ISMS یا همان سیستم مدیریت امنیت اطلاعات از جمله سیستمهای مدیریتی است که در سالیان اخیر مورد توجه سازمانها و مدیران قرار گرفته است. اهمیت روز افزون امنیت اطلاعات، الزام نهادهای حاکمیتی کشور به سازمانها و ایجاد نظم در مدیریت امنیتی سازمان از جمله دلایل توجه به این سیستم است. در این مقاله قصد داریم شما را با مراحل طراحی، استقرار و پیاده سازی سیستم مدیریت امنیت اطلاعات (ISMS) آشنا کنیم. این مراحل مبتنی بر استاندارد ایزو 27001 و در قالب چرخه PDCA بصورت گام به گام تدوین شده است. این مقاله میتواند برای همه مدیران و کارشناسانی که در سازمان خود به دنبال اجرا و پیاده سازی ISMS هستند مفید باشد. همچنین این نوشته برای دانشجویان و علاقمندان به حوزه سیستمهای مدیریت امنیت اطلاعات نیز کاربردی خواهد بود.
در ادامه 22 گام پیاده سازی ISMS بر اساس استاندارد ایزو 27001 را به شما معرفی میکنیم. این گامها بر اساس چرخه دمینگ موسوم به PDCA (Plan, Do, Check, Act) یا همان چرخه طراحی، اجرا، بازبینی، اصلاح طراحی و مرتب شدهاند.
فاز طراحی از چرخه PDCA
این مرحله از چرخه PDCA متشکل از مراحل 1 تا 15 است که در ادامه به آن پرداخته میشود.
1- ایجاد مقدمات استقرار ISMS
استقرار و پیاده سازی سیستم مدیریت امنیت اطلاعات یک تصمیم راهبردی و استراتژیک برای سازمان است. از این رو لازم است که در ابتدای فرایند، مدیران ارشد سازمان نسبت به تصمیم اتخاذ شده و ملاحظات آن بطور کامل توجیه شوند. این امر سبب میشود که مدیران به ISMS متعهد باشند و حمایت و پشتیبانی لازم را برای اجرای آن به عمل آورند. همچنین لازم است که در این گام طرح مدیریت پروژه به تأیید طرفین (سازمان و مشاور) برسد. چنانچه تصمیم دارید در استقرار ISMS خود از سامانه نرمافزاری استفاده نمایید، لازم است که مرحل نصب و آموزش نرمافزار را در همین گام به انجام رسانید.
2- شناخت زمینه سازمان
در این گام باید محیط داخلی و خارجی سازمان بهشکل مناسبی شناسایی شوند. شناسایی مطلوب محیط داخلی و خارجی سازمان کمک میکند تا متولیان اجرای سیستم نسبت به چالشهای پیاده سازی ISMS در سازمان خود آگاه شوند. همچنین شناسایی بهتر محیط میتواند منجر به اتخاذ تدابیر لازم جهت مواجهه با چالشهای پیش رو شود.
استاندارد ایزو 27001 جهت شناخت محیطی به بررسی موارد زیر میپردازد.
- بررسی عوامل داخلی و خارجی مؤثر بر ISMS
- شناسایی ذینفعان سازمان
- نهادهای کشوری مرتبط با صنعت و حوزه فعالیت سازمان
- الزامات امنیت اطلاعات ابلاغ شده توسط ذینفعان و نهادهای کشوری
برای کسب اطلاعات بیشتر در خصوص شناخت سازمان یک روش کاربردی برای تحلیل عوامل داخلی و خارجی در ایزو 27001 را مطالعه نمایید.
