Telegram Instagram M-icon-aparat Twitter Linkedin-in
  • 09121990309 - 01343449625
  • منطقه آزاد انزلی، مجتمع ستاره شمال، شماره 2218
داده پردازی هوشمند کندو
(منطقه آزاد انزلی)
طراحی، پیاده سازی و اجرای ISMS

 

طراحی، پیاده سازی و اجرای استانداردهای امنیتی

 

مشاوره، پیاده‌سازی و استقرار استانداردهای امنیتی به ویژه سیستم مدیریت امنیت اطلاعات (ISMS) در جهت کاهش ریسک و ایمن ساختن اطلاعات و هم‌سو‌ سازی آن با ریسک تجاری سازمان یکی از خدمات شرکت “داده پردازی هوشمند کندو” می‌باشد.

طراحی و پیاده‌سازی استانداردهای امنیتی

امروزه سازمان‌ها با تهدیدات زیادی در زمینه امنیت اطلاعات روبرو هستند. نگاه اصولی مدیریت به کنترل و امنیت اطلاعات میتواند با ایجاد اطمینان از عملکرد صحیح کنترل‌ها در جهت کاهش ریسک اطلاعات و همسو سازی آن با ریسک تجاری سازمان بسیار موثر باشد. در حقیقت کنترل داخلی فناوری اطلاعات، بهترین وسیله برای مواجهه و کاهش این دسته از ریسک‌ها در سازمان‌ها می‌باشد.

یکی از خدمات کلیدی شرکت داده پردازی هوشمند کندو ، مشاوره و پیاده‌سازی سیستم مدیریت امنیت اطلاعات یا Information Security Management System می ‌باشد، این سیستم راهکاری مدیریتی، برای پیاده‌سازی کنترل‌ های امنیتی می‌باشد که با ایجاد زیرساخت‌ های مورد نیاز، امنیت اطلاعات سازمان را تضمین می‌نماید.

 

 مدل (PDCA) ساختاری است که در پیاده‌سازی (ISMS) در عموم سازمان ‌ها و شرکت ‌ها توصیه می‌شود. 

 

یک سامانه مدیریت امنیت اطلاعات (ISMS) به صورت کلی باعث کاهش صدمات ناشی از ریسک‌ها  و اطمینان از تداوم کسب و کار می‌شود. پیاده‌سازی این سامانه می‌تواند موجب:

 

  •     اطمینان از سازگاری با استانداردهای امنیت اطلاعات و محافظت از داده‌ها
  •     مطمئن بودن به تصمیم گیری‌ها
  •     حفاظت از سرمايه ‌هاي سازماني
  •     بهبود در برنامه‌ريزي‌ هاي امنيتي
  •     حفظ محرمانگي و دسترسی پذیری بودن اطلاعات
  •     حفظ اطلاعات از بروز تهديدات، آسيب‌پذيري‌ ها و مخاطرات در حد امكان
  •     آمادگي براي مواجهه با حوادثي كه امنيت اطلاعات را به مخاطره انداخته اند
  •     ايجاد اطمينان بيشتر براي مديران، كاركنان، مشتريان و ساير ذينفعان سازمان در مورد امنيت اطلاعات
  •     بازگشت هزينه صرف شده براي پياده‌سازي (ISMS) در بلندمدت
  •     كاهش هزينه هاي ترميم خسارات ناشي از كمبود و نقص موازين امنيتي
  •     كاهش مسئوليت هاي انساني در حفظ امنيت اطلاعات، بواسطه كنترل هاي سيستماتيك
  •     شناسايي، ارزيابي و حفاظت از دارايي هاي مهم سازمان همچون: پرسنل كليدي، دانش پرسنل،اطلاعات سازمان و اعتبار و شهرت سازمان
  •     اطمينان از تداوم كسب و كار و كاهش صدمات از طريق ايمن ساختن اطلاعات و كاهش تهديد ها
  •     امكان رقابت بهتر با ساير سازمان‌ ها
  •     محک زدن میزان امنیت اطلاعات در سازمان
  •     ایجاد اطمینان نزد مشتریان و شرکای تجاری
  •     امکان رقابت بهتر با سایر شرکت ها
  •     ایجاد مدیریت فعال و پویا در پیاده سازی امنیت اطلاعات
اولویت بندی راهکارها

اولویت راهکارها

با توجه به گستردگی و تنوع کنترل‌های استاندارد ISO 27001، یکی از علل ریشه‌ای موفقیت در پروژه‌های مشاوره این استاندارد، ارائه اولویت‌بندی مناسب، جهت عملیاتی سازی رویه‌ها و راه‌کارهای شناسایی شده می‌باشد.

هر راه‌کار داراي مشخصه‌هايي است که به تصميم‌گيري سازمان براي انتخاب اولویت آن‌ها به عنوان راه‌کار با اولویت بالا، کمک مي‌نمايد که عبارتند از :

  منابع لازم: شناخته‌شده‌ترین منابع هر سازمان، زمان اجرا و هزینه مالی راه‌کار می‌باشد. لذا در سازمان‌ها، راهکارهايی که براي پياده‌سازي، هزينه کمتري را مي‌طلبند و در زمان کمتری خروجی خود را نمایان می‌سازند، همواره مطلوبيت بيشتري نسبت به راهکارهای گران‌ و زمانبر دارند. معمولا برای اين شاخص با ترکیبی از زمان و هزینه سه سطح کم، متوسط و زياد پيش‌بينی می‌شود.

