سامانه مدیریت امنیت اطلاعات

در . منتشر شده در محصولات

 

پیاده سازی ISMS منطبق بر استاندارد های ISO27001

مدیریت امنیت اطلاعات

استاندارد بین المللی مدیریت امنیت اطلاعات ISO/IEC 27001استاندارد بین المللی مدیریت امنیت اطلاعات، یک چارچوب مدیریت‌شده برای ارتقاء اثربخشی فرآیندهای امنیت اطلاعات سازمان‌ها فراهم می‌کند

 

 

بکارگیری الزامات و ملاحظات این استاندارد به عنوان یکی از چهارچوب های سیستم مدیریت امنیت اطلاعات چه به عنوان یک راهکار داخلی و چه با هدف اخذ گواهینامه ISO 27001 نیازمند دنبال کردن یک رویکرد ساختارمند، توجه به دامنه کسب و کار و داشتن درک درستی از مخاطرات امنیتی کسب و کار سازمان می باشد. موسسه چشم­ انداز توسعه و امنیت می تواند شما را در زمینه قدم های مورد نیاز برای انطباق با استاندارد راهنمایی کند. تیم ما می تواند:

  • §به شما کمک کند تشخیص دهید چه فرآیندهایی از کسب و کارتان نیاز بیشتری به ملاحظات امنیت اطلاعات بیشتری نیاز دارد.
  • §مخاطرات کسب و کار سازمان شما در زمینه امنیت اطلاعات را شناسایی و ارزیابی کند.
  • §با افزایش سطح دانش پرسنل در حوزه امنیت اطلاعات، مخاطرات ناشی از عملکرد انسانی را کاهش دهد.
  • §راهکارهایی برای بهبود فرآیندهای امنیتی فعلی شما شناسایی کند و در تصمیم سازی برای پیاده سازی آنها شما را توانمند سازد.
  • §مهندسی مجدد فرآینده های اجرایی سازمان و رعایت ملاحظات امنیتی در آنها در قالب تهیه و بازنگری فرآیند، خط مشی، آیین نامه، دستور العمل، روش اجرایی و فرم های اجرایی.
  • §در زمینه‌های تخصصی مثل ارزیابی ریسک، تهیه برنامه و طرح تداوم کسب‌ و کار، تست آسیب پذیری و نفوذپذیری زیرساخت و سیستم های فناوری اطلاعات.
  • §تعریف و اندازه گیری شاخص های بهبود حوزه امنیت اطلاعات در راستای اهداف استراتژیک سازمان
  • §انجام ممیزی های داخلی بصورت موردی و دوره ای
  • §تهیه و اجرای برنامه های آموزشی عمومی و تخصصی در حوزه امنیت اطلاعات
  • §همراهی سازمان در ممیزی های شخص ثالث تا مرحله اخذ گواهینامه

 

دامنه پروژه

تعریف درست دامنه پروژه ISO 27001 اولین قدم مهم به سوی کسب انطباق می باشد، در این راستا ما به شما کمک خواهیم کرد فرآیندهای بحرانی کسب‌ و کارتان را که بهترین هدف برای کسب انطباق اولیه با استاندارد هستند، شناسایی کنید. ما همچنین می توانیم در زمینه اخذ گواهینامه استاندارد و ارایه راه­ حل در سازمان‌های پیچیده جهت ایجاد برنامه های انطباق موفق و پیشروی براساس دامنه اولیه ISMS همیاری نماییم.

 

بررسی میزان فاصله با الزامات استاندارد ISO27001

قدم ضروری بعدی، بررسی میزان فاصله (Gap) با الزامات استاندارد می باشد که طی آن ارزیابی کاملی از وضعیت فعلی امنیت در سازمان شما در زمانی کوتاه صورت گرفته و شمای امنیتی سازمان را بصورت خلاصه ارائه داده و به سازمان کمک می کند قلمرو هایی از حوزه 11 گانه استاندارد را که سازمان توجه بیشتری به آن نیاز دارد را با شرح نقاط نامنطبق و شواهد آن شناسایی و مشخص سازد. موسسه چشم­انداز توسعه و امنیت، این خدمت را بصورت جداگانه برای شرکتهایی که تصمیم برای حرکت به استقرار سیستم مدیریت امنیت اطلاعات دارند ولی آمادگی زمانی و هزینه ای مربوطه را کسب نکرده اند و همچنین سایر شرکتهایی که نیاز دارند تا یک نمای کلی و در عین حال دقیق از نمای امنیتی سازمان خود در کوتاهترین زمان داشته باشند پیشنهاد می کند.

