خرداد 10, 1405
فروشگاه هیواشبکه
 سبد خرید 0  ورود / ثبت نام
فروشگاه هیواشبکه
فروشگاه هیواشبکه
 ورود / ثبت نام
0

راهنمای تعیین دامنه ISMS

73 بازدید
دسته بندی: امنیت منتشر شده در اسفند 25, 1404 نویسنده: مونا محبوب زمان مطالعه: 10 دقیقه 0 نظر به روز شده در اسفند 25, 1404
تعیین دامنه ISMS

راهنمای تعیین دامنه ISMS

با توجه به چارچوب تعیین شده در استاندارد 27001:2013 ISO ، سازمان‌ها مکلف‌اند مناسب‌ترین دامنه را جهت استقرار سیستم مدیریت امنیت اطلاعات تحلیل و تعیین نمایند. در این نسخه از استاندارد توصیه شده است سازمان مطالعات لازم را بر پایه دو عامل درک سازمان و بافتار آن و شناسایی انتظارات و نیازهای طرف‌های ذی‌نفع، انجام داده و از برآیند این دو عامل و ضمن رعایت اصل اولویت‌بندی، دامنه (ISMS) استقرار سیستم مدیریت امنیت اطلاعات را تعیین نمایند. به عبارتی، اصل بر توجیه‌پذیری محدوده سیستم مدیریت امنیت اطلاعات بوده و نیاز است سازمان دلایل کافی برای انتخاب محدوده پیشنهادی خود گردآوری نموده باشد.

همچنین در نظر داشته باشید که در بسیاری از موارد دلیل عدم اثربخشی و توجیه ناپذیر بودن استقرار سیستم‌های مدیریتی بدلیل انتخاب محدوده نامناسب استقرار سیستم است. عدم حمایت مدیریت ارشد، مقرون به صرفه نبودن تأمین منابع جهت استمرار سیستم‌های مدیریتی و مشکلاتی از این دست عموماً بدلیل عدم توجه به نیاز واقعی کسب‌وکار به موضوع امنیت اطلاعات بدلیل عدم مطالعات صحیح در محدوده استقرار سیستم و در نتیجه انتخاب حوزه‌های فاقد اولویت به عنوان دامنه (ISMS) استقرار سیستم برای سال‌های متمادی رخ می‌دهد.

از این رو این مقاله با تفسیر الزامات 27001:2013 ISO به عنوان راهنمای تعیین دامنه ISMS برای سازمان‌ها تدوین شده است و لازم است کارفرمایان، پیش از شروع اجرای پروژه‌های استقرار سیستم مدیریت امنیت اطلاعات و به‌ کارگیری مجریان صاحب صلاحیت و برای تعیین مناسب‌ترین دامنه و نیز تعیین حجم فعالیت‌های مورد نیاز توسط مجری، متناسب با سازمان خود، جداول مورد نیاز را طبق محتوای این مقاله تهیه نمایند.

فهرست مطالب

درک سازمان و بافتار آن

سازمان میبایست باتوجه به نیازهای درونی و ماهیت کسب‌وکار خود مبادرت به امکان سنجی استقرار سیستم مدیریت امنیت اطلاعات نماید. از آنجا که اساساً نیاز به امنیت اطلاعات و تحقق آن برای تمامی ارکان سازمان یکسان نیست، میبایست با تدوین یک مدل کاربردی، سازمان را به بخش‌های کوچک‌تری تقسیم کرده و دستاورد و تأثیر مثبت امنیت اطلاعات را در هر بخش مقداردهی نمود.برای تقسیم بندی سازمان به اجزاء کوچک‌تر مدل‌های بسیاری وجود دارد:

  • می‌توان سازمان را بر اساس فرآیندهای کسب‌وکاری بخش بندی نمود؛ به طور مثال :
  1. فرآیند تولید
  2. فرآیند برنامه ریزی
  3. فرآیند خرید
  4. فرآیند مدیریت مالی و غیره
  •  در شرایطی که سازمان الگویی حداقلی برای شناسایی و تفکیک فرآیندهای خود نداشته باشد، چارت سازمانی و یا گروه‌های مختلف کاری می‌تواند الگویی برای کوچک‌سازی سازمان باشد.
  •  در برخی دیگر از موارد، موقعیت‌های جغرافیایی و مکان‌های فیزیکی روشی برای بخش‌ بندی سازمان است؛ این روش در مواردی که سازمان ابعاد بزرگی داشته و دارای سایت‌های متعددی است می‌تواند روش مناسبی باشد.

