آج، کمپنیوں کی انفارمیشن سیکیورٹی (اس کے بعد انفارمیشن سیکیورٹی کہلاتی ہے) کا مسئلہ دنیا میں سب سے زیادہ دباؤ میں ہے۔ اور یہ حیرت کی بات نہیں ہے، کیونکہ بہت سے ممالک میں ذاتی ڈیٹا کو ذخیرہ کرنے اور اس پر کارروائی کرنے والی تنظیموں کے لیے تقاضوں کو سخت کیا جا رہا ہے۔ فی الحال، روسی قانون سازی کے لیے کاغذی شکل میں دستاویز کے بہاؤ کے ایک اہم تناسب کو برقرار رکھنے کی ضرورت ہے۔ ایک ہی وقت میں، ڈیجیٹلائزیشن کی طرف رجحان نمایاں ہے: بہت سی کمپنیاں پہلے ہی ڈیجیٹل فارمیٹ اور کاغذی دستاویزات کی شکل میں خفیہ معلومات کی ایک بڑی مقدار کو ذخیرہ کرتی ہیں۔
نتائج کے مطابق اینٹی میلویئر اینالیٹیکل سینٹر، 86% جواب دہندگان نے نوٹ کیا کہ سال کے دوران انہیں کم از کم ایک بار سائبر حملوں کے بعد یا صارف کے قائم کردہ ضوابط کی خلاف ورزی کے نتیجے میں ہونے والے واقعات کو حل کرنا پڑا۔ اس سلسلے میں کاروبار میں معلومات کی حفاظت کو ترجیح دینا ایک ضرورت بن گئی ہے۔
فی الحال، کارپوریٹ انفارمیشن سیکیورٹی نہ صرف تکنیکی ذرائع کا ایک مجموعہ ہے، جیسے کہ اینٹی وائرس یا فائر وال، یہ پہلے سے ہی عام طور پر کمپنی کے اثاثوں اور خاص طور پر معلومات کو سنبھالنے کا ایک مربوط طریقہ ہے۔ کمپنیاں ان مسائل سے مختلف طریقے سے رجوع کرتی ہیں۔ آج ہم ایسے مسئلے کے حل کے طور پر بین الاقوامی معیار ISO 27001 کے نفاذ کے بارے میں بات کرنا چاہیں گے۔ روسی مارکیٹ میں کمپنیوں کے لئے، اس طرح کے سرٹیفکیٹ کی موجودگی غیر ملکی گاہکوں اور شراکت داروں کے ساتھ بات چیت کو آسان بناتی ہے جو اس معاملے میں اعلی ضروریات رکھتے ہیں. ISO 27001 مغرب میں وسیع پیمانے پر استعمال ہوتا ہے اور معلومات کی حفاظت کے شعبے میں ضروریات کا احاطہ کرتا ہے، جس کا احاطہ استعمال کیے جانے والے تکنیکی حل کے ذریعے کیا جانا چاہیے، اور کاروباری عمل کی ترقی میں بھی حصہ ڈالنا چاہیے۔ اس طرح، یہ معیار آپ کا مسابقتی فائدہ اور غیر ملکی کمپنیوں کے ساتھ رابطے کا نقطہ بن سکتا ہے۔
انفارمیشن سیکیورٹی مینجمنٹ سسٹم کے اس سرٹیفیکیشن نے (اس کے بعد ISMS کہا جاتا ہے) نے ISMS کو ڈیزائن کرنے کے لیے بہترین طریقوں کو جمع کیا اور، اہم بات یہ ہے کہ نظام کے کام کو یقینی بنانے کے لیے کنٹرول ٹولز کے انتخاب کے امکانات، تکنیکی سیکیورٹی سپورٹ کی ضروریات اور یہاں تک کہ کمپنی میں عملے کے انتظام کے عمل کے لیے۔ سب کے بعد، یہ سمجھنے کی ضرورت ہے کہ تکنیکی خرابی صرف مسئلہ کا حصہ ہے. معلومات کی حفاظت کے معاملات میں، انسانی عنصر بہت بڑا کردار ادا کرتا ہے، اور اسے ختم کرنا یا کم کرنا بہت زیادہ مشکل ہے۔
اگر آپ کی کمپنی آئی ایس او 27001 سرٹیفائیڈ بننا چاہتی ہے، تو آپ نے پہلے ہی ایسا کرنے کا آسان طریقہ تلاش کرنے کی کوشش کی ہوگی۔ ہمیں آپ کو مایوس کرنا ہوگا: یہاں کوئی آسان طریقہ نہیں ہے۔ تاہم، کچھ ایسے اقدامات ہیں جو ایک تنظیم کو بین الاقوامی معلومات کے تحفظ کے تقاضوں کے لیے تیار کرنے میں مدد کریں گے۔