  ميزان اثر بخشياين شاخص مشخص مي‌کند که هر راه‌کار به چه ميزان در کاهش مخاطرات موثر است و بر حسب نوع خود مي‌تواند يکي از سه سطح کارايي کم، متوسط و زياد و ارزش متناظر را داشته باشد. طبعا استفاده از راه‌کاري که از بروز يک واقعه جلوگيري مي‌کند بسيار مناسب‌تر از راه‌کاري است که يک حادثه را اطلاع مي‌دهد و يا براي بعد از وقوع حادثه درماني ارائه مي‌کند. معمولا شاخص‌هایی که باعث کاهش احتمال وقوع ریسک می‌شود و یا تبعات ریسک را کاهش می‌دهد، با اثر بخشی بالا و مواردی که منجر به بازیابی خدمات و یا انتقال ریسک می‌شوند، با اثر بخشی پایین امتیازدهی می‌شوند.

  تعداد ریسک‌هاي تحت پوشش: همان‌طور که از نام اين شاخص مشخص است بيان مي‌کند که يک راه‌کار چه تعداد تهديد و آسیب پذیری را پوشش مي‌دهد. هر چه تعداد تهديدهاي بيشتري توسط راه‌کار پيشنهادي پوشش داده شود شاخص ارزشي آن (اولويت) آن بيشتر است.

  ارزش دارائی‌های تحت پوششهر چقدر که ارزش دارائي‌هايی که از اين راه‌کار بهره‌مند می‌شوند، بيشتر باشد اولويت راه‌کار بالاتر است.

روش اجرایی

 روش های اجرایی

 شرکت “داده پردازی هوشمند کندو” در راستای برآورده‌کردن الزامات استاندارد ISO 27001 و پیاده‌سازی موفق استاندارد، علاوه بر تهیه LOM تجهیزات امنیتی مورد نیاز، دستورالعمل‌ها و رویه‌های امنیت اطلاعات را به صورت اختصاصی و کاربردی، با توجه به جداول برخورد با ریسک سازمان و شاخص‌های ذکر شده، اولویت‌بندی نموده و سپس با تعیین نقش‌ها و مسئولیت‌ها (نمودار RACI)، کاربران و ذی‌نفعان، دارایی‌ها، سرویس‌ها و روال‌های سازمانی مرتبط، نحوه استفاده، به کارگیری و عملیاتی‌سازی راه‌کارها را به مشتریان آموزش می‌دهد. تعدادی از این راه‌کارها شامل موارد زیر می‌باشند:

 

  کنترل دسترسی به سرویس‌های اطلاعاتی

بهبودمستمر

  کنترل مستندات سیستمی

  ممیزی داخلی

  تهیه نسخه پشتیبان

  کنترل سوابق

  استفاده (دسترسی) مجاز

  امنیت شبکه

  آموزش و آگاهی رسانی امنیت اطلاعات

  امنیت اینترنت

  رسانه‌های ذخیره‌سازی قابل حمل

  امنیت پرسنلی

  مدیریت تداوم کسب و کار

  شخص ثالث

  امنیت پست الکترونیکی

  مدیریت حوادث

  مدیریت اسناد اطلاعاتی

  بازنگری مدیریت

  امنیت برنامه‌های کاربردی

  تبادل اطلاعات 

  الزامات قانونی قراردادها

  ضد بدافزار

  ثبت و پاسخگویی به خطاهای سیستم

  انضباطی 

  خرید تجهیزات سخت‌افزاری

  رویه خرید نرم‌افزار

  دستورالعمل استفاده از گذرواژه

  مدیریت ظرفیت 

  استفاده از ایستگاه کاری

  رمز نگاری

  امحا و دور انداختن تجهیزات نرم‌افزارها و مستندات

  رویه مدیریت تغییرات 

  ساختار سازمانی امنیت اطلاعات

  کنترل دسترسی 

  امنیت در دسترسی از راه دور

  رویکرد ارزیابی ریسک

  نشانی‌دهی امنیت در مدیریت پروژه

  امنیت فیزیکی و محیطی
انواع استانداردها

پیاده‌سازی و اجرای استانداردهای امنیتی نقش بسیار حیاتی در حفاظت از اطلاعات سازمانی دارد. این فرآیند می‌تواند بسیار گسترده و شامل مراحل مختلفی مانند بررسی و تحلیل، طراحی و تدوین سیاست‌ها، آموزش و آگاهی‌رسانی، ممیزی و ارزیابی و … باشد. این فرآیند‌ها باید به طور مداوم پیگیری شده و با توجه به تغییرات در محیط کسب و کار و تکنولوژی‌های جدید، به روزرسانی شوند تا امنیت اطلاعات سازمان حفظ شود.

مهمترین استانداردهای امنیتی:

  1. استاندارد IOS 27001 (امنیت اطلاعات)
  2. استاندارد ISO 3100 (مدیریت ریسک)
  3. استاندارد ISO 55001 (مدیریت دارایی‌ها)
  4. استاندارد ISO 22301 (تداوم کسب و کار)
  5. استاندارد ISO 20000 (مدیریت خدمات فناوری اطلاعات)
  6. استاندارد PCI-DSS (امنیت داده صنعت پرداخت)
مراحل دریافت خدمت

مراحل انجام کار:

  1. تکمیل فرم درخواست پیاده‌سازی استاندارد امنیتی
  2.  امضای NDA
  3. ارائه نقشه راه و تعیین زمانبندی
  4. اخذ تاییدیه و امضای تفاهم نامه
  5. شروع پروژه و اجرا بر اساس زمانبندی ارائه شده
  6. اخذ گواهینامه برای کارفرما

برچسب ها

https://csdpc.ir/wp-content/uploads/2020/10/0_.png
Account Takeover advanced advanced-persistent-threat Advanced Threat Hunting Application-Access-Token credential-dumping cyber attack hack persistent threat حمله سایبری