ISO/IEC 27001

ISO/IEC 27001

27001

امروزه امنیت اطلاعات بزرگترین چالش در عصر فناوری اطلاعات محسوب می شود و حفاظت از اطلاعات در مقابل دسترسی غیر مجاز، تغییرات، خرابکاری و افشاء، امری ضروری و اجتناب ناپذیر است. لذا، امنیت دارایی های اطلاعاتی برای کلیه سازمان ها امری حیاتی بوده و مستلزم یک مدیریت اثربخش می باشد.امنیت اطلاعات شامل سه بُعد مهم است:

  • ۱٫ محرمانگی (Confidentiality)
  • ۲٫ یکپارچگی (Integrity)
  • ۳٫ دسترس پذیری (Availability)

فراهم آوری صحت و تمامیت اطلاعات به گونه ای که در زمان مناسب، در دسترس افراد مجاز که نیازمند آن می باشند، عاملی است که منجر به اثربخشی کسب و کار می گردد. استاندارد ISO/IEC 27001 زمینه مناسبی را برای طراحی و استقرار سیستم مدیریت امنیت اطلاعات و ارزیابی آن در سازمان ها و بهره گیری از منافع این رویکرد، فراهم آورده است.

سیستم مدیریت برحسب امنیت اطلاعات، به یک سازمان این امکان را می دهد تا موارد ذیل را ایجاد نماید:

  • رضایت نیازمندی های امنیتی مشتریان و سایر ذینفعان؛
  • بهبود طرح ها و فعالیت های سازمان؛
  • تأمین اهداف امنیت اطلاعات سازمان؛
  • تطابق با آئین نامه ها و قوانین و مقررات مربوط به کار؛
  • مدیریت دارایی های اطلاعاتی در یک روش سازمان یافته که به بهبود مستمر و تعدیل با اهداف سازمانی کنونی، کمک می کند.

ما با بهره گیری از متخصصین مجرب و کارآزموده و دارای مدارک بین المللی، سیستم مدیریت امنیت اطلاعات (ISMS) را با توجه به نیازها و الزامات هر سازمان و منطبق با رویه ها و استانداردهای ISO/IEC 27001 و ISO/IEC 27002 طبق فازهای ذیل، طراحی و پیاده سازی می نماييم:

ارزیابی و شناخت اولیه
(Gap Analysis)
در فاز ارزیابی و شناخت اولیه، میزان انطباق سازمان با الزامات و کنترل های استاندارد ISO/IEC 27001 مورد بررسی قرار می گیرد. این مرحله کمک شایانی به تعیین دامنه (scope) پیاده سازی سیستم و فاز طراحی خواهد نمود. فعالیت هایی که در این مرحله اجرا می شوند، عبارتند از:

  • شناسایی وضعیت موجود و ارزیابی میزان انطباق سازمان با الزامات و کنترل های استاندارد ISO/IEC 27001؛
  • مستندسازی و تهیه گزارش از وضعیت موجود؛
  • تعیین دامنه (scope) پیاده سازی سیستم مدیریت امنیت اطلاعات؛
  • تهیه و تدوین خط مشی امنیت اطلاعات؛
  • کمک به سازماندهی و تشکیل کمیته راهبری امنیت در سازمان.
آگاه سازی و آموزش
(Awareness & Training)
در این مرحله، کلیه افراد درگیر در فرآیند پیاده سازی سیستم مدیریت امنیت اطلاعات، آموزش دیده و با مفاهیم و الزامات ISMS آشنا می شوند.
طراحی ISMS
(Planning & Design)
بمنظور موفقیت در پیاده سازی ISMS می بایست این سیستم را مطابق با الزامات استاندارد و نیازمندی های سازمان طراحی نمود. فعالیت هایی که در این مرحله اجرا می شوند، عبارتند از:

  • تهیه لیست دارایی های واقع در دامنه؛
  • طبقه بندی و ارزش گذاری دارایی های اطلاعاتی؛
  • تعیین و تدوین متدولوژی ارزیابی مخاطرات؛
  • تدوین خط مشی ها، دستورالعمل ها و روش های اجرایی مورد نیاز سیستم؛
  • تدوین طرح تداوم کسب و کار (BCP)؛
  • تدوین طرح برطرف سازی مخاطرات (RTP)؛
  • تدوین بیانیه کاربست پذیری (SOA).
پیاده سازی ISMS
(Implementation)
در این مرحله، کنترل ها، طرح ها و سیاست های امنیتی تهیه شده در فاز قبلی، پیاده سازی می شوند.
ممیزی داخلی و همراهی تا صدور گواهینامه بین المللی
(Internal & External Audit)
پس از پیاده سازی و استقرار کامل سیستم مدیریت امنیت اطلاعات در سازمان، سرممیزان شرکت باتیس با پیش ممیزی سیستم پیاده سازی شده قبل از ممیزی نهایی، موارد انحرافی و عدم انطباق ها را شناسایی می کنند و با ارائه اقدامات اصلاحی و پیشگیرانه مناسب به منظور رفع عدم انطباق های شناسایی شده، سازمان را تا اخذ گواهینامه بین المللی ISO/IEC 27001 همراهی می نمایند.

مزایای پیاده سازی ISMS در یک سازمان:

  • امنیت اطلاعات و دارایی های اطلاعاتی؛
  • حفظ محرمانگی و در دسترس بودن اطلاعات؛
  • حفظ اطلاعات از بروز تهدیدات، آسیب پذیری ها و مخاطرات در حد امکان؛
  • آمادگی برای مواجه با حوادثی كه امنیت اطلاعات را به مخاطره انداخته اند؛
  • ایجاد اطمینان بیشتر برای مدیران، كاركنان، مشتریان و سایر ذینفعان سازمان در مورد امنیت اطلاعات؛
  • بازگشت هزینه صرف شده برای پیاده سازی ISMS در بلندمدت؛
  • کاهش هزینه های ترمیم خسارات ناشی از کمبود و نقص موازین امنیتی؛
  • شناسایی، ارزیابی و حفاظت از دارایی های مهم سازمان همچون: پرسنل کلیدی، دانش پرسنل، اطلاعات سازمان و وجهه و اعتبار سازمان؛
  • اطمینان از تداوم کسب و کار و كاهش صدمات از طریق ایمن ساختن اطلاعات و كاهش تهدیدها؛
  • امكان رقابت بهتر با سایر سازمان ها.

Management With Standard