1. انتظامیہ سے تعاون حاصل کریں۔
آپ کو لگتا ہے کہ یہ واضح ہے، لیکن عملی طور پر اس نکتے کو اکثر نظر انداز کر دیا جاتا ہے۔ مزید یہ کہ ISO 27001 کے نفاذ کے منصوبے اکثر ناکام ہونے کی ایک اہم وجہ یہ ہے۔ معیاری نفاذ کے منصوبے کی اہمیت کو سمجھے بغیر، انتظامیہ سرٹیفیکیشن کے لیے کافی انسانی وسائل یا کافی بجٹ فراہم نہیں کرے گی۔
2. سرٹیفیکیشن کی تیاری کا منصوبہ تیار کریں۔
ISO 27001 سرٹیفیکیشن کی تیاری ایک پیچیدہ کام ہے جس میں بہت سے مختلف قسم کے کام شامل ہوتے ہیں، لوگوں کی ایک بڑی تعداد کی شمولیت کی ضرورت ہوتی ہے اور اس میں کئی مہینے (یا سال بھی) لگ سکتے ہیں۔ اس لیے، ایک تفصیلی پروجیکٹ پلان بنانا بہت ضروری ہے: وسائل، وقت اور لوگوں کی شمولیت کو سختی سے طے شدہ کاموں کے لیے مختص کریں اور ڈیڈ لائن کی تعمیل کی نگرانی کریں - بصورت دیگر آپ کبھی بھی کام ختم نہیں کر سکتے۔
3. سرٹیفیکیشن کی حدود کی وضاحت کریں۔
اگر آپ کے پاس متنوع سرگرمیوں کے ساتھ ایک بڑی تنظیم ہے، تو کمپنی کے کاروبار کے صرف ایک حصے کو ISO 27001 کی تصدیق کرنا سمجھ میں آ سکتا ہے، جو آپ کے پروجیکٹ کے خطرے کے ساتھ ساتھ اس کے وقت اور لاگت کو نمایاں طور پر کم کر دے گا۔
4. انفارمیشن سیکیورٹی پالیسی تیار کریں۔
سب سے اہم دستاویزات میں سے ایک کمپنی کی انفارمیشن سیکیورٹی پالیسی ہے۔ یہ آپ کی کمپنی کے انفارمیشن سیکیورٹی کے اہداف اور انفارمیشن سیکیورٹی مینجمنٹ کے بنیادی اصولوں کی عکاسی کرتا ہے، جن پر تمام ملازمین کو عمل کرنا چاہیے۔ اس دستاویز کا مقصد یہ طے کرنا ہے کہ کمپنی کی انتظامیہ انفارمیشن سیکیورٹی کے شعبے میں کیا حاصل کرنا چاہتی ہے، نیز اس کو کیسے نافذ اور کنٹرول کیا جائے گا۔
5. خطرے کی تشخیص کے طریقہ کار کی وضاحت کریں۔
سب سے مشکل کاموں میں سے ایک خطرے کی تشخیص اور انتظام کے لیے قواعد کی وضاحت کرنا ہے۔ یہ سمجھنا ضروری ہے کہ کمپنی کن خطرات کو قابل قبول سمجھ سکتی ہے اور جن کو کم کرنے کے لیے فوری کارروائی کی ضرورت ہے۔ ان اصولوں کے بغیر، ISMS کام نہیں کرے گا۔
ایک ہی وقت میں، خطرات کو کم کرنے کے لیے اٹھائے گئے اقدامات کی مناسبیت کو یاد رکھنے کے قابل ہے۔ لیکن آپ کو اصلاح کے عمل سے زیادہ پریشان نہیں ہونا چاہئے، کیونکہ ان میں بڑے وقت یا مالی اخراجات بھی شامل ہیں یا یہ ناممکن بھی ہو سکتے ہیں۔ ہم تجویز کرتے ہیں کہ خطرے میں کمی کے اقدامات تیار کرتے وقت آپ "کم از کم کفایت شعاری" کا اصول استعمال کریں۔
6. منظور شدہ طریقہ کار کے مطابق خطرات کا انتظام کریں۔