ارزیابی و مدیریت مخاطرات امنیت اطلاعات

یکی از مولفه های الزامی و در عین حال حیاتی استاندارد ISO 27001 ارزیابی مخاطرات می باشد، ما بر این باوریم موفقیت اصلی تمامی سیستم های مدیریت امنیت اطلاعات در گروی یک سیستم ارزیابی و مدیریت مخاطرات کارا می باشد. در این زمینه ما شما را در ارزیابی، تحلیل سطوح مخاطرات و ارائه راهکارهای مقابله با مخاطرات امنیت اطلاعات در فرآیندهای تجاریتان یاری می دهیم. ارزیابی مخاطرات را می توان حسب زمان و توانایی سازمان شما با استفاده از ابزارهایی مثل CRAMM یا روشهای دیگر مبتنی بر متد های روز دنیا مثل OCTAVE, COBRA, ISO27005 و ... اجرا کرد.

رویکرد شرکت در این زمینه پیشنهاد متدی بر اساس ساختار سازمانی، منابع انسانی، توان عملیاتی، نگرش بدنه تصمیم ساز و زمان در سازمان شما می باشد؛ چرا که ما بر این باوریم که یک ارزیابی مخاطرات کارا زمانی محقق می گردد که شاخص های خروجی آن برای بدنه تصمیم ساز سازمان قابل فهم و ملموس بوده چراکه فرآیند باز ارزیابی آن قابل تکرار باشد.

چراکه بهره­ مند شدن از مزایای یک سیستم مدیریت امنیت اطلاعت زمانی محقق می گردد که سازمان خود چندین بار چرخه ارزیابی و مدیریت مخاطرات را تجربه کرده باشد.

پس از ارزیابی می توان یک برنامه کنترل مخاطرات ایجاد نمود که به تشریح کنترل های امنیتی مورد نیاز برای مواجه با مخاطرات شناسایی‌شده، می پردازد. به این ترتیب شما می توانید به یک ممیز نشان دهید که برای مثال شما اقداماتی را برای کاهش مخاطرات به یک سطح قابل قبول اجرا نموده اید.

 

ارتقاء امنیت

 

با تحلیل نمودن نتایج بررسیِ میزان فاصله با الزامات استاندارد و کنترل های توصیه‌شده در فاز ارزیابی مخاطرات، یک برنامه ارتقاء امنیت رسمی می توان ایجاد نمود.

شرکت فناوری اطلاعات رجاء می­تواند بسته به نیاز شما، برای پیاده‌سازی برنامه ارتقاء شما را یاری دهد و راهکارهای عملی در هر یک از حوزه های استاندارد به شما توصیه کند. مشاوران ما می توانند همچنین به شما در تهیه بیانیه کاربست‌پذیری (SOA)، سند مرجع مهمی که کاربرد هر یک از کنترل های امنیتی و نحوه پیاده‌سازی آن در سازمان را توضیح می دهد، کمک کنند.

 

آمادگی برای اخذ گواهینامه ISO 27001

اگر شما به دنبال کسب گواهینامه ISO 27001 هستید، مشاوران ما مزایا و تفاوت هزینه ها را برای شما تشریح می کنند و می توانند شما را برای دریافت گواهینامه و پیاده‌سازی تغییرات نهایی ضروری برای ISMS آماده کنند.

در مرحله آخر ما می توانیم شما را طی انجام فرآیند ممیزی داخلی، انتخاب راهکارهای پیشگیرانه و اصلاحی، همراهی شما در جلسات بازنگری مدیریت، همراهی در جلسات ممیزی ثالث را را را(Certification Body) پشتیبانی کرده و به نیابت از سوی شما مذاکرات را با گواهی‌دهنده تا پایان انجام ممیزی منجر به صدور گواهینامه انجام دهیم.

 

 

 

با ما به‌روز باشید!

 با ما به‌روز باشید!
it@raja.ac.ir

آدرس:تهران - بلوار کریمخان - آبان جنوبی - شماره 41

تلفن:88918136,63-021