3- تعیین محدوده و دامنه کاربرد ISMS
گام بعدی در استقرار و پیاده سازی ISMS، تعیین و تعریف درست محدوده یا همان اسکوپ پیادهسازی سیستم است. در سازمانهای کوچک و متوسط اسکوپ میتواند کل سازمان در نظر گرفته شود. برای سازمانهای بزرگ ممکن است که بخشی از سازمان به عنوان محدوده در چرخه اول استقرار تعریف شود. هرچند که نمیتوان در واقع در استقرار سیستم مدیریت امنیت اطلاعات خطکشی و مرزبندی مشخصی برای استقرار ISMS درون سازمان ایجاد کرد. ولی بهرحال لازم است که برای شروع کار و پرهیز از پیچیدگی و وسعت بیش از حد نسبت به تعریف محدوده و مرز سیستم اقدام شود. با تعریف مناسب اسکوپ و با کنترل نسبی شرایط محیطی میتوان موفقیت پیادهسازی سیستم را تضمین نمود. طبیعی است که در فرایند توسعه سیستم در چرخهها و مراحل بعدی میتوان و بلکه باید نسبت به گسترش اسکوپ به کل سازمان اقدام نمود.
4- تحلیل شکاف (انطباق سنجی)
در این مرحله و پس از تعیین دامنه کاربرد استقرار و پیاده سازی سیستم مدیریت امنیت اطلاعات و پیش از شروع مراحل عملیاتی پیاده سازی ISMS لازم است که تحلیلی بهمنظور شناسایی وضعیت فعلی سازمان بر اساس الزامات و کنترلهای استاندارد ایزو 27001 صورت پذیرد. هدف از این فعالیت بدست آوردن شناخت بهتر از میزان فعلی انطباق سازمان با استاندارد ISO 27001 است. سنجش فاصله سازمان در امنیت اطلاعات با حداقلهای تعریف شده در ایزو 27001 از دیگر اهداف این فعالیت است. این تحلیل کمک میکند تا مجریان استقرار سیستم بتوانند تصویر کلی از نقاط ضعف و قوت امنیتی سازمان داشته باشند و نسبت به اولویت امور در مراحل بعد اقدام کنند.
5- تدوین بیانیه خطمشی امنیت اطلاعات
در این مرحله لازم است که سندی تحت عنوان بیانیه خطمشی امنیت اطلاعات تهیه شود. این خط مشی باید به تصویب مدیر ارشد سازمان و یا مدیر ارشد امنیت اطلاعات سازمان برسد. این بیانیه بیانگر عزم و تعهد مدیریت ارشد سازمان نسبت به اجرا و پیادهسازی ISMS در سازمان خواهد بود. ضروریست که این خطمشی به روشهای مقتضی به اطلاع عموم پرسنل سازمان برسد.
6- سازماندهی امنیت اطلاعات در سازمان
در این گام باید ساختار مناسب امنیت اطلاعات در سازمان طراحی و ایجاد شود. تحقق موفق ISMS نیاز به افرادی دارد که دارای قدرت تصمیمگیری و اختیارات لازم باشند. همچنین لازم است که شرح وظایف این افراد و نحوه گزارشدهی میان آنها با هم و با مقامات سازمانی مشخص باشد. از این رو در این مرحله باید یک ساختار مناسب که پاسخگوی نیازهای سازمانی باشد در قالب چارت سازمانی و یا کمیتهها و کارگروههای تخصصی ایجاد گردد.
7- شناسایی فرصتها و ریسکهای پروژه ISMS
در این گام مطابق با الزامات استاندارد ISO/IEC 27001 لازم است که نسبت به شناسایی فرصتها و ریسکهایی که پیاده سازی ISMS میتواند در سازمان ایجاد نماید اقدام شود. لازم به ذکر است که در این گام هدف، شناسایی ریسکهای امنیت اطلاعات نیست. بلکه رویکرد ما در این مرحله یک رویکرد کلان نسبت به ریسکها و فرصتهای کلی استقرار سیستم مدیریت امنیت اطلاعات است. این اقدام منجر به اتخاذ تدابیر مناسب جهت بهرهبرداری هرچه بیشتر از فرصتهایی که این سیستم بوجود خواهد آورد، میشود. همچنین کمک میکند با ریسکهای احتمالی ایجاد شده توسط این سیستم، مقابله بهتری صورت گیرد.