اگلا مرحلہ رسک مینجمنٹ کے طریقہ کار کا مستقل اطلاق ہے، یعنی ان کی تشخیص اور پروسیسنگ۔ یہ عمل بڑی احتیاط کے ساتھ مستقل بنیادوں پر کیا جانا چاہیے۔ انفارمیشن سیکیورٹی رسک رجسٹر کو اپ ٹو ڈیٹ رکھ کر، آپ کمپنی کے وسائل کو مؤثر طریقے سے مختص کرنے اور سنگین واقعات کو روکنے کے قابل ہو جائیں گے۔
7. خطرے کے علاج کی منصوبہ بندی کریں۔
وہ خطرات جو آپ کی کمپنی کے لیے قابل قبول سطح سے زیادہ ہیں خطرے کے علاج کے منصوبے میں شامل کیے جائیں۔ اسے خطرات کو کم کرنے کے مقصد کے ساتھ ساتھ ان کے ذمہ دار افراد اور آخری تاریخوں کو ریکارڈ کرنا چاہیے۔
8. قابل اطلاق کا بیان مکمل کریں۔
یہ ایک اہم دستاویز ہے جس کا مطالعہ سرٹیفیکیشن باڈی کے ماہرین آڈٹ کے دوران کریں گے۔ اسے یہ بیان کرنا چاہیے کہ آپ کی کمپنی کی سرگرمیوں پر کون سے معلوماتی حفاظتی کنٹرول لاگو ہوتے ہیں۔
9. اس بات کا تعین کریں کہ انفارمیشن سیکیورٹی کنٹرولز کی تاثیر کی پیمائش کیسے کی جائے گی۔
کسی بھی عمل کا نتیجہ ضرور ہونا چاہیے جس کے نتیجے میں طے شدہ اہداف کی تکمیل ہوتی ہے۔ لہذا، یہ واضح طور پر بیان کرنا ضروری ہے کہ اہداف کے حصول کو پورے انفارمیشن سیکیورٹی مینجمنٹ سسٹم اور قابل اطلاق ضمیمہ سے ہر منتخب کردہ کنٹرول میکانزم دونوں کے لیے کس پیرامیٹرز سے ماپا جائے گا۔
10. انفارمیشن سیکیورٹی کنٹرولز کو لاگو کریں۔
اور پچھلے تمام مراحل کو مکمل کرنے کے بعد ہی آپ کو قابل اطلاق ضمیمہ سے قابل اطلاق انفارمیشن سیکیورٹی کنٹرولز کو لاگو کرنا شروع کرنا چاہیے۔ یہاں سب سے بڑا چیلنج، یقیناً، آپ کی تنظیم کے بہت سے عملوں میں کام کرنے کا بالکل نیا طریقہ متعارف کرانا ہوگا۔ لوگ نئی پالیسیوں اور طریقہ کار کے خلاف مزاحمت کرتے ہیں، اس لیے اگلے نکتے پر توجہ دیں۔
11. ملازمین کے لیے تربیتی پروگرام لاگو کریں۔
اوپر بیان کیے گئے تمام نکات بے معنی ہوں گے اگر آپ کے ملازمین اس منصوبے کی اہمیت کو نہیں سمجھتے اور معلومات کی حفاظت کی پالیسیوں کے مطابق عمل نہیں کرتے۔ اگر آپ چاہتے ہیں کہ آپ کا عملہ تمام نئے اصولوں کی تعمیل کرے، تو آپ کو پہلے لوگوں کو سمجھانا ہوگا کہ وہ کیوں ضروری ہیں، اور پھر ISMS پر تربیت فراہم کریں، ان تمام اہم پالیسیوں پر روشنی ڈالیں جن کا ملازمین کو اپنے روزمرہ کے کام میں خیال رکھنا چاہیے۔ عملے کی تربیت کی کمی ISO 27001 پروجیکٹ کی ناکامی کی ایک عام وجہ ہے۔
12. ISMS کے عمل کو برقرار رکھیں
اس وقت، ISO 27001 آپ کی تنظیم میں روزانہ کا معمول بن جاتا ہے۔ معیار کے مطابق انفارمیشن سیکیورٹی کنٹرولز کے نفاذ کی تصدیق کرنے کے لیے، آڈیٹرز کو ریکارڈ فراہم کرنے کی ضرورت ہوگی - کنٹرولز کے اصل آپریشن کا ثبوت۔ لیکن سب سے زیادہ، ریکارڈز سے آپ کو یہ معلوم کرنے میں مدد ملتی ہے کہ آیا آپ کے ملازمین (اور سپلائرز) منظور شدہ قواعد کے مطابق اپنے کام انجام دے رہے ہیں۔
13. اپنے ISMS کی نگرانی کریں۔
