سیستم مدیریت امنیت اطلاعات (ISMS)

 

باید به این مهم توجه داشت که امنیت پیش از آنکه یک فناوری باشد،‌ یک فرهنگ است، از این رو همواره توصیه می‌شود که سیستم مدیریت امنیت اطلاعات، به‌­عنوان بخشی از سیستم مدیریت کلان سازمانی در نظر گرفته ­شود. این سیستم با رویکردی نظام‌­مند به مدیریت اطلاعات حساس و مخاطرات کسب‌­وکار و همچنین با بهره‌­گیری از الزامات استاندارد ISO/IEC 27001 به بهبود امنیت اطلاعات در سازمان کمک می­‌کند. نگاه همه جانبه این سیستم به کلیه ابعاد امنیتی ازجمله مباحث فنی (مانند رمزنگاری، امنیت شبکه و غیره) و غیر فنی (مانند طبقه‌­بندی اطلاعات، امنیت محیطی و فیزیکی و غیره) و همچنین حوزه‌­­های مدیریتی (مانند مدیریت منابع انسانی و امثال آن) موجب ارتقاء سطح امنیت در همه بخش های سازمان  خواهد شد. همچنین با نگرش سیستماتیک به امنیت اطلاعات،‌ منجر به ایجاد چارچوب و مکانیزمی می­‌شود که فعالیت­‌های گوناگون امنیتی را با در نظر داشتن راهبردهای کلان سازمان و به­‌منظور تدارک یک سطح بهینه و قابل قبول، هم‌راستا می­‌کند.

 
  • مشاوره، طراحی و پیاده­‌سازی ISMS با توجه به استانداردهای بین­‌المللی موجود و سند بالادستی افتا در زمینه امنیت فضای تبادل اطلاعات و با تمرکز بر استراتژی­‌های کلان سازمان
  • تدوین سیاست ها، دستورالعمل و روش‌های اجرایی متناسب با کنترل های استاندارد سازمان
  • آموزش دستورالعمل‌­ها و سیاست­‌های امنیتی تدوین شده به کارکنان قلمرو
  • تدوین و طراحی متدولوژی مدیریت مخاطرات (Risk Management Methodology)
  • شناسایی و طبقه­‌بندی دارایی‌­های اطلاعاتی سازمان Information Assets))
  •  شناسایی تهدیدها و آسیب­‌پذیری­‌های امنیتی (Threats & Vulnerabilities)
  • ارزیابی و مدیریت مخاطرات امنیت اطلاعات
  • تدوین و ارائه طرح برطرف سازی مخاطرات (RTP)
  • تدوین بیانیه کاربست پذیری (SOA)
  • تهیه برنامه آگاهی‌رسانی با توجه به مخاطرات شناسایی‌شده
  • انجام ممیزی‌های داخلی و آموزش ممیزی داخلی به کارکنان سازمان
  • ارائه راهکارهای برطرف سازی مخاطرات و همراهی با سازمان در رفع عدم انطباق های احتمالی
  • ممیزی و همراهی سازمان تا زمان اخذ گواهی­نامه ISO/IEC 27001
 

پیاده‌­سازی سیستم مدیریت امنیت اطلاعات، سازمان را قادر می­‌سازد تا در وهله اول از همسو بودن اهداف امنیت اطلاعات با اهداف کسب­‌وکار خود اطمینان حاصل نماید؛ همچنین کمک می­‌کند تا سازمان در برابر مخاطرات تکنولوژیک و دیگر تهدیدات مانند فرایندهای ناکارآمد و پرسنل ناآگاه ایمن شود. بهینه‌­سازی مداوم سیستم منجر به کاهش نرخ حوادث امنیتی خواهد شد و به این ترتیب تداوم کسب­‌وکار سازمان تضمین می­‌گردد. در نهایت سازمانی که موفق به اخذ گواهینامه ISO 27001 گردد در برابر رقبای تجاری خود از وجهه و اعتبار بالاتری برخوردار خواهد شد که قطعاً رضایت مشتریان آن سازمان را نیز به همراه خواهد داشت.

 

 سیستم مدیریت امنیت اطلاعات در یک نگاه

 

مهم‌ترین هدف استاندارد ISO/IEC 27001 حرکت به‌سوی استقرار سیستم مدیریت امنیت اطلاعات است که یک مزیت رقابتی برای سازمان­‌ها محسوب می­‌شود و جلب اعتماد و رضایت مشتریان را به ارمغان خواهد آورد، همچنین باعث ارتقاء سطح خدمات فناوری اطلاعات و امن­‌سازی فضای تبادل اطلاعات در سازمان خواهد شد. این استاندارد بین‌­المللی، الزاماتی را برای استقرار، پیاده­‌سازی، نگهداری و بهبود سیستم مدیریت امنیت اطلاعات ارائه می­‌دهد.

رویکرد شرکت امن‌افزار گستر شریف در طراحی، استقرار و پیاده­‌سازی سیستم مدیریت امنیت اطلاعات، ایجاد یک ساختار استاندارد است که اهداف کسب­‌وکار سازمان را نیز به‌عنوان ورودی سیستم مدنظر قرار داده و درنهایت منجر به تداوم کسب‌­وکار سازمان خواهد شد.

 
 
 
  • این فیلد برای اعتبار سنجی است و باید بدون تغییر باقی بماند .