8- شناسایی و مدیریت داراییهای اطلاعاتی
تا اینجای فرایند استقرار، مقدمات و آمادگیهای لازم جهت طراحی و پیاده سازی ISMS فراهم شد. از این مرحله وارد گامهای عملیاتی طراحی و اجرای سیستم میشویم. در این بخش لازم است که سازمان روشی برای شناسایی و مدیریت داراییهای اطلاعاتی خود تعیین نماید. از آنجاییکه داراییهای اطلاعاتی یا بصورت مستقیم و یا بصورت غیر مستقیم حاوی یا حامل اطلاعات سازمانی هستند لازم است که مبتنی بر روشی نظاممند نسبت به گردآوری، بهروزآوری و مدیریت آنها اقدام شود. چنانچه بخواهید بصورت حرفهای به مقوله مدیریت داراییها بپردازید باید فراتر از ایجاد فهرست، برای هر یک از داراییهای خود یک پروفایل اطلاعاتی ایجاد نمایید. پروفایل دارایی شامل اطلاعات و ویژگی های آن خواهد بود.
9- تدوین متدولوژی مدیریت ریسک امنیت اطلاعات
همانطور که میدانید مدیریت ریسک و تفکر مبتنی بر ریسک یکی از ارکان پیاده سازی ISMS در استاندارد ایزو 27001 است. از این رو در این گام سازمان باید روش و متدولوژی مطلوب خود را در مدیریت ریسکهای امنیت اطلاعات تعریف نماید. استانداردهای ایزو 31000 و 27005 از جمله استانداردهایی هستند که از آنها میتوان در تدوین متدولوژی مدیریت ریسک امنیت اطلاعات کمک گرفت. در متدولوژی مدیریت ریسک امنیت اطلاعات شما روش خود را در خصوص شناسایی، ارزیابی، تحلیل و مقابله با ریسکهای امنیت اطلاعات تعیین میکنید. همچنین میتوانید در همین مرحله آستانه پذیرش ریسک خود را نیز تعیین نمایید. در مقاله 14 گام اجرای فرایند مدیریت ریسک امنیت اطلاعات میتوانید اطلاعات بسیار کاملی در خصوص این فرایند بدست آورید.
10- شناسایی ریسک های امنیت اطلاعات
در این گام و بر اساس متدولوژی تعریف شده در مرحله قبل به شناسایی ریسکهای امنیت اطلاعات میپردازید. برای انجام شناسایی ریسک میتوانید از روشهای متنوع سیستمی و فنی استفاده نمایید. از جمله روشهای سیستمی شناسایی ریسکهای امنیت اطلاعات میتوان به موارد زیر اشاره کرد.
- مصاحبه
- تکمیل پرسشنامه
- بازبینی اسناد فعلی مرتبط با امنیت اطلاعات سازمان
- بازدید از سایتها و اماکن سازمان
همچنین در خصوص روشهای فنی میتوان به مواردی زیر اشاره کرد:
- ارزیابی امنیتی
- آزمون نفوذ
- ارزیابی پیکربندی
اطلاعات بیشتر را میتوانید در مقاله 14 گام اجرای فرایند مدیریت ریسک امنیت اطلاعات بیابید.
