تعیین محدوده ISMS
سیستم مدیریت امنیت اطلاعات برگرفته شده از استاندارد بین المللی ISO/IEC 27001، ابزاری است برای شناسایی، مدیریت و به حداقل رساندن احتمال وقوع تهدیدات عمدی و غیرعمدی، که امروزه سازمانها با آنها مواجه هستند. فارغ از اینکه شما از چه رویکردی در پیادهسازی سیستم مدیریت امنیت اطلاعات استفاده مینمایید، لازم است در ابتدای پیادهسازی این سیستم اقدام به تعیین محدوده پیادهسازی سیستم مدیریت امنیت اطلاعات نمایید.
در سیستم مدیریت امنیت اطلاعات، شناخت فضای سازمان موضوعی بود که در نسخ قبلی استاندارد به آن توجه نشده بود؛ اما در نسخه 2013 بهعنوان یک الزام به آن اشاره شده است. که باید مأموریت سازمان، ساختار سازمانی، شرح وظایف کلان و ... مستند شود. علت این امر تأکید بر همسوسازی امنیت اطلاعات با مأموریت سازمان میباشد.
اندازه و گستره محدوده پیادهسازی ISMS
هر سازمان و شرکت با توجه به نوع و ماهیت کاری دارای ابعاد و اندازههای مختلفی میباشد. برخی از سازمانها و شرکتهای دولتی و خصوصی ممکن است دارای تعداد زیادی ساختمان (از بعد فیزیکی)، بیش از 100 نفر کارمند (از بعد پرسنلی)، تعداد زیادی سرور و انواع تجهیزات شبکهای و سختافزاری (از بعد تکنولوژیکی) و همچنین از لحاظ ساختار سازمانی گسترده و دارای مجموعه زیادی از فعالیتها، فرآیندها و سرویس های سازمانی باشد. این نوع سازمانها معمولاً در اندازه متوسط و بزرگ در نظر گرفته میشوند و سایر سازمانها و شرکتها ممکن است نسبت به هر یک از ابعاد مطرحشده بزرگتر یا کوچکتر باشند، که میتوان بهطورکلی اندازه سازمان را در مقایسه با سایر شرکتهای همزمینه، تخمین نمود. لذا تعیین اندازه و وسعت محدوده پیادهسازی سیستم مدیریت امنیت اطلاعات با توجه به اندازه و بزرگی سازمان بسیار مهم است.
مراحل تعیین محدوده ISMS
انتخاب بهینه محدوده اولیه: محدوده اولیه سیستم مدیریت امنیت اطلاعات باید به نحوی انتخاب گردد که با توجه به دانش، تجربه، مهارت و امکانات موجود بهسادگی قابل پیادهسازی باشد و حداکثر منافع مورد انتظار را حاصل نماید.
گسترش محدوده سیستم مدیریت امنیت اطلاعات: سیستم مدیریت امنیت اطلاعات علیرغم آنکه بهصورت پروژه تعریف میشود، یک فعالیت مقطعی و کوتاهمدت نیست، بلکه بهعنوان یک سیستم مدیریتی میبایست بهصورت دائم و پیوسته در سازمان جاری و در بازههای زمانی مشخص مورد بازنگری و بهبود قرار گیرد. یکی از موارد بازنگری در سیستم مدیریت امنیت اطلاعات، بازنگری محدوده و در صورت نیاز گسترش آن میباشد. گسترش محدوده سیستم مدیریت امنیت اطلاعات یکی از اهداف مدیران جهت در نظر گرفتن حداکثر تعداد داراییهای اطلاعاتی و ریسکهای ناشی از آنها میباشد. همچنین میتوان خیلی از فرآیندهای سازمانی را تحت پوشش گرفت و فرآیندهای تدوینشده در سیستم مدیریت امنیت اطلاعات را به سایر بخشهای سازمان نیز تسری داد.
تعریف محدوده ISMS: محدوده استقرار سیستم مدیریت امنیت اطلاعات در سندی تحت عنوان سند بیانیه محدوده تعریف میگردد. پس از شناخت فضای سازمان و تعیین ضرورت محافظت از المانهای امنیت اطلاعات در بخشهای مختلف با توجه به مأموریت سازمان، میبایست محدوده استقرار سیستم مدیریت امنیت اطلاعات تعریف گردد. این محدوده از چهار منظر تعریف میشود:
- محدوده فرآیندی و سرویسها
- محدوده فیزیکی و محیطی
- محدوده پرسنلی و ذینفعان
- محدوده تکنولوژیکی و تجهیزات
محدوده فرآیندی و سرویسها: در این بخش تعیین می شود که فرآیندها و خدمات کدام واحدهای سازمانی در محدوده استقرار سیستم مدیریت امنیت اطلاعات قرار دارند. معمولا برای شروع در سازمانهای متوسط و بزرگ، فرآیندهای فناوری اطلاعات سازمان مانند فرآیندهای پشتیبانی خدمات، فرآیندهای مرتبط بین واحدهای مختلف مثل تأمین نرمافزار و سختافزار و فرآیندهای مرتبط با حراست فیزیکی همچون ورود و خروج، انتخاب میشود.
محدوده فیزیکی و محیطی: محدوده استقرار، حد و مرز فیزیکی ای که شامل بکار گیری کنترل های استاندارد سیستم مدیریت امنیت اطلاعات می باشد، در این قسمت تعریف میشود. یکی از ابهامات در سازمان های بزرگ انتخاب محدوده فیزیکی صحیح می باشد. بهعنوان مثال، برای شهرداری ها که دارای مرکز و مناطق متعدد می باشند، این موضوع از اهمیت حیاتی برخوردار است. برای این دست سازمان ها پیشنهاد می شود که ساختمان مرکزی و یک نمونه از مناطق بهعنوان پایلوت در محدوده استقرار سیستم قرار گیرند. این امر سبب خواهد شد که در دورهای بعدی استقرار سیستم، از نتایج حاصل از استقرار در پایلوت استفاده نمود و محدوده را توسعه داد.
محدوده پرسنلی و ذینفعان: در این بخش تعیین میشود که کدام دسته از پرسنل، پیمانکاران، کارفرمایان و کاربران تجهیزات سازمان، در محدوده استقرار سیستم قرار دارند. لذا کلیه افراد محدوده، میبایست الزامات مربوط به امنیت منابع انسانی و همچنین شناسایی، ارزشگذاری و ارزیابی ریسک جاری و ساری شود.
محدوده تکنولوژیکی: در این بخش کلیه تکنولوژیها، تجهیزات شبکهای، تجهیزات ارائه خدمات و سرورها، پایگاه دادهها، تجهیزات ارتباطی همچون بسترهای انتقال اطلاعات، تجهیزات و سرویسهای امنیتی مشخص میشوند.
در سازمانهای ایرانی عرف شده است که کلیه تجهیزاتی که در واحد فناوری اطلاعات موجود میباشد، چه تجهیزات فعال و چه غیرفعال، جز داراییهای تکنولوژیکی شناسایی شده و کنترلهای متعددی روی آنها اعمال میشود، این موضوع اهمیت بالای شناسایی و تعیین دقیق این قسمت از محدوده را به اثبات میرساند.
گردآورنده: محمدمظفر مهرعلی