امروزه سازمانها با تهدیدات زیادی در زمینه امنیت اطلاعات روبرو هستند. نگاه اصولی مدیریت به کنترل و امنیت اطلاعات می تواند با ایجاد اطمینان از عملکرد صحیح کنترلها در جهت کاهش ریسک اطلاعات و همسوسازی آن با ریسک تجاری سازمان بسیار موثر باشد. در حقیقت کنترل داخلی فناوری اطلاعات، بهترین وسیله برای مواجهه و کاهش این دسته از ریسکها در سازمانها میباشد.
یکی از خدمات کلیدی شرکت پیشگامان کیپاد، مشاوره و پیادهسازی سیستم مدیریت امنیت اطلاعات یا Information Security Management System میباشد، این سیستم راهکاری مدیریتی، برای پیادهسازی کنترلهای امنیتی میباشد که با ایجاد زیرساختهای مورد نیاز، امنیت اطلاعات سازمان را تضمین مینماید. مدل (PDCA) ساختاری است که در پیادهسازی (ISMS) در عموم سازمانها و شرکتها توصیه میشود. شرکت پیشگامان کیپاد به پشتوانه تجربه 10 ساله خود در حوزه بومیسازی نحوه مشاوره و پیادهسازی این استاندارد در شرکتهای بزرگ خصوصی و ارگانهای دولتی متد خاص خود را در مراحل پیادهسازی فراهم نموده و مفتخر است با استفاده از نرمافزار Infopod که به صورت کاملا انحصاری تولید گردیده و سازگار با سایر استانداردهای حوزه مدیریت خدمات فناوری اطلاعات و مدیریت کیفیت میباشد، مشاوره و پیادهسازی این استاندارد را تسریع و تسهیل نماید.
یک سامانه مدیریت امنیت اطلاعات (ISMS) بصورت کلی باعث کاهش صدمات ناشی از ریسکها توسط ایمن ساختن اطلاعات و کاهش تهدیدها و بالطبع اطمینان از تداوم تجارت میشود. پیادهسازی این سامانه میتواند موجب:
حفاظت از سرمايههاي سازماني
ایجاد مدیریت فعال و پویا در پیادهسازی امنیت اطلاعات
مطمئن بودن به تصمیم گیریها
بهبود در برنامهريزيهاي امنيتي
آمادگي براي مواجه با حوادثي كه امنيت اطلاعات را به مخاطره انداختهاند
حفظ محرمانگي و در دسترس بودن اطلاعات
امکان رقابت بهتر با سایر شرکتها
حفظ اطلاعات از بروز تهديدات، آسيبپذيريها و مخاطرات در حد امكان
امكان رقابت بهتر با ساير سازمانها
محک زدن میزان امنیت اطلاعات در سازمان
اطمینان از سازگاری با استانداردهای امنیت اطلاعات و محافظت از دادهها
ایجاد اطمینان نزد مشتریان و شرکای تجاری
بازگشت هزينه صرفشده براي پيادهسازي (ISMS) در بلندمدت
اطمينان از تداوم كسب و كار و كاهش صدمات از طريق ايمن ساختن اطلاعات و كاهش تهديدها
كاهش مسئوليتهاي انساني در حفظ امنيت اطلاعات، بواسطه كنترلهاي سيستماتيك
كاهش هزينههاي ترميم خسارات ناشي از كمبود و نقص موازين امنيتي
ايجاد اطمينان بيشتر براي مديران، كاركنان، مشتريان و ساير ذينفعان سازمان در مورد امنيت اطلاعات
شناسايي، ارزيابي و حفاظت از داراييهاي مهم سازمان همچون: پرسنل كليدي، دانش پرسنل، اطلاعات سازمان و اعتبار و وجه سازمان
با توجه به گستردگی و تنوع کنترلهای استاندارد ISO 27001، یکی از علل ریشهای موفقیت در پروژههای مشاوره این استاندارد، ارائه اولویتبندی مناسب، جهت عملیاتی سازی رویهها و راهکارهای شناسایی شده میباشد.
