نحوه شناسایی و تعیین محدوده پیاده سازی ISMS

تعیین محدوده ISMS
سیستم مدیریت امنیت اطلاعات برگرفته شده از استاندارد بین المللی ISO/IEC 27001، ابزاری است برای شناسایی، مدیریت و به حداقل رساندن احتمال وقوع تهدیدات عمدی و غیرعمدی، که امروزه سازمان‌ها با آن‌ها مواجه هستند. فارغ از این‌که شما از چه رویکردی در پیاده‌سازی سیستم مدیریت امنیت اطلاعات استفاده می‌نمایید، لازم است در ابتدای پیاده‌سازی این سیستم اقدام به تعیین محدوده پیاده‌سازی سیستم مدیریت امنیت اطلاعات نمایید.
در سیستم مدیریت امنیت اطلاعات، شناخت فضای سازمان موضوعی بود که در نسخ قبلی استاندارد به آن توجه نشده بود؛ اما در نسخه 2013 به‌عنوان یک الزام به آن اشاره شده است. که باید مأموریت سازمان، ساختار سازمانی، شرح وظایف کلان و ... مستند شود. علت این امر تأکید بر هم‌سوسازی امنیت اطلاعات با مأموریت سازمان می‌باشد.

اندازه و گستره محدوده پیاده‌سازی ISMS
هر سازمان و شرکت با توجه به نوع و ماهیت کاری دارای ابعاد و اندازه‌های مختلفی می‌باشد. برخی از سازمان‌ها و شرکت‌های دولتی و خصوصی ممکن است دارای تعداد زیادی ساختمان (از بعد فیزیکی)، بیش از 100 نفر کارمند (از بعد پرسنلی)، تعداد زیادی سرور و انواع تجهیزات شبکه‌ای و سخت‌افزاری (از بعد تکنولوژیکی) و همچنین از لحاظ ساختار سازمانی گسترده و دارای مجموعه زیادی از فعالیت‌ها، فرآیندها و سرویس های سازمانی باشد. این نوع سازمان‌ها معمولاً در اندازه متوسط و بزرگ در نظر گرفته می‌شوند و سایر سازمان‌ها و شرکت‌ها ممکن است نسبت به هر یک از ابعاد مطرح‌شده بزرگ‌تر یا کوچک‌تر باشند، که می‌توان به‌طورکلی اندازه سازمان را در مقایسه با سایر شرکت‌های هم‌زمینه، تخمین نمود. لذا تعیین اندازه و وسعت محدوده پیاده‌سازی سیستم مدیریت امنیت اطلاعات با توجه به اندازه و بزرگی سازمان بسیار مهم است.

مراحل تعیین محدوده ISMS
انتخاب بهینه محدوده اولیه: محدوده اولیه سیستم مدیریت امنیت اطلاعات باید به نحوی انتخاب گردد که با توجه به دانش، تجربه، مهارت و امکانات موجود به‌سادگی قابل پیاده‌سازی باشد و حداکثر منافع مورد انتظار را حاصل نماید.
گسترش محدوده سیستم مدیریت امنیت اطلاعات: سیستم مدیریت امنیت اطلاعات علی‌رغم آن‌که به‌صورت پروژه تعریف می‌شود، یک فعالیت مقطعی و کوتاه‌مدت نیست، بلکه به‌عنوان یک سیستم مدیریتی می‌بایست به‌صورت دائم و پیوسته در سازمان جاری و در بازه‌های زمانی مشخص مورد بازنگری و بهبود قرار گیرد. یکی از موارد بازنگری در سیستم مدیریت امنیت اطلاعات، بازنگری محدوده و در صورت نیاز گسترش آن می‌باشد. گسترش محدوده سیستم مدیریت امنیت اطلاعات یکی از اهداف مدیران جهت در نظر گرفتن حداکثر تعداد دارایی‌های اطلاعاتی و ریسک‌های ناشی از آن‌ها می‌باشد. هم‌چنین می‌توان خیلی از فرآیندهای سازمانی را تحت پوشش گرفت و فرآیندهای تدوین‌شده در سیستم مدیریت امنیت اطلاعات را به سایر بخش‌های سازمان نیز تسری داد.
تعریف محدوده ISMS: محدوده استقرار سیستم مدیریت امنیت اطلاعات در سندی تحت عنوان سند بیانیه محدوده تعریف می‌گردد. پس از شناخت فضای سازمان و تعیین ضرورت محافظت از المان‌های امنیت اطلاعات در بخش‌های مختلف با توجه به مأموریت سازمان، می‌بایست محدوده استقرار سیستم مدیریت امنیت اطلاعات تعریف گردد. این محدوده از چهار منظر تعریف می‌شود:

