گام‌های پیاده سازی سیستم مدیریت امنیت اطلاعات (ISMS) بر اساس استاندارد ایزو 27001

22 گام پیاده سازی سیستم مدیریت امنیت اطلاعات (ISMS)

ISMS یا همان سیستم مدیریت امنیت اطلاعات از جمله سیستم‌های مدیریتی است که در سالیان اخیر مورد توجه سازمان‌ها و مدیران قرار گرفته است. اهمیت روز افزون امنیت اطلاعات، الزام نهادهای حاکمیتی کشور به سازمانها و ایجاد نظم در مدیریت امنیتی سازمان از جمله دلایل توجه به این سیستم است. در این مقاله قصد داریم شما را با مراحل طراحی، استقرار و پیاده سازی سیستم مدیریت امنیت اطلاعات (ISMS) آشنا کنیم. این مراحل مبتنی بر استاندارد ایزو 27001 و در قالب چرخه PDCA بصورت گام به گام تدوین شده است. این مقاله می‌تواند برای همه مدیران و کارشناسانی که در سازمان خود به دنبال اجرا و پیاده سازی ISMS هستند مفید باشد. همچنین این نوشته برای دانشجویان و علاقمندان به حوزه سیستم‌های مدیریت امنیت اطلاعات نیز کاربردی خواهد بود.

در ادامه 22 گام پیاده سازی ISMS بر اساس استاندارد ایزو 27001 را به شما معرفی می‌کنیم. این گام‌ها بر اساس چرخه دمینگ موسوم به PDCA (Plan, Do, Check, Act) یا همان چرخه طراحی، اجرا، بازبینی، اصلاح طراحی و مرتب شده‌اند.

فاز طراحی از چرخه PDCA

این مرحله از چرخه PDCA متشکل از مراحل 1 تا 15 است که در ادامه به آن پرداخته می‌شود.

1- ایجاد مقدمات استقرار ISMS

استقرار و پیاده سازی سیستم مدیریت امنیت اطلاعات یک تصمیم راهبردی و استراتژیک برای سازمان است. از این رو لازم است که در ابتدای فرایند، مدیران ارشد سازمان نسبت به تصمیم اتخاذ شده و ملاحظات آن بطور کامل توجیه شوند. این امر سبب میشود که مدیران به ISMS متعهد باشند و حمایت و پشتیبانی لازم را برای اجرای آن به عمل آورند. همچنین لازم است که در این گام طرح مدیریت پروژه به تأیید طرفین (سازمان و مشاور) برسد. چنانچه تصمیم دارید در استقرار ISMS خود از سامانه نرم‌افزاری استفاده نمایید، لازم است که مرحل نصب و آموزش نرم‌افزار را در همین گام به انجام رسانید.

2- شناخت زمینه سازمان

در این گام باید محیط داخلی و خارجی سازمان به‌شکل مناسبی شناسایی شوند. شناسایی مطلوب محیط داخلی و خارجی سازمان کمک می‌کند تا متولیان اجرای سیستم نسبت به چالش‌های پیاده سازی ISMS در سازمان خود آگاه شوند. همچنین شناسایی بهتر محیط میتواند منجر به اتخاذ تدابیر لازم جهت مواجهه با چالش‌های پیش رو شود.

استاندارد ایزو 27001  جهت شناخت محیطی به بررسی موارد زیر می‌پردازد.

  • بررسی عوامل داخلی و خارجی مؤثر بر ISMS
  • شناسایی ذینفعان سازمان
  • نهادهای کشوری مرتبط با صنعت و حوزه فعالیت سازمان
  • الزامات امنیت اطلاعات ابلاغ شده توسط ذینفعان و نهادهای کشوری

برای کسب اطلاعات بیشتر در خصوص شناخت سازمان یک روش کاربردی برای تحلیل عوامل داخلی و خارجی در ایزو 27001 را مطالعه نمایید.

