تدوین مستندات در ISMS

1030 بازدید

دسته بندی: امنیت - استاندارد سازی - بلاگ منتشر شده در اسفند 27, 1399 نویسنده: مونا ارادتی زمان مطالعه: 6 دقیقه 0 نظر به روز شده در اسفند 22, 1402

تدوین مستندات در ISMS

تدوین مستندات در ISMS: پیاده سازی سیستم امنیت اطلاعات دارای چندین فاز است. پس از طی فاز مدیریت مخاطرات یا ریسک می بایست آنچه وجود داشته و انجام شده است، به صورت کامل مستندسازی شود. سپس می توان به ارزیابی عملکرد و بهبود مستمر سیستم مدیریت امنیت اطلاعات پرداخت. ارزیابی عملکرد طی ممیزی انجام می شود اما قبل از پرداختن به این موضوع باید بدانیم چه الزاماتی در مستندسازی وجود دارد.

مستندسازی در شبکه یکی از ارکان مهم کار در این حوزه است چراکه همواره باید وضعیت حال شبکه را بدانید و از گذشته آن اطلاع داشته باشید. اگر به مستندات دسترسی نداشته باشید ممکن است با مشکلاتی مواجه شوید که کار اصلی شما را به تعویق اندازد.

تدوین مستندات الزامی در ISMS

در تدوین مستندات الزامی سیستم مدیریت امنیت اطلاعات به دو مورد باید توجه شود اول شناسایی مستندات موردنیاز سیستم، و دوم کنترل مستندات.

در بخش اول یعنی شناسایی مستندات، لازم است به مواردی توجه شود از قبیل؛ اندازه سازمان و نوع فعالیت ها و خدمات و محصولات آن، فرآیندها و پیچیدگی فرآیندها و تعامل میان آن ها،میزان صلاحیت کارکنان در حوزه امنیتی.

و در بخش دوم یعنی کنترل مستندات باید موارد ذیل را مدنظر قرار داد:

شناسایی و تشریح عنوان، تاریخ، نویسنده و مراجع سند، فرمت آن (کاغذی یا الکترونیکی)
نحوه توزیع، دسترسی، نگهداری، استفاده مستندات و سوابق سیستم
مسئول تایید و تصویب سند
کنترل تغییرات یا ویرایش
نحوه شناسایی و کنترل مستندات برون سازمانی مرتبط با سیستم

مستندسازی یک روش اجرایی

مستند کردن یک روش اجرایی باید بر اساس یک استاندارد مشخص صورت بگیرد. در واقع محتوای یک روش اجرایی مطابق استاندارد راهنمای ISO/TR 10013 ، موارد زیر را در بر می گیرد:

صفحه جلد: باید دارای عنوانی باشد که رو اجرایی را به وضوح مشخص کند.
شرح تغییرات: تمامی تغییرات صورت گرفته باید به تشریح بیان شود.
هدف: هدف از اجرای روش صورت گرفته باید به وضوح بیان شود.
دامنه کاربرد: محدوده ای که قرار است تحت پوشش باشد و سایر محدوده ها باید مشخص گردند.
مراجع: مراجعی که در روش اجرایی مورد استفاده قرار گرفته اند، باید ذکر شود.
تعاریف یا اشاره به مستندات مرتبط: تعریف و یا اشاره به مستندات مرتبط مورد استفاده ضروریست.
مسئولیت ها و اختیارات: مسئولیت ها و اختیارات افراد و یا واحد های سازمانی و ارتباط میان آن ها که به فعالیت های روش اجرایی مرتبط است، باید مشخص گردد.
شرح روش اجرایی: میزان جزییاتی که در روش اجرایی آورده می شود معمولا می تواند بر حسب پیچیدگی فعالیت ها، روش های مورد استفاده، سطح مهارت افرادی كه فعالیت ها را انجام می دهند، متفاوت باشد. با توجه به نیاز و استاندارد باید جزییات روش اجرایی شرح داده شود.
سوابق : سوابق مربوط به فعالیت های شرح داده شده در روش اجرایی یا در سایر بخش های مرتبط، باید در این بخش شرح داده شود.
پیوست ها: پیوست های لازم در خصوص روش اجرایی صورت گرفته از قبیل فرم ها، جداول، نمودارها و … باید در این بخش گنجانده شوند.