11- ارزیابی و تحلیل ریسکهای امنیت اطلاعات
پس از شناسایی ریسکها نوبت به ارزیابی ریسکها و تحلیل و اولویتبندی آنها میرسد. ارزیابی ریسک شامل تخمین مواردی مانند میزان پیامد ریسک، تخمین احتمال وقوع تهدید و تخمین شدت آسیبپذیری و نیز محاسبه ترکیب این عوامل بهمنظور محاسبه عدد سناریوی ریسک امنیت اطلاعات میباشد. تحلیل و اولویتبندی نیز به معنای رتبهبندی ریسکها بر اساس نتایج حاصل از محاسبه اعداد ریسک میباشد. تحلیل و اولویتبندی ریسک به سازمان کمک میکند تا بتواند منابع خود را جهت مقابله با ریسکهای با اولویت بالا مصروف نماید. مقاله 14 گام اجرای فرایند مدیریت ریسک امنیت اطلاعات را بهمنظور کسب اطلاعات بیشتر در خصوص ارزیابی و تحلیل ریسک حتما مطالعه کنید.
12- مقابله با ریسکهای امنیت اطلاعات
در این گام استراتژیها و تدابیر لازم جهت مقابله با ریسکهایی که در گامهای قبل شناسایی شدند، اتخاذ میشوند. مطابق استاندارد ISO 27005 چهار استراتژی اصلی جهت مقابله با ریسکهای امنیت اطلاعات قابل تعریف هستند که عبارتند از:
- کاهش
- پذیرش
- تسهیم
- اجتناب
بنا به میزان عدد ریسک و شرایط فنی، فرهنگی، سازمانی و … مرتبط با هر ریسک یکی از این استراتژیها برای مقابله با ریسک انتخاب میشود. پس از انتخاب استراتژی نوبت به تدوین طرح مقابله با ریسک یا همان Risk Treatment Plan (RTP) میرسد. اطلاعات بیشتر را در این رابطه را در مقاله 14 گام اجرای فرایند مدیریت ریسک امنیت اطلاعات ملاحظه نمایید.
13- تدوین بیانیه کاربردپذیری (SOA)
در این مرحله متولیان و مجریان استقرار و پیاده سازی ISMS باید مشخص کنند که کدام یک از کنترلهای امنیت اطلاعات برای سازمان مناسب و کاربردپذیر است. پیوست الف استاندارد ایزو 27001 فهرستی از کنترلهای عمومی و رایج را به سازمانها پیشنهاد میدهد. البته شما نباید به این کنترلها بسنده کنید. این فهرست باید به چشم یک مبنای اولیه و خط پایه نگاه مورد توجه قرار گیرد. بیانیه کاربرد پذیری (SOA) سندی است که در آن مشخص میشود که کدام یک از کنترلهای امنیت اطلاعات برای سازمان کاربرد پذیر است. همچنین در این سند تعیین میشود که کدام یک از کنترلهای امنیتی موجود در پیوست الف استاندارد کاربرد پذیر نیست. همچنین ضروریست که در SOA توجیه عدم کاربردپذیری یک کنترل نیز قید گردد.
14- تعیین اهداف امنیت اطلاعات
در این گام و بر اساس نتایج حاصل از مراحل مدیریت ریسک و شناخت زمینه سازمان باید اهداف امنیت اطلاعات سازمان تعریف گردند. پس از تعریف اهداف، طرحهای اقدام (Action Plan) جهت تحقق این اهداف تدوین میشوند. در ادامه نیز شاخصهایی به منظور اندازه گیری هدفهای امنیت اطلاعات تعریف میشوند.
15- تدوین خطمشیها، رویهها و دستورالعملهای امنیت اطلاعات
این مرحله یکی از مهمترین مراحل طراحی و استقرار سیستم مدیریت امنیت اطلاعات است. در این گام تمامی خطمشیها (Policy)، رویهها (Procedure) و دستورالعملهای (Instruction) امنیت اطلاعات متناسب با کنترلهای کاربردپذیر سازمان و بر اساس وسعت و پیچیدگی فرایندهای داخلی سازمان طراحی و تدوین میشوند. عملا این اسناد کتاب قانون سازمان در رابطه با امنیت اطلاعات را شکل میدهند. این مستندات از این پس مبنای حرکت سازمان در مدیریت امنیت اطلاعات خواهند بود. البته بدیهی است که چنانچه سازمان از قبل مستنداتی مرتبط با امنیت اطلاعات داشته باشید در این گام مورد بازبینی و در صورت نیاز بهروز آوری قرار میگیرند.