3- تعیین محدوده و دامنه کاربرد ISMS

گام بعدی در استقرار و پیاده سازی ISMS، تعیین و تعریف درست محدوده یا همان اسکوپ پیاده‌سازی سیستم است. در سازمان‌های کوچک و متوسط اسکوپ می‌تواند کل سازمان در نظر گرفته شود. برای سازمان‌های بزرگ ممکن است که بخشی از سازمان به عنوان محدوده در چرخه اول استقرار تعریف شود. هرچند که نمی‌توان در واقع در استقرار سیستم مدیریت امنیت اطلاعات خط‌کشی و مرزبندی مشخصی برای استقرار ISMS درون سازمان ایجاد کرد. ولی بهرحال لازم است که برای شروع کار و پرهیز از پیچیدگی و وسعت بیش از حد نسبت به تعریف محدوده و مرز سیستم اقدام شود. با تعریف مناسب اسکوپ و با کنترل نسبی شرایط محیطی می‌توان موفقیت پیاده‌سازی سیستم را تضمین نمود. طبیعی است که در فرایند توسعه سیستم در چرخه‌ها و مراحل بعدی می‌توان و بلکه باید نسبت به گسترش اسکوپ به کل سازمان اقدام نمود.

4- تحلیل شکاف (انطباق سنجی)

در این مرحله و پس از تعیین دامنه کاربرد استقرار و پیاده سازی سیستم مدیریت امنیت اطلاعات و پیش از شروع مراحل عملیاتی پیاده سازی ISMS لازم است که تحلیلی به‌منظور شناسایی وضعیت فعلی سازمان بر اساس الزامات و کنترل‌های استاندارد ایزو 27001 صورت پذیرد. هدف از این فعالیت بدست آوردن شناخت بهتر از میزان فعلی انطباق سازمان با استاندارد ISO 27001 است. سنجش فاصله سازمان در امنیت اطلاعات با حداقل‌های تعریف شده در ایزو 27001 از دیگر اهداف این فعالیت است. این تحلیل کمک می‌کند تا مجریان استقرار سیستم بتوانند تصویر کلی از نقاط ضعف و قوت امنیتی سازمان داشته باشند و نسبت به اولویت امور در مراحل بعد اقدام کنند.

5- تدوین بیانیه خط‌مشی امنیت اطلاعات

در این مرحله لازم است که سندی تحت عنوان بیانیه خط‌مشی امنیت اطلاعات تهیه شود. این خط مشی باید به تصویب مدیر ارشد سازمان و یا مدیر ارشد امنیت اطلاعات سازمان برسد. این بیانیه بیانگر عزم و تعهد مدیریت ارشد سازمان نسبت به اجرا و پیاده‌سازی ISMS در سازمان خواهد بود. ضروریست که این خط‌مشی به روش‌های مقتضی به اطلاع عموم پرسنل سازمان برسد.

6- سازماندهی امنیت اطلاعات در سازمان

در این گام باید ساختار مناسب امنیت اطلاعات در سازمان طراحی و ایجاد شود. تحقق موفق ISMS نیاز به افرادی دارد که دارای قدرت تصمیم‌گیری و اختیارات لازم باشند. همچنین لازم است که شرح وظایف این افراد و نحوه گزارش‌دهی میان آنها با هم و با مقامات سازمانی مشخص باشد. از این رو در این مرحله باید یک ساختار مناسب که پاسخگوی نیازهای سازمانی باشد در قالب چارت سازمانی و یا کمیته‌ها و کارگروه‌های تخصصی ایجاد گردد.

7- شناسایی فرصت‌ها و ریسک‌های پروژه ISMS

در این گام مطابق با الزامات استاندارد ISO/IEC 27001 لازم است که نسبت به شناسایی فرصتها و ریسک‌هایی که پیاده سازی ISMS می‌تواند در سازمان ایجاد نماید اقدام شود. لازم به ذکر است که در این گام هدف، شناسایی ریسک‌های امنیت اطلاعات نیست. بلکه رویکرد ما در این مرحله یک رویکرد کلان نسبت به ریسک‌ها و فرصت‌های کلی استقرار سیستم مدیریت امنیت اطلاعات است. این اقدام منجر به اتخاذ تدابیر مناسب جهت بهره‌برداری هرچه بیشتر از فرصت‌هایی که این سیستم بوجود خواهد آورد، می‌شود. همچنین کمک می‌کند با ریسک‌های احتمالی ایجاد شده توسط این سیستم، مقابله بهتری صورت گیرد.