در این رابطه لازم است جدول زیر برای افراز سازمان به بخش‌های کوچک‌تر تکمیل گردد:

ردیف

عنوان

فرآیند/دپارتمان/گروه

توضیح اثرگذاری بر کسب‌و‌کار و اهداف سازمان

ارتباط با سایر

فرآیند‌ها/دپارتمان‌ها/گروه‌ها

1  
  •  
  •  
2  
  •  
  •  

در صورت نیاز (در سازمان‌های بزرگ و پیچیده) می‌توان افراز سازمان را در دو یا چند مرحله متوالی انجام داد به این ترتیب که فرآیند/دپارتمان/گروه انتخاب شده در مرحله اول اجرای این راهنما، خود در مرحله بعد به زیر فرآیندها یا زیرمجموعه‌ها مجددا تقسیم گردد.

پس از آنکه بر اساس مدل مورد نظر، سازمان به بخش‌های کوچک‌تری تقسیم شد، نیاز است بافتار (زمینه) داخلی و خارجی تأثیر گذار بر سیستم مدیریت امنیت اطلاعات شناسایی شوند.

شناسایی بافتار داخلی و خارجی در زمینه امنیت اطلاعات به معنی شناسایی عواملی در محیط داخلی و خارجی است که بتواند دلیل و ضرورتی بر استقرار سیستم مدیریت امنیت اطلاعات باشد؛ در واقع محیط داخلی و خارجی است که سازمان در آن به دنبال نیل به اهداف خود است. عوامل خارجی یا محیطی، مواردی هستند که خارج از کنترل سازمان قرار دارند و عوامل داخلی مواردی هستند که تحت کنترل سازمان قرار دارند. این عوامل صرف‌نظر از داخلی یا خارجی بودن میبایست بر امنیت اطلاعات یا نحوه مدیریت امنیت اطلاعات اثر گذار بوده و نیز به اهداف سازمان مرتبط باشند. برخی از انواع این عوامل شامل:

عوامل داخلی :

  • فرهنگ سازمان
  • خط‌مشی‌ها، اهداف و راهبرد‌های نیل به آن‌ها
  • راهبری سازمان، ساختار سازمانی، نقش‌ها و مسئولیت‌ها
  • استاندارد‌ها و مدل‌هایی که در سازمان پیاده شده است(مانند سیستم های مدیریتی دیگر)
  • روابط قراردادی که بر انتخاب دامنه ISMS اثر گذار باشد
  • فرایند‌ها و رویه‌ها
  • توانمندی‌ها شامل منابع و دانش
  • زیر ساخت فیزیکی و محیطی
  • سامانه‌های اطلاعاتی و جریان اطلاعات و فرآیند‌های تصمیم‌گیری
  • نتایج ممیزی‌های قبلی و یا ارزیابی مخاطرات قبلی (در صورت وجود)

عوامل خارجی و محیطی :

  • اجتماعی و فرهنگی
  • سیاسی، حقوقی، قانونی و مقرراتی
  • مالی و اقتصاد کلان
  • فناوری
  • طبیعی
  • رقابتی

برای درک بیشتر، در ادامه مثال‌هایی از تاثیر این عوامل بر امنیت اطلاعات یا نحوه مدیریت امنیت اطلاعات و نیز به اهداف سازمان ارائه شده است:

عوامل داخلی :

  • محافظت از دانش فنی سازمان (شرکت) در برابر سوء‌استفاده و کپی برداری‌های غیرمجاز
  • حفاظت از اطلاعات مربوط به فروش محصولات و خدمات سازمان که در صورت افشاء می‌تواند تأثیرات مخربی بر کسب و کار سازمان به دنبال داشته باشد
  • ایجاد پایداری حداکثری برای سرویس‌ها و سامانه‌های اطلاعاتی که می‌توانند منجر به توقف خط تولید محصول شوند
  • حفظ صحت پردازش اطلاعات در بخش‌هایی که می‌تواند منجر به اتخاذ تصمیمات حساس و راهبری سازمان شوند

عوامل خارجی :

  • افزایش حملات سایبری که می‌تواند منجر به توقف در فرآیندهای کسب‌وکار و یا آسیب به سرمایه‌های اطلاعاتی سازمان شود
  • توسعه و فراگیری شبکه‌های اجتماعی و امکان افشاء اطلاعات محرمانه سازمان در این بستر
  • توانمندی رقبا در به‌کارگیری پایدار سرویس‌های فناوری اطلاعات در پشتیبانی از محصولات و خدمات
  • توسعه فناوری اطلاعات و نیاز به ارائه برخی از سرویس‌ها به مشتریان سازمان برروی بسترهای الکترونیک بدون نیاز به مراجعه حضوری

نکته بعدی در خصوص شناسایی عوامل داخلی و خارجی این است که برخی از این عوامل تأثیری بر ضرورت و دلیل استقرار سیستم مدیریت امنیت اطلاعات نداشته بلکه یک عامل تأثیر گذار بر توانایی سازمان در دستیابی به اهداف خود از استقرار سیستم مدیریت امنیت اطلاعات به شمار می‌آید.(شناسایی و تحت کنترل قرار دادن این فاکتورها در ادامه منبع مناسبی برای شناسایی ریسک‌ها و فرصت‌های سیستم مدیریت امنیت اطلاعات مشروح در بند 6.1.1 استاندارد به شمار می‌رود.) مثال‌هایی از این دسته از عوامل عبارتند از:

عوامل داخلی :

  • تغییرات مداوم در لایه مدیریت ارشد سازمان (اثر منفی)
  • عدم آگاهی لازم و کافی مدیران ارشد نسبت به ضرورت محافظت از دارایی‌های اطلاعاتی (اثر منفی)
  • امکانات زیر ساختی مناسب جهت برگزاری دوره‌های آموزشی و آگاهی‌رسانی به کاربران و پرسنل سازمان (اثر مثبت)

عوامل خارجی :

  • تحریم و عدم امکان تهیه برخی از تجهیزات و لایسنس‌ها (اثر منفی)
  • نواسانات نرخ ارز و اختلاف میان بودجه پیش بینی شده و هزینه روز تجهیزات امنیتی (اثر منفی)
  • توانمندی‌های شرکت‌های داخلی در بومی سازی و تولید برخی تجهیزات و ادوات امنیت اطلاعات (اثر مثبت)

برای ثبت مجموعه عوامل داخلی و خارجی اثرگذار بر سیستم مدیریت امنیت اطلاعات بر مبنای توضیحات فوق لازم است جدول زیر تکمیل گردد. در این جدول میزان اهمیت یا اثر عامل می‌تواند با اعداد 1 و 2 (برای اثرات مثبت) و 1 – و 2 – (برای اثرات منفی) تکمیل گردد.

ردیفتوضیح عامل اثر گذار داخلی/خارجیضرورت/تواناییاثر مثبت یا منفیمیزان اهمیت یا اثر عامل
1     
2     

شناسایی نیازها و انتظارات ذی‌نفعان

دراین مرحله نیاز است سازمان به تحلیل و شناسایی دقیق آنچه ذی‌نفعان در حوزه امنیت اطلاعات از سازمان انتظار دارند، بپردازد. برای اینکار ابتدا باید تمامی ذی‌نفعان این بخش به خوبی شناسایی شوند. منظور از ذی‌نفعان، موجودیت‌های حقیقی و حقوقی پیرامونی سازمان هستند که سازمان در فضای پویای کسب‌وکار خود با ایشان در ارتباط بوده و بر امنیت اطلاعات سازمان اثرگذار و یا از آن تأثیرپذیر هستند و در نتیجه نیاز است الزامات و انتظارات ایشان به درستی شناسایی و اجرایی شود.

ذی‌نفعان شامل و نه محدود به موارد زیر می‌باشد:

  • مشتریان
  • تأمین کنندگان
  • شرکای تجاری
  • هولدینگ‌ها و مجموعه‌های بالا دستی
  • شرکت‌های تابعه
  • مراجع قانونی و حاکمیتی
  • نهاد‌های صنفی
  • نهاد‌های اجتماعی و مدنی

در گام بعدی باید انتظارات و نیازهایی که هر یک از این ذی‌نفعان در حوزه امنیت اطلاعات از سازمان دارند به دقت و به‌صورت شفاف شناسایی شود. دقت نمایید در این بخش صرفاً باید انتظارات حوزه امنیت اطلاعات ذی‌نفعان را شناسایی شوند. در زیر مثال‌هایی از برخی ذی‌نفعان و انتظارات و نیازهای ایشان در حوزه امنیت اطلاعات ذکر شده است:

تامین کنندگان:

  • رعایت حقوق دارایی معنوی و محافظت از حریم خصوصی اطلاعات

مشتریان:

  • محافظت از حریم خصوصی اطلاعات
  • دریافت سرویس‌های اطلاعاتی پایدار، به‌روز، ایمن و صحیح برروی پرتال اطلاع‌ رسانی

راهبردی افتای ریاست جمهوری:

  • استقرار سیستم مدیریت امنیت اطلاعات
  • دریافت خدمات حوزه افتا از شرکت‌های دارای پروانه فعالیت این بخش

سهامداران:

  • محافظت از تمامی دارایی‌ها و سرمایه‌های اطلاعاتی سازمان
  • محافظت از حسن شهرت سازمان (شرکت) و جلوگیری از بروز تهدیداتی که می‌تواند تأثیر منفی بر اعتماد مشتریان داشته باشد.

