0

انواع ممیزی در ISMS

323 بازدید

انواع ممیزی در ISMS

انواع ممیزی در ISMS: همانطور که در مقاله ممیزی در ISMS صحبت کردیم زمانی که یک سازمان اقدام به پیاده سازی سیستم مدیریت امنیت اطلاعات نمود، اکنون زمان آن است که این عملیات از جانب مراجع دارای صلاحیت، اعم از کارشناسان داخل سازمان یا کارشناسان معتبر مراکز صدور گواهینامه امنیتی، مورد بررسی قرار گیرد. در این بررسی موارد احتمالی عدم تطابق اقدامات انجام شده با استانداردها کشف می شود تا توسط سازمان رفع نقص گردد. به این فرآیند ممیزی گفته می شود. ممیزی دارای سه نوع مختلف می باشد که در این مقاله به انواع ممیزی در ISMS می پردازیم.

انواع ممیزی

ممیزی بر اساس سه بخش مختلف دسته بندی شده است:

  • ممیزی داخلی(شامل پیش ممیزی و ممیزی مرحله اول)
  • ممیزی خارجی
  • ممیزی نظارتی

هر کدام از انواع ممیزی در ISMS به جهت دستیابی به اهداف خاصی انجام می شوند و در این بین بجز پیش ممیزی سایر موارد الزامی می باشند. با اینکه الزامی در انجام پیش ممیزی وجود ندارد، اما به جهت آمادگی سازمان برای طی مراحل ممیزی خارجی، تاکید بر اجرای آن وجود دارد. چرا که با این کار، سازمان می تواند با هزینه کمتری ممیزی خارجی را طی کرده و موفق به اخذ گواهینامه امنیتی می گردد.

 

ممیزی داخلی

این نوع ممیزی توسط کارشناسانی در داخل سازمان به منظور بازنگری مدیریت و نیز صحت عملکرد ISMS و انجام تغییرات لازم در فرآیندها و سایر مقاصد داخلی انجام می شود. این نوع ممیزی در فواصل زمانی مشخصی که ترجیحا حداقل سالانه یک بار است، انجام می شود.

بر اساس استاندارد ISO/IEC 27001:2005 برای انجام ممیزی داخلی باید موارد زیر در نظر گرفته شود:

  • یک برنامه ممیزی داخلی باید بر اساس نتایج ممیزی قبلی و با در نظر گرفتن وضعیت و اهمیت فرآیندها و دامنه های مورد ممیزی، برنامه ریزی و اجرا گردد.
  • در یک طرح ممیزی داخلی باید معیارهای ممیزی و دامنه کاربرد و روش های ممیزی تعریف شود.
  • در انتخاب ممیزان و انجام ممیزی باید از هدفدار بودن و بی طرفی این فرآیند اطمینان حاصل شود و نیز ممیزان نباید کار خودشان را ممیزی نمایند.
  • مسئولیت ها، الزامات جهت طرح ریزی، گزارش نتایج و نیز نگهداری سوابق باید در یک روش اجرایی مدون تعریف شوند.
  • سازمان باید ممیزی داخلی سیستم مدیریت امنیت اطلاعات را در فواصل زمانی برنامه ریزی شده انجام دهد تا مشخص کند آیا سیستم مدیریت امنیت اطلاعات آن:
    • با الزامات این استاندارد انطباق دارد؟
    • با الزامات شناسایی شده انطباق دارد؟
    • بطور صحیح و کارا، استقرار یافته و نگهداری می شود؟
    • بر اساس روند مورد انتظار اجرا می شود؟
  • پس از انجام ممیزی، موارد عدم انطباق یافته شده و همچنین میزان ضرورت آن ها باید به مدیر حوزه تحت ممیزی، اطلاع داده شود.
  • مدیر حوزه تحت ممیزی باید اطمینان یاید که برطرف سازی موارد عدم انطباق، بدون هرگونه تاخیر بی مورد صورت خواهد پذیرفت.

انواع ممیزی در ISMS

ممیزی خارجی

ممیزی خارجی توسط یک مرکز گواهینامه امنیتی معتبر انجام می شود. یک سازمان با هدف اخذ گواهینامه امنیتی این ممیزی را انجام می دهد. بنابر الزاماتی که استاندارد ISO 27000 تعیین نموده است، این ممیزی باید هر سه سال یکبار انجام شود.

ممیزی نظارتی

ممیزی نظارتی همانطور که از نام آن بر می آید، وظیفه نظارت بر امور انجام شده و نحوه عملکرد سیستم مدیریت امنیت اطلاعات در سازمان را به عهده دارد. پس از پیاده سازی سیستم مدیریت امنیت اطلاعات در یک سازمان، ممیزی نظارتی باید به صورت منظم و در فواصل زمانی شش ماهه انجام شود. این ممیزی در ISMS توسط کارشناسان داخل سازمان و یا شرکت های کارگزار امنیتی انجام می شود که به این روند اقدام، برونسپاری گفته می شود.

هدف این ممیزی بررسی این امر است که:

  • آیا سیاست های امنیتی سازمان توسط سیستم اجرا می شود یا خیر.
  • آیا موارد جدید امنیتی و الزامات جدید تعیین شده توسط موسسه بین المللی استاندارد اعمال می شود یا خیر.

اقدامات لازم برای اخذ گواهی امنیتی

هدف نهایی از انجام فرآیند ممیزی، تصدیق و دریافت گواهی امنیتی می باشد. طبق یک نظرسنجی به عمل آمده توط موسسه ملی استاندارد انگلیس BSI و شرکت Admiral PLC اهداف اصلی یک سازمان از اخذ گواهی امنیتی در مورد ISMS موارد ذیل بوده است:

  • تامین امنیت سازمانی در حوزه اطلاعات
  • بهره گیری از تجارب موفق
  • استفاده از مزایای رقابتی
  • بنا به درخواست مشتریان

توجه داشته باشید که فرآیند تصدیق و فرآیند ممیزی با هم تفاوت دارند. در واقع برای دریافت تصدیق و در نهایت دریافت گواهی امنیتی، نیاز است چندین بار فرآیند ممیزی و انواع ممیزی در ISMS انجام شود.

برای دریافت گواهی نامه امنیتی لازم است مراحل فرآیند تصدیق طی شود. فرآیند تصدیق شامل ده گام می باشد که عبارتند از:

  1. پیاده سازی سیستم مدیریت امنیت اطلاعات
  2. ممیزی داخلی
  3. ثبت نام برای اخذ گواهینامه امنیتی
  4. نشست مقدماتی و بررسی مستندات
  5. پیش ممیزی
  6. ممیزی خارجی
  7. اصلاح موارد عدم تطابق
  8. ممیزی نهایی
  9. صدور گواهی
  10. ممیزی نظارتی

فرآیند کامل اخذ گواهینامه امنیتی یا به عبارت دیگر مراحل فرآیند تصدیق را در تصویر زیر مشاهده می کنید.

انواع ممیزی در ISMS

هیواشبکه

خدمات ما در مجموعه هیواشبکه شامل :

شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
در خدمت شما عزیزان هستیم.

آیا این مطلب را می پسندید؟
https://hivanetwork.ir/?p=54862
اشتراک گذاری:
مونا ارادتی
مطالب بیشتر

نظرات

0 نظر در مورد انواع ممیزی در ISMS

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

هیچ دیدگاهی نوشته نشده است.