8- شناسایی و مدیریت دارایی‌های اطلاعاتی

تا اینجای فرایند استقرار، مقدمات و آمادگی‌های لازم جهت طراحی و پیاده سازی ISMS فراهم شد. از این مرحله وارد گام‌های عملیاتی طراحی و اجرای سیستم می‌شویم. در این بخش لازم است که سازمان روشی برای شناسایی و مدیریت دارایی‌های اطلاعاتی خود تعیین نماید. از آنجاییکه دارایی‌های اطلاعاتی یا بصورت مستقیم و یا بصورت غیر مستقیم حاوی یا حامل اطلاعات سازمانی هستند لازم است که مبتنی بر روشی نظام‌مند نسبت به گردآوری، به‌روزآوری و مدیریت آنها اقدام شود. چنانچه بخواهید بصورت حرفه‌ای به مقوله مدیریت دارایی‌ها بپردازید باید فراتر از ایجاد فهرست، برای هر یک از دارایی‌های خود یک پروفایل اطلاعاتی ایجاد نمایید. پروفایل دارایی شامل اطلاعات و ویژگی های آن خواهد بود.

9- تدوین متدولوژی مدیریت ریسک امنیت اطلاعات

همانطور که میدانید مدیریت ریسک و تفکر مبتنی بر ریسک یکی از ارکان پیاده سازی ISMS در استاندارد ایزو 27001 است. از این رو در این گام سازمان باید روش و متدولوژی مطلوب خود را در مدیریت ریسک‌های امنیت اطلاعات تعریف نماید. استانداردهای ایزو 31000 و 27005 از جمله استانداردهایی هستند که از آنها می‌توان در تدوین متدولوژی مدیریت ریسک امنیت اطلاعات کمک گرفت. در متدولوژی مدیریت ریسک امنیت اطلاعات شما روش خود را در خصوص شناسایی، ارزیابی، تحلیل و مقابله با ریسک‌های امنیت اطلاعات تعیین می‌کنید. همچنین می‌توانید در همین مرحله آستانه پذیرش ریسک خود را نیز تعیین نمایید. در مقاله 14 گام اجرای فرایند مدیریت ریسک امنیت اطلاعات می‌توانید اطلاعات بسیار کاملی در خصوص این فرایند بدست آورید.

10- شناسایی ریسک های امنیت اطلاعات

در این گام و بر اساس متدولوژی تعریف شده در مرحله قبل به شناسایی ریسک‌های امنیت اطلاعات می‌پردازید. برای انجام شناسایی ریسک می‌توانید از روش‌های متنوع سیستمی و فنی استفاده نمایید. از جمله روش‌های سیستمی شناسایی ریسک‌های امنیت اطلاعات می‌توان به موارد زیر اشاره کرد.

  • مصاحبه
  • تکمیل پرسشنامه
  • بازبینی اسناد فعلی مرتبط با امنیت اطلاعات سازمان
  • بازدید از سایت‌ها و اماکن سازمان

همچنین در خصوص روش‌های فنی می‌توان به مواردی زیر اشاره کرد:

  • ارزیابی‌ امنیتی
  • آزمون نفوذ
  • ارزیابی‌ پیکربندی

اطلاعات بیشتر را می‌توانید در مقاله 14 گام اجرای فرایند مدیریت ریسک امنیت اطلاعات بیابید.

11- ارزیابی و تحلیل ریسک‌های امنیت اطلاعات

پس از شناسایی ریسک‌ها نوبت به ارزیابی ریسک‌ها و تحلیل و اولویت‌بندی آنها می‌رسد. ارزیابی ریسک شامل تخمین مواردی مانند میزان پیامد ریسک، تخمین احتمال وقوع تهدید و تخمین شدت آسیب‌پذیری و نیز محاسبه ترکیب این عوامل به‌منظور محاسبه عدد سناریوی ریسک امنیت اطلاعات می‌باشد. تحلیل و اولویت‌بندی نیز به معنای رتبه‌بندی ریسک‌ها بر اساس نتایج حاصل از محاسبه اعداد ریسک می‌باشد. تحلیل و اولویت‌بندی ریسک به سازمان کمک می‌کند تا بتواند منابع خود را جهت مقابله با ریسک‌های با اولویت بالا مصروف نماید. مقاله 14 گام اجرای فرایند مدیریت ریسک امنیت اطلاعات را به‌منظور کسب اطلاعات بیشتر در خصوص ارزیابی و تحلیل ریسک حتما مطالعه کنید.

