امروزه موضوع امنیت اطلاعات (که از این پس امنیت اطلاعات نامیده می شود) شرکت ها یکی از مبرم ترین موضوعات در جهان است. و این تعجب آور نیست، زیرا در بسیاری از کشورها الزامات سخت تری برای سازمان هایی وجود دارد که داده های شخصی را ذخیره و پردازش می کنند. در حال حاضر، قوانین روسیه مستلزم حفظ بخش قابل توجهی از جریان اسناد به صورت کاغذی است. در همان زمان، روند به سمت دیجیتالی شدن قابل توجه است: بسیاری از شرکت ها در حال حاضر مقدار زیادی از اطلاعات محرمانه را هم در قالب دیجیتال و هم در قالب اسناد کاغذی ذخیره می کنند.
با توجه به نتایج
در حال حاضر، امنیت اطلاعات شرکتی تنها مجموعه ای از ابزارهای فنی مانند آنتی ویروس ها یا فایروال ها نیست، بلکه یک رویکرد یکپارچه برای مدیریت دارایی های شرکت به طور کلی و اطلاعات به طور خاص است. شرکت ها با این مشکلات برخورد متفاوتی دارند. امروز می خواهیم در مورد پیاده سازی استاندارد بین المللی ISO 27001 به عنوان راه حلی برای چنین مشکلی صحبت کنیم. برای شرکت های موجود در بازار روسیه، وجود چنین گواهینامه ای تعامل با مشتریان و شرکای خارجی را که دارای الزامات بالایی در این زمینه هستند، ساده می کند. ISO 27001 به طور گسترده در غرب استفاده می شود و الزامات در زمینه امنیت اطلاعات را پوشش می دهد که باید توسط راه حل های فنی مورد استفاده پوشش داده شود و همچنین به توسعه فرآیندهای تجاری کمک کند. بنابراین این استاندارد می تواند به مزیت رقابتی شما و نقطه تماس با شرکت های خارجی تبدیل شود.
این گواهینامه سیستم مدیریت امنیت اطلاعات (از این پس به عنوان ISMS نامیده می شود) بهترین شیوه ها را برای طراحی یک ISMS جمع آوری می کند و مهمتر از همه، امکان انتخاب ابزارهای کنترلی برای اطمینان از عملکرد سیستم، الزامات پشتیبانی امنیتی فناوری و حتی فراهم می کند. برای فرآیند مدیریت پرسنل در شرکت. پس از همه، لازم است درک کنیم که نقص فنی تنها بخشی از مشکل است. در مسائل امنیت اطلاعات، عامل انسانی نقش بسیار زیادی دارد و حذف یا به حداقل رساندن آن بسیار دشوارتر است.
اگر شرکت شما به دنبال دریافت گواهینامه ISO 27001 است، ممکن است قبلاً سعی کرده باشید راه آسانی برای انجام آن پیدا کنید. ما باید شما را ناامید کنیم: هیچ راه آسانی در اینجا وجود ندارد. با این حال، مراحل خاصی وجود دارد که به آماده سازی سازمان برای الزامات امنیت اطلاعات بین المللی کمک می کند:
1. از مدیریت حمایت کنید
ممکن است فکر کنید این امر بدیهی است، اما در عمل اغلب این نکته نادیده گرفته می شود. علاوه بر این، این یکی از دلایل اصلی شکست پروژه های پیاده سازی ISO 27001 است. بدون درک اهمیت پروژه اجرای استاندارد، مدیریت نه منابع انسانی کافی و نه بودجه کافی برای صدور گواهینامه فراهم نخواهد کرد.
2. یک برنامه آماده سازی گواهینامه تهیه کنید
آماده شدن برای صدور گواهینامه ISO 27001 یک کار پیچیده است که شامل انواع مختلفی از کار است، نیاز به مشارکت تعداد زیادی از افراد دارد و می تواند چندین ماه (یا حتی سال ها) طول بکشد. بنابراین، ایجاد یک طرح دقیق پروژه بسیار مهم است: تخصیص منابع، زمان و مشارکت افراد به وظایف کاملاً تعریف شده و نظارت بر رعایت مهلتها - در غیر این صورت ممکن است هرگز کار را تمام نکنید.
