0

تدوین مستندات در ISMS

307 بازدید
مستندات در ISMS

تدوین مستندات در ISMS

تدوین مستندات در ISMS: پیاده سازی سیستم امنیت اطلاعات دارای چندین فاز است. پس از طی فاز مدیریت مخاطرات یا ریسک می بایست آنچه وجود داشته و انجام شده است، به صورت کامل مستندسازی شود. سپس می توان به ارزیابی عملکرد و بهبود مستمر سیستم مدیریت امنیت اطلاعات پرداخت. ارزیابی عملکرد طی ممیزی انجام می شود اما قبل از پرداختن به این موضوع باید بدانیم چه الزاماتی در مستندسازی وجود دارد.

مستندسازی در شبکه یکی از ارکان مهم کار در این حوزه است چراکه همواره باید وضعیت حال شبکه را بدانید و از گذشته آن اطلاع داشته باشید.  اگر به مستندات دسترسی نداشته باشید ممکن است با مشکلاتی مواجه شوید که کار اصلی شما را به تعویق اندازد.

تدوین مستندات الزامی در ISMS

در تدوین مستندات الزامی سیستم مدیریت امنیت اطلاعات به دو مورد باید توجه شود اول شناسایی مستندات موردنیاز سیستم، و دوم کنترل مستندات.مستندات در ISMS

 

در بخش اول یعنی شناسایی مستندات، لازم است به مواردی توجه شود از قبیل؛ اندازه سازمان و نوع فعالیت ها و خدمات و محصولات آن، فرآیندها و پیچیدگی فرآیندها و تعامل میان آن ها،میزان صلاحیت کارکنان در حوزه امنیتی.

و در بخش دوم یعنی کنترل مستندات باید موارد ذیل را مدنظر قرار داد:

  • شناسایی و تشریح عنوان، تاریخ، نویسنده و مراجع سند، فرمت آن (کاغذی یا الکترونیکی)
  • نحوه توزیع، دسترسی، نگهداری، استفاده مستندات و سوابق سیستم
  • مسئول تایید و تصویب سند
  • کنترل تغییرات یا ویرایش
  • نحوه شناسایی و کنترل مستندات برون سازمانی مرتبط با سیستم

 

مستندسازی یک روش اجرایی

مستند کردن یک روش اجرایی باید بر اساس یک استاندارد مشخص صورت بگیرد. در واقع محتوای یک روش اجرایی مطابق استاندارد راهنمای ISO/TR 10013 ، موارد زیر را در بر می گیرد:

  • صفحه جلد: باید دارای عنوانی باشد که رو اجرایی را به وضوح مشخص کند.
  • شرح تغییرات: تمامی تغییرات صورت گرفته باید به تشریح بیان شود.
  • هدف: هدف از اجرای روش صورت گرفته باید به وضوح بیان شود.
  • دامنه کاربرد: محدوده ای که قرار است تحت پوشش باشد و سایر محدوده ها باید مشخص گردند.
  • مراجع: مراجعی که در روش اجرایی مورد استفاده قرار گرفته اند، باید ذکر شود.
  • تعاریف یا اشاره به مستندات مرتبط: تعریف و یا اشاره به مستندات مرتبط مورد استفاده ضروریست.
  • مسئولیت ها و اختیارات: مسئولیت ها و اختیارات افراد و یا واحد های سازمانی و ارتباط میان آن ها که به فعالیت های روش اجرایی مرتبط است، باید مشخص گردد.
  • شرح روش اجرایی: میزان جزییاتی که در روش اجرایی آورده می شود معمولا می تواند بر حسب پیچیدگی فعالیت ها، روش های مورد استفاده، سطح مهارت افرادی كه فعالیت ها را انجام می دهند، متفاوت باشد. با توجه به نیاز و استاندارد باید جزییات روش اجرایی شرح داده شود.
  • سوابق : سوابق مربوط به فعالیت های شرح داده شده در روش اجرایی یا در سایر بخش های مرتبط، باید در این بخش شرح داده شود.
  • پیوست ها: پیوست های لازم در خصوص روش اجرایی صورت گرفته از قبیل فرم ها، جداول، نمودارها و … باید در این بخش گنجانده شوند.

 

مستندات در ISMS

حداقل مستندات و سوابق الزامی در ISMS

با توجه به استاندارد تعریف شده برای مستندسازی در سیستم مدیریت امنیت اطلاعات، مستندات در ISMS باید یک ساختار کامل از کیفیت و روش انجام شده با جزییات کامل را شامل شود. با اینحال یک میزان حداقلی برای مستندسازی وجود دارد که لازم است رعایت شود. این میزان حداقلی مستندات در ISMS موارد ذیل را در بر می گیرد:

  1. دامنه ISMS ، خط مشی و اهداف امنیت اطلاعات
  2. تشریح متد ارزیابی و برطرف سازی مخاطرات و بیانیه کاربست پذیری (SOA)
  3. تعیین نقش ها و مسئولیت های امنیتی
  4. خط مشی استفاده مورد انتظار از دارایی ها، خط مشی کنترل دسترسی
  5. روش های اجرایی عملیات مدیریت IT، اصول مهندسی سیستم امن
  6. خط مشی امنیت تامین کنندگان و پیمانکاران
  7. روش های اجرایی مدیریت حوادث، روش های اجرایی مدیریت و تداوم کسب و کار
  8. الزامات قانونی، آئین نامه ای و قراردادی
  9. سوابق الزامی شامل: سوابق آموزش امنیت، صلاحیت ها، تجارب و مهارت پرسنل، نتایج اندازه گیری و پایش امنیت، نتایج بازنگری مدیریت، برنامه و نتایج ممیزی داخلی، نتایج اقدامات اصلاحی، ثبت فعالیت های کاربران و گزارش پیشامدهای امنیتی، گزارش ارزیابی و برطرف سازی مخاطرات و لیست دارایی ها.

در لیست فوق حداقل مستندات لازم آورده شده است اما با توجه به نیاز یک سازمان ممکن است مواردی به حداقل مستندات الزامی اضافه گردد که مطابق با استاندارد راهنمای ISO/TR 10013 می تواند انجام شود.

 

هیواشبکه

خدمات ما در مجموعه هیواشبکه شامل :

شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
در خدمت شما عزیزان هستیم.

آیا این مطلب را می پسندید؟
https://hivanetwork.ir/?p=48700
اشتراک گذاری:
مونا ارادتی
مطالب بیشتر
برچسب ها:

نظرات

0 نظر در مورد تدوین مستندات در ISMS

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

هیچ دیدگاهی نوشته نشده است.