12- مقابله با ریسک‌های امنیت اطلاعات

در این گام استراتژی‌ها و تدابیر لازم جهت مقابله با ریسک‌هایی که در گام‌های قبل شناسایی شدند، اتخاذ می‌شوند. مطابق استاندارد ISO 27005  چهار استراتژی اصلی جهت مقابله با ریسک‌های امنیت اطلاعات قابل تعریف هستند که عبارتند از:

  • کاهش
  • پذیرش
  • تسهیم
  • اجتناب

بنا به میزان عدد ریسک و شرایط فنی، فرهنگی، سازمانی و … مرتبط با هر ریسک یکی از این استراتژی‌ها برای مقابله با ریسک انتخاب می‌شود. پس از انتخاب استراتژی نوبت به تدوین طرح مقابله با ریسک یا همان Risk Treatment Plan (RTP) می‌رسد. اطلاعات بیشتر را در این رابطه را در مقاله 14 گام اجرای فرایند مدیریت ریسک امنیت اطلاعات ملاحظه نمایید.

13- تدوین بیانیه کاربردپذیری (SOA)

در این مرحله متولیان و مجریان استقرار و پیاده سازی ISMS باید مشخص کنند که کدام یک از کنترل‌های امنیت اطلاعات برای سازمان مناسب و کاربردپذیر است. پیوست الف استاندارد ایزو 27001 فهرستی از کنترل‌های عمومی و رایج را به سازمان‌ها پیشنهاد می‌دهد. البته شما نباید به این کنترل‌ها بسنده کنید. این فهرست باید به چشم یک مبنای اولیه و خط پایه نگاه مورد توجه قرار گیرد. بیانیه کاربرد پذیری (SOA) سندی است که در آن مشخص می‌شود که کدام یک از کنترل‌های امنیت اطلاعات برای سازمان کاربرد پذیر است. همچنین در این سند تعیین میشود که کدام یک از کنترل‌های امنیتی موجود در پیوست الف استاندارد کاربرد پذیر نیست. همچنین ضروریست که در SOA توجیه عدم کاربردپذیری یک کنترل نیز قید گردد.

14- تعیین اهداف امنیت اطلاعات

در این گام و بر اساس نتایج حاصل از مراحل مدیریت ریسک و شناخت زمینه سازمان باید اهداف امنیت اطلاعات سازمان تعریف گردند. پس از تعریف اهداف، طرح‌های اقدام (Action Plan) جهت تحقق این اهداف تدوین میشوند. در ادامه نیز شاخص‌هایی به منظور اندازه گیری هدف‌های امنیت اطلاعات تعریف میشوند.

15- تدوین خط‌مشی‌ها، رویه‌ها و دستورالعمل‌های امنیت اطلاعات

این مرحله یکی از مهمترین مراحل طراحی و استقرار سیستم مدیریت امنیت اطلاعات است. در این گام تمامی خط‌مشی‌ها (Policy)، رویه‌ها (Procedure) و دستورالعمل‌های (Instruction) امنیت اطلاعات متناسب با کنترل‌های کاربردپذیر سازمان و بر اساس وسعت و پیچیدگی فرایندهای داخلی سازمان طراحی و تدوین می‌شوند. عملا این اسناد کتاب قانون سازمان در رابطه با امنیت اطلاعات را شکل می‌دهند. این مستندات از این پس مبنای حرکت سازمان در مدیریت امنیت اطلاعات خواهند بود. البته بدیهی است که چنانچه سازمان از قبل مستنداتی مرتبط با امنیت اطلاعات داشته باشید در این گام مورد بازبینی و در صورت نیاز به‌روز آوری قرار می‌گیرند.