هر راهکار داراي مشخصههايي است که به تصميمگيري سازمان براي انتخاب اولویت آنها به عنوان راهکار با اولویت بالا کمک مينمايد که عبارتند از :
منابع لازم: شناختهشدهترین منابع هر سازمان، زمان اجرا و هزینه مالی راهکار میباشد. لذا در سازمانها، راهکارهايی که براي پيادهسازي هزينه کمتري را ميطلبند و در زمان کمتری خروجی خود را نمایان میسازند، همواره مطلوبيت بيشتري نسبت به راهکارهای گران و زمانبر دارند. معمولا برای اين شاخص با ترکیبی از زمان و هزینه سه سطح کم، متوسط و زياد پيشبينی میشود.
ميزان اثر بخشي: اين شاخص مشخص ميکند که هر راهکار به چه ميزان در کاهش مخاطرات موثر است و بر حسب نوع خود ميتواند يکي از سه سطح کارايي کم، متوسط و زياد و ارزش متناظر را داشته باشد. طبعا استفاده از راهکاري که از بروز يک واقعه جلوگيري ميکند بسيار مناسبتر از راهکاري است که يک حادثه را اطلاع ميدهد و يا براي بعد از وقوع حادثه درماني ارائه ميکند. معمولا شاخصهایی که باعث کاهش احتمال وقوع ریسک میشود و یا تبعات ریسک را کاهش میدهد، با اثر بخشی بالا و مواردی که منجر به بازیابی خدمات و یا انتقال ریسک میشوند، با اثر بخشی پایین امتیازدهی میشوند.
تعداد ریسکهاي تحت پوشش: همانطور که از نام اين شاخص مشخص است بيان ميکند که يک راهکار چه تعداد تهديد و آسیب پذیری را پوشش ميدهد. هر چه تعداد تهديدهاي بيشتري توسط راهکار پيشنهادي پوشش داده شود شاخص ارزشي آن (اولويت) آن بيشتر است.
ارزش دارائیهای تحت پوشش: هر چقدر که ارزش دارائيهايی که از اين راهکار بهرهمند میشوند، بيشتر باشد اولويت راهکار بالاتر است.
شرکت پیشگامان کیپاد در راستای برآوردهکردن الزامات استاندارد ISO 27001 و پیادهسازی موفق استاندارد، علاوه بر تهیه LOM تجهیزات امنیتی مورد نیاز، دستورالعملها و رویههای امنیت اطلاعات را به صورت اختصاصی و کاربردی، با توجه به جداول برخورد با ریسک سازمان و شاخصهای ذکر شده، اولویتبندی نموده و سپس با تعیین نقشها و مسئولیتها (نمودار RACI)، کاربران و ذینفعان، داراییها، سرویسها و روالهای سازمانی مرتبط، نحوه استفاده، به کارگیری و عملیاتیسازی راهکارها را به مشتریان آموزش میدهد. تعدادی از این راهکارها شامل موارد زیر میباشند:
| کنترل دسترسی به سرویسهای اطلاعاتی |
بهبود مستمر |
| کنترل مستندات سیستمی |
ممیزی داخلی |
| تهیه نسخه پشتیبان |
کنترل سوابق |
| استفاده (دسترسی) مجاز |
امنیت شبکه |
| آموزش و آگاهی رسانی امنیت اطلاعات |
امنیت اینترنت |
| رسانههای ذخیرهسازی قابل حمل |
امنیت پرسنلی |
| مدیریت تداوم کسب و کار |
شخص ثالث |
| امنیت پست الکترونیکی |
مدیریت حوادث |
| مدیریت اسناد اطلاعاتی |
بازنگری مدیریت |
| امنیت برنامههای کاربردی |
تبادل اطلاعات |
| الزامات قانونی قراردادها |
ضد بدافزار |
| ثبت و پاسخگویی به خطاهای سیستم |
انضباطی |
| خرید تجهیزات سختافزاری |
رویه خرید نرمافزار |
| دستورالعمل استفاده از گذرواژه |
مدیریت ظرفیت |
| استفاده از ایستگاه کاری |
رمز نگاری |
| امحا و دور انداختن تجهیزات نرمافزارها و مستندات |
رویه مدیریت تغییرات |
| ساختار سازمانی امنیت اطلاعات |
کنترل دسترسی |
| امنیت در دسترسی از راه دور |
رویکرد ارزیابی ریسک |
| نشانیدهی امنیت در مدیریت پروژه |
امنیت فیزیکی و محیطی |