتایج، راهنمایی ‌ها و توضیحات مورد نیاز باید اعمال گردد.

اصلاحاتی که نیازمند تعریف طرح یا نیازمند تغییر در سیاست ‌های امنیتی است شناسایی و مدون گردد (مجری با هماهنگی و همکاری کارفرما).

مسئولیت‌ های بعهده کارفرما:

توزیع نسخ دستورالعمل‌ ها و روش ‌های اجرایی به مسئولین مربوطه

ابلاغ الزام اجرای سیاست ‌ها، روشهای اجرایی و دستورالعملها به متولیان مربوطه

پیگیری و نظارت مدیریتی بر اجرای روش ‌های اجرایی و دستورالعمل ‌ها و تولید سوابق

17- تدوین سازوکارهای سنجش اثربخشی

توضیحات فعالیتها:

مواردی که باید تحت پایش و سنجش قرارداشته باشند شناسایی و تعیین شوند. این موارد حداقل شامل موارد زیر است:

اهداف امنیت اطلاعات

کنترل‌ های امنیت اطلاعات

فرآیندهای امنیتی، روش ‌های اجرایی و دستورالعمل ‌ها

سازوکار پایش، سنجش، تحلیل و ارزیابی و فرآیندهای مربوطه تدوین گردد.

گستره و پوشش فعالیت:

سنجش های مورد نیاز باید حداقل شامل موارد زیر تعریف گردند:

عنوان سنجش

معیار و مطلوبیت

روش اندازه‌گیری

مسئول اندازه‌گیری

دوره اندازه‌گیری

دوره تحلیل و گزارش ‌دهی

در صورت نیاز به ابزار برای بدست آوردن و نگهداری اطلاعات سنجش ‌ها، سطح ورود مجری در حد تعیین نیازمندی ‌های عملکردی است.

خروجی:

فرآیند پایش و اندازه ‌گیری سنجش ‌ها و تحلیل و ارزیابی نتایج

فهرست سنجش ‌های مورد نیاز برای تعیین وضعیت سیستم مدیریت امنیت اطلاعات

سطح کیفی مورد انتظار:

سنجش ‌ها باید بنا به نیاز شامل سنجش ‌های عملکردی و سنجش ‌های اثربخشی گردد.

در صورت تشخیص نیاز و وجود تعداد زیاد سنجش ‌ها، لازم است سنجش ‌های کلیدی با ترکیب سنجش ‌های جزئی‌ تر تشکیل گردد.

استخراج و پیشنهاد سنجش ‌ها بعهده مجری با همکاری کارفرما است.

مسئولیت ‌های بعهده کارفرما نهایی‌ سازی و ابلاغ فرآیند سنجش اثر بخشی

18- سنجش شاخص‌ ها و اجرای روال‌ های پایش

توضیحات فعالیت‌ ها:

اطلاعات شاخص‌ های سنجش اثربخشی گردآوری و شاخص ‌های تعریفی اندازه ‌گیری گردد.

وضعیت شاخص ‌ها تحلیل و پیشنهادات اصلاحی تهیه گردند.

گستره و پوشش فعالیت:

تحلیل اطلاعات شاخص‌ های امنیت اطلاعات در چرخه اول استقرار سیستم بر عهده شرکت مجری قرار دارد.

مجری موظف است آموزش‌ های لازم در خصوص تحلیل شاخص‌ ها را به کارفرما ارائه دهند.

خروجی:

نتیجه اندازه‌گیری شاخص ‌ها و پیشنهادات اصلاحی در موارد لزوم

سطح کیفی مورد انتظار:

تحلیل شاخص‌ ها شامل بررسی وضعیت، در صورت لزوم استفاده از اطلاعات جانبی یا تخمین ‌ها برای تحلیل دقیق‌تر و شناسایی علت انحراف از هدف

نتایج تحلیل شاخص‌ ها باید در فرایند مدیریت مخاطرات و تدوین راهکارهای مقابله با مخاطرات (RTP) رد گیری گردند.

مسئولیت ‌های به عهده کارفرما گردآوری اطلاعات مورد نیاز برای اندازه‌گیری شاخص‌ ها

19- ممیزی داخلی

توضیحات فعالیت ‌ها:

ممیزی داخلی سیستم مدیریت امنیت اطلاعات مستقر انجام گردد.

گستره و پوشش فعالیت:

کلیه الزامات عمومی و تمامی کنترل‌ های امنیتی انتخابی و پیاده سازی ممیزی گردد.

توضیح: در صورتی که سازمان/شرکت کارفرما جزء دستگاه های زیرساختی باشد الزامات مرکز مدیریت راهبردی افتا نیز بررسی گردند.

خروجی:

برنامه و گزارش ممیزی داخلی سیستم مدیریت امنیت اطلاعات

سطح کیفی مورد انتظار:

فرآیند ممیزی داخلی مطابق الزامات 19011 ISO انجام و اطلاعات فرآیند به صورت کامل مستند گردد.

توضیح: در صورتی که شرکت مجری، خود اقدام به انجام ممیزی داخلی کند، تیم ممیزی باید کاملا مستقل از تیم پیاده‌ ساز انتخاب گردد.

مسئولیت ‌های به عهده کارفرما:

تأیید برنامه ممیزی و هماهنگی‌ های لازم برای ممیزی

20- شناسایی بهبودها

توضیحات فعالیت ‌ها بهبودهای سیستم مدیریت امنیت اطلاعات شناسایی گردد.

گستره و پوشش فعالیت:

موارد ناشی از همراهی در پیاده سازی، پایش سنجش ‌ها، ممیزی داخلی تحلیل و بهبودهای ممکن شناسایی گردند.

خروجی:

فهرست پیشنهادی بهبودهای ISMS جهت بررسی در بازنگری مدیریت

سطح کیفی مورد انتظار:

بهبودها حداقل شامل بررسی موارد زیر است:

استفاده از فناوری‌ های جدید

تغییر در سیاست ‌ها و رویکردهای امنیتی

تغییر در برنامه مقابله با مخاطرات

تغییر در فرآیندها

اختصاص منابع

افزایش توانمندی افراد مؤثر در سیستم

مسئولیت های به عهده کارفرما:

مشارکت در تحلیل یافته ‌ها و شناسایی بهبودها

21- بازنگری مدیریت

توضیحات فعالیت ‌ها:

بازنگری مدیریت ISMS باید در زمان ‌های مشخص انجام گردد.

گستره و پوشش فعالیت:

ورودی ‌های بازنگری مدیریت شامل موارد زیر تهیه گردد:

تغییرات در ساختار درونی و بیرونی

نتایج فرآیند های پایش شامل ممیزی داخلی، سنجش اثربخشی و اهداف امنیت اطلاعات

بازخوردهای ذینفعان

نتایج ارزیابی مخاطرات و وضعیت اقدامات مقابله با مخاطرات

بهبودهای شناسایی گردیده

پیشنهاد برنامه میان‌ مدت توسعه و بهبود ISMS (شامل گسترش دامنه استقرار سیستم)

خروجی:

تغییرات در اهداف و سیاست‌ های امنیت اطلاعات

تغییر در معیارهای پذیرش و ارزیابی مخاطرات

اقدامات اصلاحی و بهبودها

تغییر در منابع و بودجه  ISMS

سطح کیفی مورد انتظار اطلاعات ورودی جلسه، مباحث و تصمیمات در قالب مناسب مستند سازی و نگهداری گردند.

مسئولیت ‌های بعهده کارفرما:

هماهنگی برگزاری جلسه بازنگری مدیریت

اتخاذ تصمیمات لازم

22- آماده سازی برای ممیزی شخص ثالث

توضیحات فعالیت ‌ها:

پیگیری برنامه ‌های اقدامات اصلاحی

پیگیری مصوبات بازنگری مدیریت

اطمینان از تولید سوابق مورد نیاز سیستم به شکل مناسب و کافی

گستره و پوشش فعالیت:

نظارت بر برنامه و طرح‌ های اقدامات اصلاحی تعریفی، برنامه ‌های رفع عدم انطباق ‌ها و تصمیمات بازنگری مدیریت به عهده مجری قرار دارد.

بررسی مجدد کفایت سوابق با درنظر گرفتن نتایج ممیزی داخلی به عهده مجری است.