یک روش مناسب برای مدل‌سازی این بخش امتیازدهی به ذی‌نفعان و انتخاب ضریب اهمیت برای انتظارات ایشان است. به طور مثال سازمان می‌تواند مشتریان خود را در مقایسه با تأمین کنندگان از امتیاز بالاتری برخوردار نماید. به طور معمول برای تعیین اهمیت ذی‌نفعان از ترکیب معیار میزان انگیزه یا علاقه‌مندی ذی‌نفع به موضوع (در اینجا امنیت اطلاعات) در کنار معیار توانایی اثرگذاری یا قدرت ذی‌نفع استفاده میگردد؛ به گونه‌ای که ذی‌نفعانی با بیشترین علاقه‌مندی و بیشترین توانایی اثرگذاری بالاترین اهمیت را دارا خواهند بود و کمترین اهمیت به ذی‌نفعانی با حداقل علاقه‌مندی و حداقل اثرگذاری تعلق می‌گیرد. توصیه می‌شود میزان اهمیت ذی‌نفعان از بین اعداد 2 (اهمیت زیاد)، 1 (اهمیت متوسط) و 0.5 (اهمیت کم) در جدول زیر اختصاص داده شود؛ همچنین چنانچه انتظار یا نیازی از ذی‌نفعان با پیاده‌سازی ISMS در تناقض قرار می‌گیرد با اعداد منفی مشخص شود.

عنوان ذی‌نفعمیزان اهمیت ذی‌نفع

انتظاراتو نیاز‌های مرتبط با

امنیت اطلاعات

میزان اهمیت یا اثر

انتظار/نیاز

    
    
    
    

جمع بندی یافته‌ها و تعیین دامنه ISMS

با توجه به اطلاعات جمع‌آوری شده در گام‌های فوق، در این مرحله با تحلیل و نگاشت عوامل داخلی و خارجی شناسایی شده و همچنین انتظارات و نیازمندی‌های شناسایی شده ذی‌نفعان به بخش‌ها یا فرآیندهای سازمان، اولویت و امتیاز هر بخش برای قرارگیری در دامنه ISMS شناسایی می‌شود.

نیاز است با یک مطالعه تطبیقی، مؤثر بودن هر یک از عوامل داخلی و خارجی با بخش‌ها یا فرآیندهایی که شناسایی شده‌اند بررسی و امتیازدهی شود. بدیهی است که فرآیندها و بخش‌هایی که با عوامل از نوع ضرورت یا عوامل از نوع توانایی مثبت بیشتری مرتبط شوند از اولویت بالاتری برای قرارگیری در دامنه برخوردار خواهند بود.

همچنین باید انتظارات و الزامات گردآوری شده با مدل تفکیک سازمان به بخش‌های کوچک‌تر مطابقت داده شده و اثرگذاری هر یک از این انتظارات و الزامات بر بخش‌های سازمان تعیین شود. پر واضح است بخش‌هایی که در تناظر با الزامات بیشتری از ذی‌نفعان قرار دارند و با نیازمندی‌های کمتری در تعارض قرار می‌گیرند از اهمیت بیشتری برای ورود به دامنه، برخوردارند.

با در نظر گرفتن نتایج حاصل از گام اول و گام دوم، تمامی بخش‌های تفکیک شده سازمان را هم از منظر عوامل داخلی و خارجی و هم از منظر انتظارات ذی‌نفعان تحلیل و امتیازدهی شده‌اند و کافی است بخش‌های با امتیاز بالاتر را گزینش نموده و در دامنه سیستم مدیریت امنیت اطلاعات برای شروع بگنجانید.

توجه نمایید که هدف کلی در این حوزه اولویت‌بندی در احراز بخش‌های سازمان در دامنه سیستم است. در حقیقت مقوله امنیت اطلاعات همواره برای تمامی بخش‌ها و ارکان سازمان مؤثر و مفید است و به‌ دلیل محدودیت در منابع، سازمان‌ها به اجبار استقرار سیستم را از بخش‌های پراهمیت‌تر آغاز می‌نمایند. لذا این امکان وجود دارد که در نتایج مطالعات انجام گرفته هیچ بخشی از سازمان یافت نشود که امتیازی از امنیت اطلاعات نگرفته باشد؛ بلکه هدف تعیین یک سازوکار منطقی برای تعیین اولویت‌های زمانی و منابعی جهت ارتقا امنیت اطلاعات سازمان است. رویکرد مناسب در این خصوص، تدوین یک برنامه زمانی میان مدت (به طور مثال 5 ساله) جهت گسترش دامنه  ISMS از محدوده اولیه به کل ارکان سازمان است.

هیواشبکه

خدمات ما در مجموعه هیواشبکه شامل :

شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2025 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور

آیا این مطلب را می پسندید؟
2
https://hivanetwork.ir/?p=88469
اشتراک گذاری:
واتساپتوییترفیسبوکپینترستلینکدین
مونا محبوب
مطالب بیشتر
برچسب ها:

حتما مطالب زیر را بخوانید

نظرات

0 نظر در مورد راهنمای تعیین دامنه ISMS

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

هیچ دیدگاهی نوشته نشده است.