فاز اجرا از چرخه PDCA
این مرحله از چرخه PDCA متشکل از گام های 16و 17 است که در ادامه به آن پرداخته میشود.
16- آموزش و آگاهیرسانی امنیت اطلاعات
این مرحله زمان مناسبی است تا مدیران، کارشناسان و پرسنل سازمان به فراخور وظایف و مسئولیتهایی که دارند آموزشها و آگاهیهای امنیتی لازم را دریافت نمایند میتوانند به اجرا و استقرار هرچه بهتر سیستم کمک نمایند. بدیهی است هرچقدر دانش و اطلاعات افراد در خصوص موضوعات امنیت اطلاعات بیشتر باشد، مقاومت سازمانی در برابر پذیرش این سیستم کمتر میشود. همچنین کیفیت استقرار و پیاده سازی ISMS بهبود خواهد یافت.
منظور از آموزش، دورههای تخصصی امنیت اطلاعات است که برای مدیران و کارشناسان متولی استقرار ISMS برگزار میشود. منظور از آگاهیرسانی، اطلاع رسانیهای عمومی امنیتی است که به پرسنل از روشهای مختلف ارائه میشود. برخی از این روشها عبارتند از:
- دورههای آنلاین
- سمینار
- پوستر
- بروشور
- اعلان بر روی سیستمهای کامپیوتری و …
برای مشاهده دورههای مختلف آگاهی رسانی و آموزشهای تخصصی میتوانید به بخش دورههای آموزشی آنلاین ما که غالبا رایگان ارائه میشوند و نیز به بخش آموزشهای تخصصی سازمانی مراجعه نمایید.
17- اجرا و عملیاتیسازی سیستم
این مرحله زمان عملیاتی کردن سیستم است. طراحیهای لازم در مراحل قبل صورت گرفته و تمامی مستندات و طرحهای مقابله با ریسک آماده شدهاند. همچنین متولیان اجرای سیستم و پرسنل نیز آموزشهای لازم را دیدهاند. بنابراین همه شرایط مهیاست تا همه پرسنل سازمان (منظور از سازمان پرسنل حاضر در محدوده سیستم هستند) نسبت به اجرای خطمشیها، رویهها، دستورالعملها و طرحهای امنیت اطلاعات اقدام نمایند. البته بدیهی است که مجریان سیستم در این مرحله با چالشهای متعددی مواجه خواهند بود. این چالشها میتوانند چالشهای فرهنگی، عملیاتی، مدیریتی و فنی باشند. سازمان باید تلاش کند با ابتکارات متنوع و راهکارهای مختلف بر این چالشها غلبه کند.
فاز بازنگری از چرخه PDCA
این مرحله از چرخه PDCA متشکل ازگام های 18تا 20 است که در ادامه به آن پرداخته میشود.
18- اندازه گیری عملکرد
این مرحله اولین مرحله جهت ورود به فاز بازنگری سیستم است. در این گام عملکرد امنیت اطلاعات و اثربخشی سیستم بر اساس شاخصهای تعریف شده اندازهگیری میشود. اندازهگیری و سنجش عملکرد به متولیان سیستم نشان میدهد که آیا راهی که تا کنون طی شده اثربخش و کارا بوده است یا خیر؟ به همین جهت این گام اهمیت فوقالعادهای بهمنظور بازنگری درست سیستم و هدایت سیستم به مسیر درست دارد.