خروجی:

نتایج اقدامات اصلاحی ناشی از عدم انطباق ‌ها و تصمیمات جلسه بازنگری مدیریت که زمانبندی آن در چرخه اول سیستم قرار دارد.

وجود سوابق کافی از عملکرد سیستم

سطح کیفی مورد انتظار:

اقداماتی که برنامه زمانی بستن آنها در چرخه اول سیستم قرار می گیرد باید انجام گرفته و اثربخشی آن سنجیده گردد.

دوره وجود سوابق سیستم مطابق الزامات نهاد اجرایی ممیزی‌ و مرکز افتا کفایت لازم را دارند. (در زمان ممیزی شخص ثالث می بایست حداقل سوابق یک دوره 4 ماهه از سوابق سیستم مدیریت امنیت اطلاعات در دسترس است)

توضیح: در زمان ممیزی شخص ثالث، مخاطب تیم ممیزی کارفرما خواهد بود و مجری نباید در فرایند ممیزی دخالت کند؛ بنابراین تمامی دانش سیستم مدیریت امنیت اطلاعات باید از طرف مجری به کارفرما انتقال یابد.

مسئولیت ‌های به عهده کارفرما:

اجرای اقدامات اصلاحی

پیگیری و اجرای مصوبات بازنگری مدیریت

تولید سوابق سیستم

23- آموزش و آگاهی‌ رسانی

توضیحات فعالیت ‌ها

آموزش‌ های مربوط به نحوه راهبری سیستم پیاده سازی در سازمان و آگاهی ‌رسانی به افراد مؤثر بر سیستم انجام گردد.

عناوین دوره ‌های آموزشی عمومی و تخصصی ISMS و دوره‌ های فنی مورد نیاز استخراج و برای اجرای آن برنامه‌ریزی گردد.

گستره و پوشش فعالیت:

حداقل ۳ سمینار آگاهی ‌بخشی نیم ‌روزه برای پرسنل سازمان باید توسط مجری برگزار گردد.

مجری موظف است جلسات توجیهی را برای آموزش نحوه اجرای فرآیند ها و روش‌ های اجرایی سیستم مدیریت امنیت اطلاعات به همراه جزئیات مربوط به آنها به مدت کافی برای کارفرما برگزار کند.

مجری باید عناوین دوره‌ های آموزشی عمومی و تخصصی مرتبط با سیستم مدیریت امنیت اطلاعات را به کارفرما ارائه دهد.

برگزاری دوره‌ های آموزشی امنیت صرفا می تواند توسط شرکت ‌هایی انجام گردد که دارای گواهی فعالیت در حوزه خدمات آموزشی (نما) هستند.

برگزاری دوره‌ های آموزشی تخصصی نمی تواند در قالب پروژه ISMS باشد و تنها برگزاری دوره‌ های آگاه ‌سازی امنیتی می تواند ارائه گردد.

خروجی:

فهرست دوره ‌های برنامه‌ ریزی آموزشی و سوابق اجرای آن

آموزش نحوه راهبری سیستم و اجرای فرآیندها و روال‌ ها

برگزاری سمینارهای آگاهی‌ بخشی

سطح کیفی مورد انتظار:

برنامه ‌ریزی آموزش ‌های عمومی ISMS مورد نیاز کارفرما در ابتدای پروژه استقرار صورت گیرد و آموزش‌ های تکمیلی و تخصصی مرتبط با سیستم مدیریت امنیت اطلاعات بر اساس نتایج ارزیابی مخاطرات برنامه‌ریزی گردد.

مسئولیت ‌های بعهده کارفرما:

پیگیری اجرای دوره‌ های آموزشی پیشنهادی توسط شرکت مجری و عقد قراردادهای لازم یا طی روال تأمین به فراخور نیاز

تامین محل اجرا و تسهیلات لازم برای برگزاری دوره آموزشی/توجیهی

6- الزامات کارفرما در اجرای پروژه:

هرگونه قوانین داخلی و الزامات داخلی کارفرما که شرکت مجری ملزم به رعایت آنها در طول قرارداد است، باید به طور دقیق مشخص و توسط کارفرما اطلاع‌ رسانی گردد.