فاز اجرا از چرخه PDCA

این مرحله از چرخه PDCA متشکل از گام های 16و 17 است که در ادامه به آن پرداخته می‌شود.

16- آموزش و آگاهی‌رسانی امنیت اطلاعات

این مرحله زمان مناسبی است تا مدیران، کارشناسان و پرسنل سازمان به فراخور وظایف و مسئولیت‌هایی که دارند آموزش‌ها و آگاهی‌‌های امنیتی لازم را دریافت نمایند میتوانند به اجرا و استقرار هرچه بهتر سیستم کمک نمایند. بدیهی است هرچقدر دانش و اطلاعات افراد در خصوص موضوعات امنیت اطلاعات بیشتر باشد، مقاومت سازمانی در برابر پذیرش این سیستم کمتر میشود. همچنین کیفیت استقرار و پیاده سازی ISMS بهبود خواهد یافت.

منظور از آموزش، دوره‌های تخصصی امنیت اطلاعات است که برای مدیران و کارشناسان متولی استقرار ISMS برگزار می‌شود. منظور از آگاهی‌رسانی، اطلاع رسانی‌های عمومی امنیتی است که به پرسنل از روشهای مختلف ارائه میشود. برخی از این روشها عبارتند از:

  • دوره‌های آنلاین
  • سمینار
  • پوستر
  • بروشور
  • اعلان بر روی سیستم‌های کامپیوتری و …

برای مشاهده دوره‌های مختلف آگاهی رسانی و آموزش‌های تخصصی می‌توانید به بخش دوره‌های آموزشی آنلاین ما که غالبا رایگان ارائه می‌شوند و نیز به بخش آموزش‌های تخصصی سازمانی مراجعه نمایید.

17- اجرا و عملیاتی‌سازی سیستم

این مرحله زمان عملیاتی کردن سیستم است. طراحی‌های لازم در مراحل قبل صورت گرفته و تمامی مستندات و طرح‌های مقابله با ریسک آماده شده‌اند. همچنین متولیان اجرای سیستم و پرسنل نیز آموزش‌های لازم را دیده‌اند. بنابراین همه شرایط مهیاست تا همه پرسنل سازمان (منظور از سازمان پرسنل حاضر در محدوده سیستم هستند) نسبت به اجرای خط‌مشی‌ها، رویه‌ها، دستورالعمل‌ها و طرح‌های امنیت اطلاعات اقدام نمایند. البته بدیهی است که مجریان سیستم در این مرحله با چالش‌های متعددی مواجه خواهند بود. این چالشها میتوانند چالشهای فرهنگی، عملیاتی، مدیریتی و فنی باشند. سازمان باید تلاش کند با ابتکارات متنوع و راهکارهای مختلف بر این چالش‌ها غلبه کند.

فاز بازنگری از چرخه PDCA

این مرحله از چرخه PDCA متشکل ازگام های 18تا 20 است که در ادامه به آن پرداخته می‌شود.

18- اندازه گیری عملکرد

این مرحله اولین مرحله جهت ورود به فاز بازنگری سیستم است. در این گام عملکرد امنیت اطلاعات و اثربخشی سیستم بر اساس شاخص‌های تعریف شده اندازه‌گیری می‌شود. اندازه‌گیری و سنجش عملکرد به متولیان سیستم نشان می‌دهد که آیا راهی که تا کنون طی شده اثربخش و کارا بوده است یا خیر؟ به همین جهت این گام اهمیت فوق‌العاده‌ای به‌منظور بازنگری درست سیستم و هدایت سیستم به مسیر درست دارد.