حداقل مستندات و سوابق الزامی در ISMS

با توجه به استاندارد تعریف شده برای مستندسازی در سیستم مدیریت امنیت اطلاعات، مستندات در ISMS باید یک ساختار کامل از کیفیت و روش انجام شده با جزییات کامل را شامل شود. با اینحال یک میزان حداقلی برای مستندسازی وجود دارد که لازم است رعایت شود. این میزان حداقلی مستندات در ISMS موارد ذیل را در بر می گیرد:

دامنه ISMS ، خط مشی و اهداف امنیت اطلاعات
تشریح متد ارزیابی و برطرف سازی مخاطرات و بیانیه کاربست پذیری (SOA)
تعیین نقش ها و مسئولیت های امنیتی
خط مشی استفاده مورد انتظار از دارایی ها، خط مشی کنترل دسترسی
روش های اجرایی عملیات مدیریت IT، اصول مهندسی سیستم امن
خط مشی امنیت تامین کنندگان و پیمانکاران
روش های اجرایی مدیریت حوادث، روش های اجرایی مدیریت و تداوم کسب و کار
الزامات قانونی، آئین نامه ای و قراردادی
سوابق الزامی شامل: سوابق آموزش امنیت، صلاحیت ها، تجارب و مهارت پرسنل، نتایج اندازه گیری و پایش امنیت، نتایج بازنگری مدیریت، برنامه و نتایج ممیزی داخلی، نتایج اقدامات اصلاحی، ثبت فعالیت های کاربران و گزارش پیشامدهای امنیتی، گزارش ارزیابی و برطرف سازی مخاطرات و لیست دارایی ها.

در لیست فوق حداقل مستندات لازم آورده شده است اما با توجه به نیاز یک سازمان ممکن است مواردی به حداقل مستندات الزامی اضافه گردد که مطابق با استاندارد راهنمای ISO/TR 10013 می تواند انجام شود.

تایید و حسابرسی

((تعامل با سایر نرم‌افزارها از طریق تکنولوژی تیکتینگ یک روش حیاتی برای بهبود ارتباطات و هماهنگی در سازمان‌ ها است. از طریق استفاده از واسط‌ های برنامه‌ نویسی REST APIs، می‌توانید به سادگی اطلاعات و تیکت‌ ها را بین سیستم‌ های مختلف انتقال دهید.

با استفاده از ابزارهای اسکریپت‌نویسی پویا، می‌ توانید فرآیندهای جدیدی برای ارتباط با APIها و خدمات وب بنویسید. این قابلیت به شما اجازه می‌ دهد تا با سیستم‌ های معروف مانند Jira، Active Directory، DevOps و خدمات پیامکی (SMS Services) به صورت هماهنگ و کارآمد ارتباط برقرار کنید.

چگونه می‌توانید با ایجاد یک درخواست تغییر، فرآیند تغییر را بهبود بخشید و اطلاعات لازم را به دیگران انتقال دهید؟

در ابتدا، درخواست تغییر اولیه باید شامل جزئیات مربوط به ریسک و مراحل پیاده‌ سازی باشد. این اطلاعات می‌ تواند شامل رخدادهایی باشد که تغییر را ضروری می‌ کنند، توصیف اجرای تغییر، تاثیرات ممکن بر روی سیستم‌ های مرتبط، ارزیابی ریسک و اطلاعات تماس برای افراد مختلف درگیر در تغییر.

عناصر دیگری که ممکن است در یک درخواست تغییر مورد توجه قرار گیرند. عبارتند از یک تصویر کلی از افراد مورد نیاز برای تایید تغییر، و همچنین یک برنامه بکاپ گیری برای شرایط نامطلوب که تغییر با شکست مواجه شود.

با این روش، شما می‌ توانید فرآیند تغییر را بهبود بخشید و همکاران خود را به خوبی آماده کنید.))

هیواشبکه

خدمات ما در مجموعه هیواشبکه شامل :

شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
در خدمت شما عزیزان هستیم.

آیا این مطلب را می پسندید؟

https://hivanetwork.ir/?p=48700