درک نیازها و تعیین دامنه در ISMS

درک نیازها و تعیین دامنه در ISMS

همانطور که در مقاله‌ی مقدمه ای بر امنیت اطلاعات بیان شد سیستم مدیریت امنیت اطلاعات راهکاری است که برای امنیت بیشتر در یک سازمان اجرا می شود. برای اجرای درست و اصولی از یک استاندارد کلی به نام ISO 27000 و نیز استاندارد BS7799 و گزارش فنی ISO/TR 13335 استفاده می شود. از آنجا که گزارش فنی ISO/TR 13335 دارای استانداردهای سری ISO 27000 نیست، بهتر از استاندارد ISO 27001 به عنوان مرجع برای پیاده سازی ISMS استفاده شود و از گزارش فنی ISO/TR 13335 به عنوان راهنمای فنی استفاده گردد.

گام اول از درک نیازها و تعیین دامنه در ISMS

اولین گام در طراحی و پیاده سازی ISMS در یک سازمان، درک نیازهای آن سازمان است. برای این کار سازمان می بایست دو مورد مهم را مشخص کند؛  اول باید تعیین کند طرف های ذینفع مرتبط با سیستم مدیریت امنیت اطلاعات چه کسانی هستند و دوم باید مشخص کند که انتظارات و نیازهای ذینفعان که مرتبط با امنیت اطلاعات می باشد، شامل چه مواردی است. در واقع یک سازمان باید مشخص کند هدفش از پیاده سازی ISMS چیست و درنظر دارد به چه مقاصدی برسد. بنابراین باید یک لیست تهیه کنید از نیازمندی های آن سازمان. بر این اساس شما باید شروع به طراحی یک Plan کنید و در هر مرحله آن را کامل تر کنید.

نکته ای که در اینجا بسیار حائز اهمیت است، این است که الزامات طرف های ذینفع باید شامل الزامات قانونی، آیین نامه ای و قراردادی باشد.

گام دوم در درک نیازها و تعیین دامنه در ISMS

پس از اینکه نیازهای یک سازمان تعیین شد، باید به سراغ تعیین دامنه و محدوده ISMS بروید. این گام مهم ترین و حساس ترین گام در فرآیند پیاده سازی ISMS است. امنیت مانند بسیاری از امور دیگر یک امر نسبی است و هیچ گاه نمی توان ادعا کرد در محیطی صددرصد امنیت برقرار است. در نتیجه سیستم مدیریت امنیت اطلاعات نیز نمی تواند در همه زمینه ها حضور یافته و پوشش امنیتی لازم را برقرار کند. یکی از دلایل این امر هزینه بالایی است که فرآیند برپایی و اجرایی ISMS برای یک سازمان به بار می آورد. بنابراین باید اولویت ها را درنظر گرفت.

در یک سازمان، مخصوصا سازمان های بزرگ بخش های مختلفی وجود دارد که با موضوع امنیت اطلاعات در ارتباط اند اما ممکن است یک یا چند بخش خاص در اولویت برای اقدام تامین امنیت اطلاعات قرار داشته باشند. به عنوان مثال شاید در یک سازمان امنیت سیستم های نرم افزاری در اولویت قرار بگیرد و امنیت شبکه و بسترهای ارتباطی در اولویت دوم قرار داشته باشد. بنابراین محدوده عمل و دامنه ISMS در همان چهارچوب مورد نظر خواهد بود و بر اساس همان محدوده، طرح ها و برنامه های امنیتی اجرا می شود. تعیین دامنه بر اساس یک سری ویژگی ها مورد سنجش قرار میگیرد که این ویژگی ها عبارتند از :

• ویژگی های کسب و کار
• سازمان
• مکان
• دارایی ها
• فناوری و سطح تکنولوژی

تعیین مرزهای دامنه

پس از مشخص شدن محدوده و دامنه موردنظر باید مرزهای سیستم هم مشخص گردند که برای تعیین مرزهای سیستم لازم است یک سری موارد لحاظ شوند. این موارد عبارتند از:

• ارتباطات درون سازمانی با سایر واحدها
• ارتباطات خارجی با شرکای تجاری
• ارتباط از راه دور با کارکنان Off-site
• شبکه های مشتریان
• زنجیره های تامین
• قراردادها، قراردادهای برونسپاری شده
• دسترسی اشخاص ثالث

در جدول زیر نمونه ای از یک دامنه تعیین شده برای پیاده سازی ISMS را مشاهده می کنید.

معمولا حوزه عمل سیستم مدیریت امنیت اطلاعات بر سه محور کلی بنا نهاده می شود. این سه محور مهم عبارتند از:

• سایت های فیزیکی در سازمان
• واحدهای عملیاتی و اجرایی مانند واحد فناوری اطلاعات یا واحد منابع انسانی
• سیستم های سازمان به ویژه سیستم های کامپیوتری

برای دستیابی به این هدف باید فهرستی از دارایی های اطلاعاتی سازمان در هر سه محور تعیین شود و آن بخش از دارایی ها که حفاظت از آنها موردنظر است، به دقت تعیین گردد و دارایی های کم اهمیت نیز برای سازمان مشخص شوند. در مقاله دارایی ها در ISMS به طور کامل در مورد دارایی ها و انواع دارایی صحبت شده است. پس از شناخت دارایی ها و طبقه بندی آن باید به شناخت مخاطرات و تهدیدات یک دارایی پرداخت.

هیواشبکه

خدمات ما در مجموعه هیواشبکه شامل :

شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2022 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
در خدمت شما عزیزان هستیم.