محدوده فرآیندی و سرویس‌ها
محدوده فیزیکی و محیطی
محدوده پرسنلی و ذینفعان
محدوده تکنولوژیکی و تجهیزات

محدوده فرآیندی و سرویس‌ها: در این بخش تعیین می شود که فرآیندها و خدمات کدام واحدهای سازمانی در محدوده استقرار سیستم مدیریت امنیت اطلاعات قرار دارند. معمولا برای شروع در سازمان‌های متوسط و بزرگ، فرآیندهای فناوری اطلاعات سازمان مانند فرآیندهای پشتیبانی خدمات، فرآیندهای مرتبط بین واحدهای مختلف مثل تأمین نرم‌افزار و سخت‌افزار و فرآیندهای مرتبط با حراست فیزیکی همچون ورود و خروج، انتخاب می‌شود.
محدوده فیزیکی و محیطی: محدوده استقرار، حد و مرز فیزیکی ای که شامل بکار گیری کنترل های استاندارد سیستم مدیریت امنیت اطلاعات می باشد، در این قسمت تعریف میشود. یکی از ابهامات در سازمان های بزرگ انتخاب محدوده فیزیکی صحیح می باشد. به‌عنوان مثال، برای شهرداری ها که دارای مرکز و مناطق متعدد می باشند، این موضوع از اهمیت حیاتی برخوردار است. برای این دست سازمان ها پیشنهاد می شود که ساختمان مرکزی و یک نمونه از مناطق به‌عنوان پایلوت در محدوده استقرار سیستم قرار گیرند. این امر سبب خواهد شد که در دورهای بعدی استقرار سیستم، از نتایج حاصل از استقرار در پایلوت استفاده نمود و محدوده را توسعه داد.
محدوده پرسنلی و ذینفعان: در این بخش تعیین می‌شود که کدام دسته از پرسنل، پیمانکاران، کارفرمایان و کاربران تجهیزات سازمان، در محدوده استقرار سیستم قرار دارند. لذا کلیه افراد محدوده، می‌بایست الزامات مربوط به امنیت منابع انسانی و همچنین شناسایی، ارزش‌گذاری و ارزیابی ریسک جاری و ساری شود.
محدوده تکنولوژیکی: در این بخش کلیه تکنولوژی‌ها، تجهیزات شبکه‌ای، تجهیزات ارائه خدمات و سرورها، پایگاه داده‌ها، تجهیزات ارتباطی همچون بسترهای انتقال اطلاعات، تجهیزات و سرویس‌های امنیتی مشخص می‌شوند.
در سازمان‌های ایرانی عرف شده است که کلیه تجهیزاتی که در واحد فناوری اطلاعات موجود می‌باشد، چه تجهیزات فعال و چه غیرفعال، جز دارایی‌های تکنولوژیکی شناسایی شده و کنترل‌های متعددی روی آن‌ها اعمال می‌شود، این موضوع اهمیت بالای شناسایی و تعیین دقیق این قسمت از محدوده را به اثبات می‌رساند.

گردآورنده: محمدمظفر مهرعلی

1397/2/5

کلمات کلیدی : تعیین محدوده ISMS تعیین محدوده ISMS در سازمان نحوه پیاده سازی ISMS سیستم مدیریت امنیت اطلاعات مشاوره پیاده سازی ISMS پیاده سازی ISO 27001 در سازمان مشاوره ISO 27001