19- ممیزی داخلی
در این گام سازمان اقدام به برنامهریزی و اجرای ممیزی داخلی ISMS میکند. ممیزی داخلی باید در بازههای زمانی از پیش تعیین شده و بطور مرتب و منظم در سازمان صورت گیرد. هدف از انجام ممیزی داخلی شناسایی انطباقات و عدم انطباقات موجود در سیستم مدیریت امنیت اطلاعات با الزامات استاندارد ایزو 27001 و الزامات نهادهای کشوری مرتبط با سازمان است. همچنین شناسایی نقاط قوت و راهکارهای بهبود اثربخشی از دیگر اهدافیست که با ممیزی داخلی دنبال میشود. ممیزی داخلی بر خلاف ممیزی شخص ثالث از الزامات استاندارد ایزو 27001 است. عدم انجام مییزی داخلی منجر به وقوع یک عدم انطباق عمده در سیستم سازمان خواهد شد.
20- انجام بازنگری مدیریتی
بازنگری مدیریتی فعالیتی است که توسط مدیریت ارشد سازمان و در قالب برنامههای زمانی از پیش تعیین شده انجام میشود. هدف از اجرای این گام بررسی موارد زیر است:
- تصمیمات مدیریتی اتخاذ شده در بازنگریهای قبلی ISMS
- بررسی تغییرات احتمالی در موضوعات داخلی و بیرونی مرتبط با ISMS
- دریافت بازخورد از عملکرد امنیت اطلاعات
- بررسی بازخوردهای طرفهای ذینفع
- بررسی نتایج ارزیابی ریسک و فرصتهای بهبود سیستم
این فعالیت از مصادیق مهم تعهد مدیریت ارشد به سیستم است و وجود آن برای حیات سیستم ضروری است.
فاز اصلاح از چرخه PDCA
این مرحله از چرخه PDCA متشکل از گام های 21 و 22 است که در ادامه به آن پرداخته میشود.
21- اجرای اقدامات اصلاحی
این گام نشان بارز مفهوم بهبود مستمر در سیستم مدیریت امنیت اطلاعات است. در این مرحله باید نسبت به عدم انطباقهای شناسایی شده در مراحل قبل واکنش نشان داد. این اقدام میتواند در راستای کنترل و اصلاح عدم انطباق و مقابله با عواقب ناشی از عدم انطباق باشد. اقدام اصلاحی همچنین میتواند در راستای حذف علل عدم انطباق جهت جلوگیری از وقوع مجدد باشد. بهرحال متولیان سیستم باید این مرحله را جزئی لاینفک در تمامی چرخه حیات سیستم ببیندد و بهمحض مواجهه با یک عدم انطباق نسبت بهبرطرفسازی و اصلاح آن اقدام نمایند. یکی از ارکان اصلی در پویایی سیستم شما توجه به این مرحله از مراحل استقرار ISMS است. چنانچه علاقمند به دریافت اطلاعات بیشتر در خصوص پویایی سیستم هستید مقاله زمان مهمترین عامل در پویایی مدیریت امنیت اطلاعات را بخوانید.
22- ممیزی شخص ثالث و دریافت گواهینامه
در آخرین مرحله سازمان میتواند در صورت تمایل و برای اطمینان از اینکه ISMS اجرا شده توسط آن مطابق با الزامات استاندارد ایزو 27001 است خود را در معرض ممیزی شخص ثالث توسط نهاد بیرونی معتبر قرار دهد. متولی اصلی انجام ممیزی شخص ثالث در کشور ما مرکز راهبردی افتا است. مرکز افتا توسط بازوهای اجرایی خود که شرکتهای مورد تأیید جهت انجام ممیزی هستند این فرایند را به انجام میرسانند. البته در صورت عدم وجود محدودیتهای قانونی شما میتوانید از نهادهای گواهیدهنده بین المللی نیز استفاده نمایید.
نرم افزار مدیریت امنیت اطلاعات بادبان سامانه ایست که با بکارگیری آن میتوانید تمامی گام های فوق را در آن به انجام رسانید. نرم افزار بادبان بصورت هوشمند طراحی شده تا بتوانید پیاده سازی ISMS در چارچوب چرخه PDCA را بوسیله آن به آسانی و بطور حرفهای انجام دهید.