آپ کے ISMS کے ساتھ کیا ہو رہا ہے؟ آپ کے پاس کتنے واقعات ہیں، وہ کس قسم کے ہیں؟ کیا تمام طریقہ کار صحیح طریقے سے چل رہے ہیں؟ ان سوالات کے ساتھ، آپ کو چیک کرنا چاہیے کہ آیا کمپنی اپنے انفارمیشن سیکیورٹی کے اہداف کو پورا کر رہی ہے۔ اگر نہیں، تو آپ کو صورت حال کو درست کرنے کے لیے ایک منصوبہ تیار کرنا چاہیے۔
14. اندرونی ISMS آڈٹ کروائیں۔
اندرونی آڈٹ کا مقصد کمپنی میں اصل عمل اور منظور شدہ انفارمیشن سیکیورٹی پالیسیوں کے درمیان تضادات کی نشاندہی کرنا ہے۔ زیادہ تر حصے کے لیے، یہ یہ دیکھنے کی جانچ کر رہا ہے کہ آپ کے ملازمین کتنی اچھی طرح سے قواعد کی پیروی کر رہے ہیں۔ یہ ایک بہت اہم نکتہ ہے، کیونکہ اگر آپ اپنے عملے کے کام کو کنٹرول نہیں کرتے ہیں، تو تنظیم کو نقصان پہنچ سکتا ہے (جان بوجھ کر یا غیر ارادی طور پر)۔ لیکن یہاں مقصد مجرموں کو تلاش کرنا اور پالیسیوں پر عمل نہ کرنے پر ان کو تادیب کرنا نہیں ہے، بلکہ صورتحال کو درست کرنا اور مستقبل کے مسائل کو روکنا ہے۔
15. انتظامی جائزہ کو منظم کریں۔
انتظامیہ کو آپ کے فائر وال کو کنفیگر نہیں کرنا چاہیے، لیکن انہیں معلوم ہونا چاہیے کہ ISMS میں کیا ہو رہا ہے: مثال کے طور پر، آیا ہر کوئی اپنی ذمہ داریاں پوری کر رہا ہے اور آیا ISMS اپنے ہدف کے نتائج حاصل کر رہا ہے۔ اس کی بنیاد پر، انتظامیہ کو ISMS اور اندرونی کاروباری عمل کو بہتر بنانے کے لیے اہم فیصلے کرنے چاہئیں۔
16. اصلاحی اور حفاظتی اقدامات کا ایک نظام متعارف کروائیں۔
کسی بھی معیار کی طرح، ISO 27001 کو "مسلسل بہتری" کی ضرورت ہوتی ہے: انفارمیشن سیکیورٹی مینجمنٹ سسٹم میں تضادات کی منظم اصلاح اور روک تھام۔ اصلاحی اور احتیاطی اقدامات کے ذریعے، عدم مطابقت کو درست کیا جا سکتا ہے اور مستقبل میں دوبارہ ہونے سے روکا جا سکتا ہے۔
آخر میں، میں یہ کہنا چاہوں گا کہ درحقیقت، تصدیق حاصل کرنا مختلف ذرائع میں بیان کیے جانے سے کہیں زیادہ مشکل ہے۔ اس حقیقت کی طرف سے اس بات کی تصدیق کی جاتی ہے کہ آج روس میں صرف ہیں تعمیل کے لیے تصدیق شدہ ہیں۔ ایک ہی وقت میں، یہ بیرون ملک سب سے زیادہ مقبول معیارات میں سے ایک ہے، جو معلومات کی حفاظت کے شعبے میں کاروبار کے بڑھتے ہوئے مطالبات کو پورا کرتا ہے۔ عمل درآمد کا یہ مطالبہ نہ صرف خطرات کی اقسام میں اضافے اور پیچیدگی کی وجہ سے ہے، بلکہ قانون سازی کے تقاضوں کے ساتھ ساتھ ان کلائنٹس کے لیے بھی ہے جنہیں اپنے ڈیٹا کی مکمل رازداری برقرار رکھنے کی ضرورت ہے۔
اس حقیقت کے باوجود کہ ISMS سرٹیفیکیشن کوئی آسان کام نہیں ہے، بین الاقوامی معیار ISO/IEC 27001 کی ضروریات کو پورا کرنے کی حقیقت عالمی مارکیٹ میں ایک سنگین مسابقتی فائدہ فراہم کر سکتی ہے۔ ہم امید کرتے ہیں کہ ہمارے مضمون نے کمپنی کو سرٹیفیکیشن کے لیے تیار کرنے کے کلیدی مراحل کی ابتدائی تفہیم فراہم کی ہے۔
ماخذ: www.habr.com