3. محیط صدور گواهینامه را تعریف کنید
اگر یک سازمان بزرگ با فعالیت های متنوع دارید، ممکن است منطقی باشد که تنها بخشی از کسب و کار شرکت را به ISO 27001 گواهی دهید، که به طور قابل توجهی ریسک پروژه شما و همچنین زمان و هزینه آن را کاهش می دهد.
4. یک خط مشی امنیت اطلاعات ایجاد کنید
یکی از مهمترین اسناد، سیاست امنیت اطلاعات شرکت است. باید منعکس کننده اهداف امنیت اطلاعات شرکت شما و اصول اولیه مدیریت امنیت اطلاعات باشد که باید توسط همه کارکنان رعایت شود. هدف این سند این است که مشخص شود مدیریت شرکت در زمینه امنیت اطلاعات به چه چیزی میخواهد دست یابد و همچنین نحوه اجرا و کنترل آن چگونه است.
5. متدولوژی ارزیابی ریسک را تعریف کنید
یکی از دشوارترین کارها، تعیین قوانینی برای ارزیابی و مدیریت ریسک است. درک این نکته مهم است که یک شرکت چه ریسک هایی را قابل قبول در نظر می گیرد و کدام یک نیاز به اقدام فوری برای کاهش آنها دارد. بدون این قوانین، ISMS کار نخواهد کرد.
در عین حال، شایان ذکر است که کفایت اقدامات انجام شده برای کاهش خطرات انجام شده است. اما نباید بیش از حد از فرآیند بهینه سازی غافل شوید، زیرا آنها همچنین مستلزم هزینه های زمانی یا مالی زیادی هستند یا ممکن است به سادگی غیرممکن باشند. توصیه می کنیم هنگام ایجاد اقدامات کاهش ریسک، از اصل "حداقل کفایت" استفاده کنید.
6. ریسک ها را بر اساس روش تایید شده مدیریت کنید
مرحله بعدی استفاده مداوم از متدولوژی مدیریت ریسک است، یعنی ارزیابی و پردازش آنها. این فرآیند باید به طور منظم و با دقت زیاد انجام شود. با به روز نگه داشتن ثبت ریسک امنیت اطلاعات، می توانید منابع شرکت را به طور موثر تخصیص داده و از حوادث جدی جلوگیری کنید.
7. درمان خطر را برنامه ریزی کنید
خطراتی که بیش از حد قابل قبول برای شرکت شما باشد باید در طرح درمان ریسک گنجانده شوند. باید اقداماتی را با هدف کاهش خطرات و همچنین افراد مسئول آنها و مهلتها ثبت کند.
8. بیانیه کاربردی بودن را تکمیل کنید
این یک سند کلیدی است که توسط متخصصان سازمان صدور گواهینامه در طول ممیزی مورد مطالعه قرار می گیرد. باید توضیح دهد که کدام کنترل های امنیت اطلاعات برای فعالیت های شرکت شما اعمال می شود.
9. تعیین کنید که چگونه اثربخشی کنترل های امنیت اطلاعات اندازه گیری خواهد شد.
هر اقدامی باید نتیجه ای داشته باشد که منجر به تحقق اهداف تعیین شده شود. بنابراین، مهم است که به وضوح تعریف کنیم که دستیابی به اهداف با چه پارامترهایی هم برای کل سیستم مدیریت امنیت اطلاعات و هم برای هر مکانیزم کنترل انتخاب شده از پیوست کاربردی اندازهگیری میشود.
10. اجرای کنترل های امنیت اطلاعات
و تنها پس از تکمیل تمام مراحل قبلی باید شروع به پیاده سازی کنترل های امنیتی اطلاعات قابل اجرا از پیوست کاربردی کنید. البته بزرگترین چالش در اینجا، معرفی یک روش کاملاً جدید برای انجام کارها در بسیاری از فرآیندهای سازمان شما خواهد بود. مردم تمایل دارند در برابر سیاست ها و رویه های جدید مقاومت کنند، بنابراین به نکته بعدی توجه کنید.