در این مقاله نمونه دستورالعمل سیستم مدیریت امنیت اطلاعات فقط جنبه الگو برداری دارد. لذا شما می توانید پس از مطالعه، آنرا متناسب با نیاز سازمان ویرایش و اصلاح نمایید.

انواع استانداردهای ایزو برای سیستم مدیریت امنیت اطلاعات

در واقع انواع استانداردهای ایزو برای سیستم مدیریت امنیت اطلاعات شامل ایزو 27001 به عنوان یک فرآیند سازمانی برای مدیریت امنیت اطلاعات است. این استاندارد شامل روشها و فرآیندها و سیاستهای سازمان برای حفظ امنیت اطلاعات خود باید اجرا کنند.

ایزو 27002 این استاندارد به عنوان راهنمایی برای انتخاب و پیاده سازی و مدیریت کنترل امنیتی در سازمان استفاده می گردد.

ایزو 27005 نمونه استاندارد برای ارزیابی و مدیریت ریسک های امنیتی در سازمان طراحی می گردد.

دانلود رایگان مستندات ایزو مدارک ISO که درخواست خیلی از کارشناسان و مشاوران فعال در حوزه ISO هست. خیلی از افراد با مرکز سیستم کاران تماس میگیرند و مستندات ایزو را مطالبه میکنند. چرا که مستندات ایزو و مدارک ISO شامل کلیه الزاماتی هست که برای هر شرکتی مورد نیاز است.جهت دانلود رایگان مستندات ایزو اینجا کلیک فرمایید.

مهمترین استاندارد سیستم مدیریت امنیت اطلاعات

یکی از مهمترین استانداردهای ایزو برای سیستم مدیریت امنیت اطلاعات استاندارد ایزو 27001 است. این استاندارد شامل الزامات و راهنمایی هایی است که سازمان باید برای حفظ امنیت اطلاعات و ارتباطات خود اجرا نماید. همچنین شامل تعیین نقاط قوت و ضعف سیستم های اطلاعاتی و اجرای کنترل های امنیتی موثرو مدیریت ریسک ها است. با این اوصاف استاندارد ایزو ISO/IEC 27001 به سازمان کمک می کند تا بهبود امنیت اطلاعات سازمان خود را مدیریت نمایید تا از حملات سایبری و نقض امنیت اطلاعات جلوگیری نماید.

فرم درخواست گواهینامه 27001 ISO

ارائه گواهینامه ایزو از مهمترین دغدغه ها و سوالات متقاضیان و درخواست کنندگان اخذ و دریافت گواهی ایزو هست. در فرم درخواست گواهینامه 27001 ISO  طی یکسری مراحل و روندی انجام می پذیرد. طی مراحل و روندهای مختلف و متعددی شرکتها و سازمانهای متقاضی و متقاضیان گواهی نامه ایزو می توانند به گواهینامه ایزو دست پیدا کنند.

متقاضیان عزیز می توانند فرم درخواست گواهینامه ایزو را از طریق ایمیل ، تلگرام ، واتساپ و یا هر پیام رسان دیگر ارسال دریافت نمایند. جهت دریافت فرم درخواست گواهینامه های ایزو بر روی دکمه زیر کلیک فرمایید.

نمونه متن سیستم مدیریت امنیت اطلاعات فوق یکی دیگر از نمونه مستندات ایزو است که درخواست غالب شرکتهاست. سیستم مدیریت امنیت اطلاعات را شاید بایستی مهمترین مستند میان نمونه مستندات ایزو دانست. یکی از مستنداتی است که برای همه شرکتها اهمیت و کاربرد ویژه ای دارد. برای دانلود دستورالعمل سیستم مدیریت امنیت اطلاعات، شرکتها اغلب درون فضاهای مجازی جستجو می کنند.

همچنین متقاضییان گرامی می توانند جهت اخذ ایزو : مراحل ، شرایط ، مدارک و نحوه اخذ گواهینامه ایزو اینجا را کلیک بفرمایید.

مرکز سیستم کاران با تلفن تماس 79165-021 بصورت 24 ساعته آماده ارائه مشاوره رایگان است. شما عزیزان می توانید با مشاوره کارشناسان مرکز ما جهت اخذ گواهینامه های ایزو مختلف تحت اعتبار IAF در کمترین زمان و کمترین هزینه اقدام نمایید.