0

ممیزی ISMS

269 بازدید
ممیزی ISMS

ممیزی ISMS

ممیزی ISMS:موسسه بین المللی استاندارد دو نسخه استاندارد ارائه داده است که بر اساس آن دو نسخه می توان به پیاده سازی سیستم مدیریت امنیت اطلاعات پرداخت. در استاندارد BS7799-1 (که استاندارد ISO 17799 رونوشتی از آن است) توصیه های لازم برای پیاده سازی ISMS ارائه شده است. می توان گفت استاندارد نسخه اول، راهنمایی برای پیاده سازی است و هیچ الزامی در کار نیست.

اما نسخه دوم استاندارد BS7799-2 (که استاندارد ISO 27006 معادل آن است) الزامات و نیازمندی های یک سازمان را بیان می دارد. در واقع یک سازمان باید بر اساس استاندارد بخش اول شرایط را فراهم آورد تا بر اساس استاندارد بخش دوم ممیزی در مورد سازمان صورت گیرد. در ادامه به تعریف ممیزی و مراحل آماده سازی یک سازمان جهت انجام ممیزی می پردازیم.

ممیزی چیست؟

زمانی که یک سازمان اقدام به پیاده سازی سیستم مدیریت امنیت اطلاعات نمود، اکنون زمان آن است که این عملیات از جانب مراجع دارای صلاحیت، اعم از کارشناسان داخل سازمان یا کارشناسان معتبر مراکز صدور گواهینامه امنیتی، مورد بررسی قرار گیرد. در این بررسی موارد احتمالی عدم تطابق اقدامات انجام شده با استانداردها کشف می شود تا توسط سازمان رفع نقص گردد. به این فرآیند ممیزی گفته می شود.

در فرآیند ممیزی ISMS، صحت عملکرد کنترل های بکار گرفته شده برای تامین امنیت دارایی های اطلاعاتی پرداخته می شود تا میزان تطابق یا عدم تطابق با سیاست های عملیاتی تدوین شده در سازمان مشخص گردد.

ممیزی ISMS

مراحل فرآیند ممیزی

برای فرآیند ممیزی ISMS چهار قدم اصلی برشمرده شده است که عبارتند از:

1-آشناسازی تیم ممیزی

در این مرحله تیم ممیزی ISMS با قوانین و روال ها و سیاست های امنیتی سازمان آشنا می شوند.

2-پیمایش موضوع

در این مرحله اطلاعات مفصلی از سازمان گردآوری می شود. اطلاعاتی همچون مستندات ساست ها، شرح وظایف شغلی، محدوده عملکرد سیستم ها، مستندات تشخیص مخاطرات. علاوه بر آن مصاحبه با افراد کلیدی سازمان و نیز مطالعه مدارک مربوط به کنترل های امنیتی انجام می شود و طرح آزمایشی ممیزی ISMS آماده می گردد.

3-اجرای طرح آزمایشی ممیزی و کسب نتایج

در این مرحله، طرح آزمایشی که از نتایج مرحله قبل حاصل شد، به اجرا گذاشته می شود و نتایج به دست آمده این اجرا، استخراج می گردد.

4-گزارش دهی و مستند سازی

در مرحله آخر از ممیزی ISMS، گزارشی از اقدامات انجام شده و مستندات تهیه شده به اطلاع رئیس سازمان می رسد. این گزارش در ابتدای امر در قالب یک پیش نویس جهت بازبینی و کسب اطلاع از وضعیت، در اختیار رئیس سازمان قرار می گیرد. در این مرحله گزارش ارائه شده توسط رئیس سازمان و سزممیز بررسی می شود و موارد نقص ذکر شده به دوسته تقسیم بندی می شوند:

  • مواردی که مورد قبول و تایید رئیس سازمان است
  • مواردی که مورد قبول و تایید رئیس سازمان نیست

ممیزی ISMS

پس از مستند سازی موارد فوق و مشخص شدن دسته بندی موارد، باید طرحی با عنوان طرح اقدامات اصلاحی توسط تیم ممیزی ISMS آماده شود. در این طرح برای مواردی که مورد موافقت رئیس سازمان هستند، باید به تفکیک هر نقص موضوعات زیر مستند شوند:

  1. اقداماتی که برای رفع نقص لازم است
  2. زمان شروع و پایان اقدامات
  3. افرادی که مسئول انجام این اقدامات هستند

برای مواردی که مورد تایید رئیس سازمان نیستند نیزباید موضوعات زیر به تفکیک هر نقص مستند شوند:

  1. توسط تیم ممیزی، توضیحی در مورد وضعیت دقیق سازمان در مورد هر نقص ارائه شود
  2. کنترل های امنیتی لازم که برای کاهش ریسک بنا بر تشخیص تیم ممیزی لازم است، عنوان شود.
  3. از رئیس سازمان موافقت نامه کتبی بابت پذیرش ریسک و شرایط تشخیص داده شده، اخذ شود.

ممیزی ISMS باید در فواصل زمانی برنامه ریزی شده انجام شود و گزارش تیم ممیزی باید در دوره های زمانی مشخصی به رئیس سازمان ارائه شود. در این گزارش حتما باید آخرین یافته ها و اصلاحات انجام گرفته قید شود.

اهداف سازمان ها از انجام ممیزی ISMS

یک سازمان از انجام فرآیند ممیزی ISMS ممکن است یک یا چند مورد از اهداف زیر را دنبال کند:

  • کشف و رفع نواقص و رخنه های امنیتی در سازمان
  • دستبابی به اهداف امنیتی سازمان و عملی کزدن سیاست های امنیتی تدوین شده
  • بررسی وضعیت سیستم مدیریت امنیت اطلاعات و انطباق آن با استانداردها
  • آماده سازی سازمان برای طی مراحل اخذ گواهینامه امنیتی
  • دریافت گواهینامه امنیتی بین المللی از مراکز صدور گواهینامه امنیتی
  • جلوگیری از ابطال گواهینامه امنیتی برای سازمان های دریافت کننده گواهینامه امنیتی که موارد عدم انطباق با استانداردها را رفع نکرده اند

 

هیواشبکه

خدمات ما در مجموعه هیواشبکه شامل :

شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
در خدمت شما عزیزان هستیم.

آیا این مطلب را می پسندید؟
https://hivanetwork.ir/?p=51881
اشتراک گذاری:
مونا ارادتی
مطالب بیشتر
برچسب ها:

نظرات

0 نظر در مورد ممیزی ISMS

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

هیچ دیدگاهی نوشته نشده است.