11. اجرای برنامه های آموزشی برای کارکنان
اگر کارمندان شما اهمیت پروژه را درک نکنند و مطابق با سیاست های امنیت اطلاعات عمل نکنند، تمام نکاتی که در بالا توضیح داده شد، بی معنی خواهند بود. اگر میخواهید کارکنانتان از تمام قوانین جدید پیروی کنند، ابتدا باید به مردم توضیح دهید که چرا آنها ضروری هستند و سپس آموزشهایی در مورد ISMS ارائه دهید و تمام سیاستهای مهمی را که کارمندان باید در کار روزانه خود در نظر بگیرند برجسته کنید. عدم آموزش کارکنان یکی از دلایل رایج شکست پروژه ISO 27001 است.
12. فرآیندهای ISMS را حفظ کنید
در این مرحله، ISO 27001 به یک روال روزانه در سازمان شما تبدیل می شود. برای تأیید اجرای کنترلهای امنیت اطلاعات مطابق با استاندارد، حسابرسان باید سوابق - شواهدی از عملکرد واقعی کنترلها را ارائه دهند. اما بیشتر از همه، سوابق باید به شما کمک کند تا پیگیری کنید که آیا کارمندان (و تامین کنندگان) وظایف خود را مطابق با قوانین تایید شده انجام می دهند یا خیر.
13. ISMS خود را کنترل کنید
در مورد ISMS شما چه می گذرد؟ چند حادثه دارید، چه نوع حادثه ای دارید؟ آیا همه مراحل به درستی دنبال می شود؟ با این سؤالات، باید بررسی کنید که آیا شرکت به اهداف امنیت اطلاعات خود می رسد یا خیر. اگر نه، باید برنامه ای برای اصلاح وضعیت ایجاد کنید.
14. یک ممیزی داخلی ISMS انجام دهید
هدف از ممیزی داخلی شناسایی ناسازگاری بین فرآیندهای واقعی در شرکت و سیاست های امنیتی اطلاعات تایید شده است. در بیشتر موارد، این در حال بررسی است که ببیند کارمندان شما چقدر قوانین را رعایت می کنند. این نکته بسیار مهمی است، زیرا اگر بر کار کارکنان خود کنترل نداشته باشید، ممکن است سازمان متحمل آسیب (عمدی یا غیرعمدی) شود. اما هدف در اینجا یافتن مقصر و تنبیه آنها برای عدم رعایت سیاست ها نیست، بلکه هدف اصلاح وضعیت و جلوگیری از مشکلات آینده است.
15. یک بررسی مدیریتی سازماندهی کنید
مدیریت نباید فایروال شما را پیکربندی کند، اما باید بداند که در ISMS چه اتفاقی میافتد: برای مثال، اینکه آیا همه مسئولیتهای خود را انجام میدهند و آیا ISMS به نتایج هدف خود میرسد یا خیر. بر این اساس، مدیریت باید تصمیمات کلیدی برای بهبود ISMS و فرآیندهای داخلی کسب و کار بگیرد.
16. معرفی سیستم اقدامات اصلاحی و پیشگیرانه
مانند هر استاندارد دیگری، ISO 27001 نیاز به "بهبود مستمر" دارد: اصلاح سیستماتیک و جلوگیری از تناقضات در سیستم مدیریت امنیت اطلاعات. از طریق اقدامات اصلاحی و پیشگیرانه می توان عدم انطباق را اصلاح کرد و از تکرار مجدد آن در آینده جلوگیری کرد.
در خاتمه می خواهم بگویم که در واقع گرفتن گواهینامه بسیار دشوارتر از آن چیزی است که در منابع مختلف توضیح داده شده است. این با این واقعیت تأیید می شود که امروزه در روسیه فقط وجود دارد
علیرغم این واقعیت که صدور گواهینامه ISMS کار آسانی نیست، خود این واقعیت که الزامات استاندارد بین المللی ISO/IEC 27001 را برآورده می کند، می تواند یک مزیت رقابتی جدی در بازار جهانی ایجاد کند. ما امیدواریم که مقاله ما درک اولیه از مراحل کلیدی در آماده سازی یک شرکت برای صدور گواهینامه ارائه کرده باشد.
منبع: www.habr.com