تدوین طرح مدیریت سیستم امنیت اطلاعات

ارائه اولین استاندارد مدیریت امنیت اطلاعات در سال 1995، نگرش سیستماتیک به مقوله امنیت اطلاعات شکل گرفت. بر اساس این نگرش تامین امنیت اطلاعات در یک مجموعه سازمانی، دفعتا مقدور نمی باشد و لازم است این امر بصورت مداوم و در یک چرخه ایمن سازی شامل مراحل طراحی، پیاده سازی، ارزیابی و اصلاح، انجام گیرد. برای این منظور لازم است در هر سازمان بر اساس یک متدولوژی مشخص، ضمن تهیه طرح ها و برنامه های امنیتی مورد نیاز، تشکیلات لازم جهت ایجاد و تداوم امنیت اطلاعات خود را نیز ایجاد نماید. در حال حاضر مجموعه ای از استانداردهای مدیریتی و فنی امنیت اطلاعات و ارتباطات، ارائه شده اند که استاندارد مدیریتی BS7799 موسسه استاندارد انگلیس، استاندارد مدیریتی ISO/IEC 17799 و گزارش فنی ISO/IEC TR 13335 موسسه بین الملل استاندارد، از برجسته ترین استانداردها و راهنماهای فنی محسوب می گردند. بر مبنای مصوبه دولت، کلیه دستگاههای دولتی می بایست تا پایان سال 1390 گواهی استاندارد سیزده گانه ISMS را دریافت کرده باشند. در همین راستا شرکت توسعه گران نرم افزار آذربایجان با تشکیل گروه مشاورین امنیت اطلاعات (هايتک) تصمیم گرفته است با بهره گیری از مشاورین برجسته کشوری، دستگاههای دولتی را در پیاده سازی و اخذ این مجوز یاری رساند.


ویژگی های طرح

بخش قابل توجهی از وضعیت نامطلوب امنیت اطلاعات در سازمان ها، بواسطه فقدان یک سیستم مدیریتی امنیت اطلاعات و زیر ساخت های آن از قبیل نظام ارزیابی و مدیریت مخاطرات یا ریسک های امنیتی، خط مشی های (سیاست های) امنیت اطلاعات، نظام ارزیابی امنیتی چه در زمینه فیزیکی و چه تبادل اطلاعات، نظام پیشگیری و مقابله با حوادث فضای تبادل اطلاعات و سایر زیر ساخت های مرتبط با امنیت اطلاعات می باشد. عدم توجه به امنیت از یک سو موجب بروز اختلال در عملیات و عملکرد صحیح سازمان شده و باعث کاهش اعتبار و بهره وری آن خواهد گردید و از بعدی دیگر موجب اتلاف سرمایه های سازمان خواهد شد. لذا اهمیت امنیت اطلاعات را باید به عنوان یکی از مولفه های ساز و کار کلی توانمندسازی سازمانی به حساب آورد .


بخش های اصلی طرح پیشنهادی

فاز اول : برنامه ريزي و تعيين محدوده پروژه
- آشنائی با سازمان پیشرو
- اهداف سازمان
- اهداف سازمان در زمینه امنیت اطلاعات
- حساسیت ها و موارد خاص امنیتی در شبکه ی سازمان پیشرو
- وظایف سازمان
- ارکان سازمان
- فناوری مورد استفاده در شبکه مخابراتی و داده ای سازمان پیشرو
- کلیات طرح برنامه امنیت سازمان
- قلمرو تشکیلاتی و پرسنلی
- چارت سازمانی مصوب
- قلمرو فناورانه و منطقی
- قلمرو فیزیکی
- استاندارد مرجع
- قراداد یا تفاهم نامه عدم افشای اطلاعات یا NDA


روش اجرا


- مقدمات ISMS ( شناخت )
- شناسائی و دسته بندی دارائی های سازمان
- تدوین طرح ارزیابی مخاطرات
- انجام ارزیابی مخاطرات و ارائه گزارش ارزیابی مخاطرات
- شناسائی تهدیدات
- شناسائی آسیب پذیری ها
- شناسائی و تحلیل کنترل های موجود
- تعیین احتمال بهره گیری از آسیب پذیری ها
- آنالیز ضربه
- تعیین مخاطره
- تدوین مدیریت گذار از وضعیت فعلی به وضعیت مطلوب
- پیشنهاد ساختار و شرح وظایف تشکیلات امنیت و سیاست های امنیت اطلاعات
- انتخاب کنترل ها و اهداف کنترلی
- ارائه طرح مقابله با مخاطرات
- خرید تجهیزات
- طرح مدیریت بحران (DISASTER RECOVERY PLAN)
- پیاده سازی طرح مقابله با مخاطرات ارزیابی، مخاطرات توسط تیم سازمان
- آموزش تیم مدیریت امنیت سازمان
- آماده سازی و پیش ممیزی سازمان برای اخذ گواهینامه ی امنیت سازمانی
- طرح خدمات پشتیبانی سیستم مدیریت امنیت اطلاعات
- ارائه فرهنگنامه لغات و اصطلاحات امنیتی مورد استفاده در تهیه این طرح
- خروجی ها
- نحوه کنترل پروژه
- شرایط ارزیابی پیشنهادات
- شاخص های ارزیابی


استاندارد کاری

استاندارد کاری : ISO 27001