0

درک نیازها و تعیین دامنه در ISMS

360 بازدید
درک نیازها و تعیین دامنه در ISMS

درک نیازها و تعیین دامنه در ISMS

درک نیازها و تعیین دامنه در ISMS: همانطور که قبلا هم بیان شد سیستم مدیریت امنیت اطلاعات راهکاری است که برای امنیت بیشتر در یک سازمان اجرا می شود. برای اجرای درست و اصولی از یک استاندارد کلی به نام ISO 27000 و نیز استاندارد BS7799 و گزارش فنی ISO/TR 13335 استفاده می شود. از آنجا که گزارش فنی ISO/TR 13335 دارای استانداردهای سری ISO 27000 نیست، بهتر از استاندارد ISO 27001 به عنوان مرجع برای پیاده سازی ISMS استفاده شود و از گزارش فنی ISO/TR 13335 به عنوان راهنمای فنی استفاده گردد.

گام اول از درک نیازها و تعیین دامنه در ISMS

اولین گام در طراحی و پیاده سازی ISMS در یک سازمان، درک نیازهای آن سامان است. برای این کار سازمان می بایست دو مورد مهم را مشخص کند؛  اول باید تعیین کند طرف های ذینفع مرتبط با سیستم مدیریت امنیت اطلاعات چه کسانی هستند و دوم باید مشخص کند که انتظارات و نیازهای ذینفعان که مرتبط با امنیت اطلاعات می باشد، شامل چه مواردی است. در واقع یک سازمان باید مشخص کند هدفش از پیاده سازی ISMS چیست و درنظر دارد به چه مقاصدی برسد. بنابراین باید یک لیست تهیه کنید از نیازمندی های آن سازمان. بر این اساس شما باید شروع به طراحی یک Plan کنید و در هر مرحله آن را کامل تر کنید.

نکته ای که در اینجا بسیار حائز اهمیت است، اینست که الزامات طرفهای ذینفع باید شامل الزامات قانونی، آئین نامه ای و قراردادی باشد.

گام دوم در درک نیازها و تعیین دامنه در ISMS

درک نیازها و تعیین دامنه در ISMS

پس از اینکه نیازهای یک سازمان تعیین شد، باید به سراغ تعیین دامنه و محدوده ISMS بروید. این گام مهمترین و حساس ترین گام در فرآیند پیاده سازی ISMS است. امنیت مانند بسیاری از امور دیگر یک امر نسبی است و هیچ گاه نمی توان ادعا کرد در محیطی صددرصد امنیت برقرار است. در نتیجه سیستم مدیریت امنیت اطلاعات نیز نمی تواند در همه زمینه ها حضور یافته و پوشش امنیتی لازم را برقرار کند. یکی از دلایل این امر هزینه بالایی است که فرآیند برپایی و اجرایی ISMS بر دست یک سازمان می گذارد. بنابراین باید اولویت ها را درنظر گرفت.

در یک سازمان، مخصوصا سازمان های بزرگ بخش های مختلفی وجود دارد که با موضوع امنیت اطلاعات در ارتباطند اما ممکن است یک بخش و یا چند بخش خاص در اولویت برای اقدام تامین امنیت اطلاعات قرار داشته باشند. به عنوان مثال شاید در یک سازمان امنیت سیستم های نرم افزاری در اولویت قرار بگیرد و امنیت شبکه و بسترهای ارتباطی در اولویت دوم قرار داشته باشد. بنابراین محدوده عمل و دامنه ISMS در همان چارچوب موردنظر خواهد بود و بر اساس همان محدوده، طرح ها و برنامه های امنیتی اجرا می شود. تعیین دامنه بر اساس یکسری ویژگی ها مورد سنجش قرار میگیرد که این ویژگی ها عبارتند از :

  • ویژگی های کسب و کار
  • سازمان
  • مکان
  • دارایی ها
  • فناوری و سطح تکنولوژی

تعیین مرزهای دامنه

پس از مشخص شدن محدوده و دامنه موردنظر باید مرزهای سیستم هم مشخص گردند که برای تعیین مرزهای سیستم لازم است یکسری موارد لحاظ شوند. این موارد عبارتند از:

  • ارتباطات درون سازمانی با سایر واحدها
  • ارتباطات خارجی با شرکای تجاری
  • ارتباط از راه دور با کارکنان Off-site
  • شبکه های مشتریان
  • زنجیره های تامین
  • قراردادها، قراردادهای برونسپاری شده
  • دسترسی اشخاص ثالث

در جدول زیر نمونه ای از یک دامنه تعیین شده برای پیاده سازی ISMS را مشاهده می کنید.

دامنه تامین امنیت سرویس پرداخت و ردیابی آنلاین (OTPS)
مکان ایران، تهران، خیابان شهید بهشتی، پلاک 270، طبقه 3، واحد 4
نوع کسب و کار ارائه خدمات پستی
واحدهای داخل دامنه واحدهای توسعه نرم افزار، IT و مدیریت
سیستم های IT مورد استفاده
  • سیستم های کامپیوتری
  • سیستم های اطلاعاتی
  • تجهیزات و نرم افزارهای ارتباطی
  • ابزارهای ذخیره سازی
  • مستندات و نرم افزارهای سیستمی (مانند سیستم عامل هاو …)
  • فرآیندها و مستندات
  • تجهیزات فیزیکی
  • منابع انسانی
فناوری های مورد استفاده خدمات اینترنتی
واحدهای خارج دامنه واحد فروش

معمولا حوزه عمل سیستم مدیریت امنیت اطلاعات بر سه محور کلی بنا نهاده می شود. این سه محور مهم عبارتند از:

  • سایت های فیزیکی در سازمان
  • واحدهای عملیاتی و اجرایی مانند واحد فناوری اطلاعات یا واحد منابع انسانی
  • سیستم های سازمان به ویژه سیستم های کامپیوتری

برای دستیابی به این هدف باید فهرستی از دارایی های اطلاعاتی سازمان در هر سه محور تعیین شود و آن بخش از دارایی ها که حفاظت از آنها موردنظر است، به دقت تعیین گردد و دارایی های کم اهمیت نیز برای سازمان مشخص شوند. در مقاله دارایی ها در ISMS به طور کامل در مورد دارایی ها و انواع دارایی صحبت شده است. پس از شناخت دارایی ها و طبقه بندی آن باید به شناخت مخاطرات و تهدیدات یک دارایی پرداخت.

 

 

هیواشبکه

خدمات ما در مجموعه هیواشبکه شامل :

شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
در خدمت شما عزیزان هستیم.

آیا این مطلب را می پسندید؟
https://hivanetwork.ir/?p=39380
اشتراک گذاری:
مونا ارادتی
مطالب بیشتر
برچسب ها:

نظرات

0 نظر در مورد درک نیازها و تعیین دامنه در ISMS

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

هیچ دیدگاهی نوشته نشده است.