19- ممیزی داخلی

در این گام سازمان اقدام به برنامه‌ریزی و اجرای ممیزی داخلی ISMS می‌کند. ممیزی داخلی باید در بازه‌های زمانی از پیش تعیین شده و بطور مرتب و منظم در سازمان صورت گیرد. هدف از انجام ممیزی داخلی شناسایی انطباقات و عدم انطباقات موجود در سیستم مدیریت امنیت اطلاعات با الزامات استاندارد ایزو 27001 و الزامات نهادهای کشوری مرتبط با سازمان است. همچنین شناسایی نقاط قوت و راهکارهای بهبود اثربخشی از دیگر اهدافیست که با ممیزی داخلی دنبال می‌شود. ممیزی داخلی بر خلاف ممیزی شخص ثالث از الزامات استاندارد ایزو 27001 است. عدم انجام مییزی داخلی منجر به وقوع یک عدم انطباق عمده در سیستم سازمان خواهد شد.

20- انجام بازنگری مدیریتی

بازنگری مدیریتی فعالیتی است که توسط مدیریت ارشد سازمان و در قالب برنامه‌های زمانی از پیش تعیین شده انجام می‌شود. هدف از اجرای این گام بررسی موارد زیر است:

  • تصمیمات مدیریتی اتخاذ شده در بازنگری‌های قبلی ISMS
  • بررسی تغییرات احتمالی در موضوعات داخلی و بیرونی مرتبط با ISMS
  • دریافت بازخورد از عملکرد امنیت اطلاعات
  • بررسی بازخوردهای طرف‌های ذینفع
  • بررسی نتایج ارزیابی ریسک و فرصت‌های بهبود سیستم

این فعالیت از مصادیق مهم تعهد مدیریت ارشد به سیستم است و وجود آن برای حیات سیستم ضروری است.

فاز اصلاح از چرخه PDCA

این مرحله از چرخه PDCA متشکل از گام های 21 و 22 است که در ادامه به آن پرداخته می‌شود.

21- اجرای اقدامات اصلاحی

این گام نشان بارز مفهوم بهبود مستمر در سیستم مدیریت امنیت اطلاعات است. در این مرحله باید نسبت به عدم انطباق‌های شناسایی شده در مراحل قبل واکنش نشان داد. این اقدام می‌تواند در راستای کنترل و اصلاح عدم انطباق و مقابله با عواقب ناشی از عدم انطباق باشد. اقدام اصلاحی همچنین میتواند در راستای حذف علل عدم انطباق جهت جلوگیری از وقوع مجدد باشد. بهرحال متولیان سیستم باید این مرحله را جزئی لاینفک در تمامی چرخه حیات سیستم ببیندد و به‌محض مواجهه با یک عدم انطباق نسبت به‌برطرف‌سازی و اصلاح آن اقدام نمایند. یکی از ارکان اصلی در پویایی سیستم شما توجه به این مرحله از مراحل استقرار ISMS است. چنانچه علاقمند به دریافت اطلاعات بیشتر در خصوص پویایی سیستم هستید مقاله زمان مهمترین عامل در پویایی مدیریت امنیت اطلاعات را بخوانید.

22- ممیزی شخص ثالث و دریافت گواهینامه

در آخرین مرحله سازمان می‌تواند در صورت تمایل و برای اطمینان از اینکه ISMS اجرا شده توسط آن مطابق با الزامات استاندارد ایزو 27001 است خود را در معرض ممیزی شخص ثالث توسط نهاد بیرونی معتبر قرار دهد. متولی اصلی انجام ممیزی شخص ثالث در کشور ما مرکز راهبردی افتا است. مرکز افتا توسط بازوهای اجرایی خود که شرکت‌های مورد تأیید جهت انجام ممیزی هستند این فرایند را به انجام می‌رسانند. البته در صورت عدم وجود محدودیت‌های قانونی شما می‌توانید از نهاد‌های گواهی‌دهنده بین المللی نیز استفاده نمایید.

نرم افزار مدیریت امنیت اطلاعات بادبان سامانه ایست که با بکارگیری آن میتوانید تمامی گام های فوق را در آن به انجام رسانید. نرم افزار بادبان بصورت هوشمند طراحی شده تا بتوانید پیاده سازی ISMS در چارچوب چرخه PDCA را بوسیله آن به آسانی و بطور حرفه‌ای انجام دهید.

اشتراک گذاری در linkedin
اشتراک گذاری در whatsapp
اشتراک گذاری در email

این مطالب را هم بخوانید

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

اسکرول به بالا