سیستم مدیریت امنیت اطلاعات ISMS

با توجه به رشد روزافزون تهدیدات و خطرات فضای سایبری و مجازی و وضعیت نامطلوب امنیت فضای تبادل اطلاعات کشور، بویژه در حوزه سازمان های دولتی و خصوصی، بدلیل نبودن زیرساخت‌های فنی و اجرائی امنیت و عدم انجام اقدامات مؤثر در خصوص ایمن‌سازی فضای تبادل اطلاعات این سازمان‌ها، لذا توجه به امنیت دارایی‌های اطلاعاتی برای کلیه سازمان‌ها امری حیاتی بوده و لازمه آن یک مدیریت اثربخش می باشد.

طبق بخشنامه شماره ۱۳۷۱۱-۸۶/م/۳۸۵۰۵ مورخ ۱۳۸۶/۰۸/۱۰ معاون اول محترم رئیس جمهور، کلیه دستگاههای غیر دولتی و دولتی موظف به اجرای طرح سیستم مدیریت امنیت اطلاعات (ISMS) شده و همچنین با توجه به اهمیت این سیستم مدیریتی در کشور، طبق مصوبه هیأت وزیران، کلیه دستگاه‌های اجرایی مشمول ماده پنج قانون خدمات کشوری، ملزم شدند نسبت به پیاده‌سازی سیستم مدیریت امنیت اطلاعات اقدام نمایند.

سیستم مدیریت امنیت اطلاعات برگرفته شده از استاندارد بین المللیISO/IEC 27001، ابزاری است برای شناسایی، مدیریت و به حداقل رساندن احتمال وقوع تهدیدات عمدی و غیر عمدی، که امروزه سازمان‌ها با آن‌ها مواجه هستند.

در این راستا گروه بانیتک با بیش از ۱۵ سال حضور فعال در زمینه ارائه خدمات تخصصی در حذه فناوری اطلاعات و امنیت، قادر به ارائه خدمات ذیل در حوزه امنیت اطلاعات می باشد:

تهیه و تدوین RFP در حوزه امنیت اطلاعات

سازمان‌ها بمنظور انتخاب مشاور شایسته برای طراحی و استقرار سیستم مدیریت امنیت اطلاعات (ISMS) نیازمند تدوین یک RFP متناسب با سازمان خود می‌باشند. تهیه RFP مناسب در این زمینه، مستلزم شناخت درست از نیازهای امنیتی سازمان با رویکرد ISMS و استاندارهای وابسته می­‌باشد. در این راستا، گروه بانیتک با تجارب خود در حوزه تدوین RFP طرح های جامع امنیت، آمادگی لازم را برای تهیه RFP مناسب در زمینه ISMS برای کلیه سازمان­‌ها دارا می­‌باشد.

مشاوره و ارائه‌ی راهکارهای مدیریتی در زمینه‌ی سیستم مدیریت امنیت اطلاعات (ISMS) در سازمان

یکی از مهم‌ترین نیازهای امروزی سازمان‌ها در حوزه امنیت اطلاعات، بررسی میزان انطباق فرآیندها و روالهای موجود در سازمان با معیارها و استانداردهای معتبر بین المللی و رسیدن به وضعیت مطلوب می باشد. در این راستا، گروه بانیتک با بهره گیری از مدل‌های استاندارد و کارشناسان مجرب خود، اقدام به آنالیز شکاف از دو روش سیستمی (با استفاده از روشهای مشاهده و انجام مصاحبه ها و تکمیل پرسشنامه ها) و فنی (با استفاده از آزمون نفوذپذیری و ارزیابی آسیب‌پذیری‌ها) در مورد استانداردهای مرجع امنیت اطلاعات همچون ISO/IEC 27001 می‌نماید.  با انجام این مهم، سازمان‌ها می‌توانند میزان آمادگی خود برای پیاده‌سازی ISMS را سنجیده و نقاط قوت و ضعف خود را نسبت به این استاندارد، شناسایی نمایند و همچنین می‌توانند با آگاهی از میزان فاصله و انطباق خود با استاندارد ISO ۲۷۰۰۱ برنامه‌ریزی بهتر و برآورد زمان و هزینه دقیق‌تری برای استقرار این سیستم داشته باشند.

مشاوره طراحی و استقرار سیستم مدیریت امنیت اطلاعات

جهت طراحی سیستم مدیریت امنیت اطلاعات، کارشناسان بانیتک پس از تشکیل کمیته‌های راهبری و اجرایی امنیت در سازمان کارفرما و تعیین دقیق دامنه و محدوده پیاده سازی سیستم، به شناخت سازمان پرداخته و وضعیت موجود را تا رسیدن به وضعیت مطلوب در زمینه امنیت سازمانی بررسی می­‌نمایند. پس از این مرحله و تعیین میزان بلوغ سازمان، مرحله شناسایی دارایی‌های واقع در دامنه ISMS و ارزیابی مخاطرات با توجه به دارایی‌­های شناخته شده صورت می­‌گیرد و ریسک کلیه دارایی­‌ها محاسبه شده و کنترل­‌های مناسب جهت به حداقل رساندن ریسک­‌ها انتخاب می­‌گردد. خروجی این مرحله، ارائه طرح امنیت در زمینه سیستم مدیریت امنیت اطلاعات به سازمان خواهد بود. در اجرای کلیه مراحل، کارشناسان بانیتک با رویکرد آموزش حین کار، سعی خواهند نمود تا حد امکان مراحل استقرار را به تیم کارفرما منتقل نموده تا سازمان بدون نیاز به مشاور بتواند بخش عمده‌­ای از فعالیت­ های چرخه سیستم مدیریت امنیت اطلاعات را اجرایی نماید. پس از پیاده سازی طرح امنیت، بمنظور شناسایی و برطرف نمودن مشکلات احتمالی، کارشناسان بانیتک با همکاری تیم اجرایی کارفرما، سیستم پیاده‌سازی شده را مورد ممیزی داخلی قرار داده و براساس گزارش بدست آمده، نسبت به رفع عدم انطباق های موجود اقدام می‌نمایند. پس از این مرحله، با همکاری تیم مشاور و کمیته راهبری کارفرما، نسبت به انتخاب شرکت گواهی‌دهنده (CB) مناسب جهت ممیزی نهایی، اقدام می شود. گروه بانیتک تا پایان مرحله ممیزی نهایی و رفع عدم انطباق های احتمالی سیستم و دریافت گواهینامه ISO ۲۷۰۰۱، شرکت کارفرما را همراهی خواهد نمود.

در جدول زیر، مراحل و فازهای پیاده‌سازی سیستم مدیریت امنیت اطلاعات توسط گروه بانیتک، بصورت کلی نشان داده شده است: