Linkedin-in X-twitter Telegram
  • 09121990309 - 01343449625
  • منطقه آزاد انزلی، مجتمع ستاره شمال، شماره 2218
داده پردازی هوشمند کندو
(منطقه آزاد انزلی)
ارائه طرح جامع امنیت اطلاعات

 

طرح جامع امنیت اطلاعات (ISMP) در قالب vCISO 

 

امروزه برنامه‌ریزی در حوزه فناوری ‌های اطلاعاتی و همچنین مشاوره به منظور انتخاب و پیاده‌سازی فناوری‌های مناسب از جایگاه ویژه‌ای در سازمان‌های دولتی و خصوصی برخوردار شده است. این سازمان‌ها سالانه مبالغ قابل توجهی از بودجه خود را به شکل تامین تجهیزات سخت‌افزاری، تهیه نرم‌افزار، توسعه شبکه و خطوط ارتباطی، تولید داده‌ها و اطلاعات، آموزش کارکنان و سایر مسائل مشابه سرمایه‌گذاری می‌کنند. با تمام این احوال با نگاهی به سازمان‌های مختلف در سطح کشور باید اذعان داشت که نمونه‌های موفق سرمایه‌گذاری در فناوری اطلاعات بسیار اندک بوده است.

ارائه طرح جامع امنیت

طرح جامع امنیت اطلاعات (Information Security Master Plan) سندی است که رویکرد کلی یک سازمان را نسبت به امنیت اطلاعات ترسیم می‌کند.

این مستند به عنوان یک نقشه راه عمل می‌کند و سازمان را  جهت  اجرا و نگهداری کنترل های امنیتی در راستای محافظت از دارایی‌ها و زیرساخت‌های حیاتی راهنمایی می‌نماید.

 

مؤلفه‌های کلیدی یک ISMP:

  • اهداف و مقاصد امنیتی: به طور واضح آنچه را که می‌خواهید با برنامه امنیتی خود به دست آورید، با اهداف کلی کسب و کار خود هماهنگ کنید.
  • ارزیابی ریسک: تهدیدات و آسیب‌پذیری‌های بالقوه دارایی‌های اطلاعاتی خود را شناسایی و اولویت‌بندی کنید.
  • کنترل‌های امنیتی: اقدامات حفاظتی را برای کاهش خطرات شناسایی شده اجرا کنید، مانند کنترل دسترسی، رمزگذاری، فایروال‌ها و سیستم‌های تشخیص نفوذ.
  • سیاست‌ها و رویه‌های امنیتی: دستورالعمل‌های واضحی برای کارمندان در مورد نحوه مدیریت اطلاعات حساس و استفاده ایمن از سیستم‌های فناوری اطلاعات ایجاد کنید.
  • طرح پاسخ به حادثه: تعریف کنید که چگونه به حوادث امنیتی پاسخ داده و آن‌ها را بازیابی خواهید کرد.
  • بودجه و منابع: منابع لازم را برای اجرا و نگهداری برنامه امنیتی خود اختصاص دهید.
 

مزایای ISMP:

  • رویکرد پیشگیرانه: خطرات را قبل از اینکه بتوانند آسیب وارد کنند شناسایی و برطرف نمایید.
  • کاهش هزینه‌ها: از نقض محرمانگی داده‌ها و سایر حوادث امنیتی که بازیابی از آن‌ها می‌تواند پرهزینه باشد جلوگیری کنید.
  • تداوم کسب و کار: حتی در صورت اختلال، در دسترس بودن اطلاعات حیاتی را تضمین کنید.
  • افزایش آگاهی کارکنان: ایجاد یک فرهنگ امنیت اطلاعات در سازمان.
 

توسعه یک ISMP:

ایجاد یک ISMP یک فرآیند تکرار شونده است که شامل ذینفعان مختلف در سراسر سازمان می‌شود. ضروری است که برنامه را با نیازها و صنعت خاص خود تطبیق دهید.

vCISO چیست؟

vCISO (Virtual Chief Information Security Officer)  به معنای ارائه خدمات مدیریت امنیت اطلاعات به صورت مجازی و پاره‌وقت توسط افراد یا تیم‌های متخصص است. این خدمات معمولاً شامل ارزیابی ریسک، تدوین سیاست‌های امنیتی، نظارت و مدیریت امنیت اطلاعات، و پاسخ به حوادث امنیتی می‌شود.

vCISO (Virtual Chief Information Security Officer) به عنوان یک سرویس (vCISO as a Service) یک مفهوم نوین در حوزه امنیت اطلاعات است که به شرکت‌ها امکان دسترسی به تجربه و تخصص یک مدیر امنیت اطلاعات (CISO) را بدون نیاز به استخدام یک فرد تمام‌وقت می‌دهد. این خدمات به‌طور معمول توسط افراد یا تیم‌های متخصص در امنیت اطلاعات ارائه می‌شود و می‌تواند به صورت پاره‌وقت یا پروژه‌ای باشد.

خدمات طرح جامع امنیت

این خدمت خود دربرگیرنده بسیاری از خدمات امنیت اطلاعات می‌باشد که بصورت یکپارچه و درهم تنیده می‌باشد:

یک خدمت که به تهیه و اجرای یک برنامه و سیاست کاری در حوزه امنیت اطلاعات می‌پردازد و اهداف، استراتژی‌ها، فعالیت‌ها و معیارهایی را برای رسیدن به سطح امنیت مطلوب در یک بازه زمانی مشخص تعیین می‌کند.


  1. آموزش و آگاهی کاربران
  2. استفاده از استانداردهای امنیتی
  3. رمزنگاری قوی داده‌ها 
  4. کنترل دسترسی ممتاز
  5. پشتیبانی و بازیابی داده
  6. ارتباطات امن
  7. آزمون امنیتی مداوم
  8. رصد و نظارت پیشرفته 
  9. توسعه امن نرم‌افزار
  10. آزمون تست نفوذ
  11. مدیریت تهدیدات و حفاظت در برابر حملات مخرب
  12. کنترل دسترسی دقیق بر اساس لایه‌های مختلف سیستم
  13. پیاده‌سازی به‌روزرسانی‌های امنیتی به صورت مداوم
  14. مانیتورینگ و حفاظت در برابر نفوذهای داخلی
  15. پشتیبان‌گیری از داده‌ها
  16. راه اندازی SIEM
  17. طرح تداوم کسب وکار
  18. راه اندازی مراکز SOC و NOC
  19. ارزیابی سطح بلوغ امنیتی سازمان
  20. مشاوره، اجرا و پیاده‌سازی استاندارهای امنیتی
ارتباط ISMP با ایزو 27001

طرح جامع امنیت اطلاعات (ISMP) می‌تواند به عنوان یک ابزار ارزشمند برای پیاده‌سازی ایزو 27001 استفاده شود.

ISMP می تواند به سازمان‌ها کمک کند تا:


  • الزامات ایزو 27001 را درک کنند و آن‌ها را در یک چارچوب کلی سازمان‌دهی نمایند.
  • اهداف و مقاصد امنیتی خود را تعیین کنند و آن‌ها را با اهداف کلی کسب و کار خود هماهنگ کنند.
  • تهدیدات و آسیب‌پذیری های دارایی‌های اطلاعاتی خود را شناسایی و اولویت‌بندی کنند.
  • کنترل‌های امنیتی مناسب را برای کاهش خطرات شناسایی شده انتخاب کنند.
  • سیاست‌ها و رویه‌های امنیتی را برای راهنمایی کارمندان در مورد نحوه مدیریت اطلاعات حساس و استفاده امن از سیستم‌های اطلاعاتی ایجاد کنند.
  • طرح پاسخ به حادثه را برای رسیدگی به حوادث امنیتی ایجاد کنند.
  • بودجه و منابع لازم برای اجرای و نگهداری برنامه امنیتی خود را تخصیص دهند.

در واقع، ISMP می‌تواند به عنوان یک سند راهنما برای اجرای ایزو 27001 استفاده شود. ISMP می تواند سازمان ها را در مسیر درست قرار دهد و به آنها کمک کند تا یک ISMS موفق و موثر ایجاد کنند.


چند نمونه خاص از چگونگی ارتباط ISMP با ایزو 27001:


  • ماده 4 ایزو 27001: اهداف و مقاصد امنیتی

ISMP می‌تواند به سازمان‌ها کمک کند تا اهداف و مقاصد امنیتی خود را تعریف کنند و آن‌ها را با اهداف کلی کسب و کار خود هماهنگ کنند. این کار به سازمان‌ها کمک می‌نماید تا اطمینان حاصل کنند که برنامه امنیتی تدوین شده، به نیازهای خاص آن‌ها پاسخ می‌دهد.


  • ماده 6 ایزو 27001: ارزیابی ریسک

ISMP می‌تواند به سازمان‌ها کمک کند تا تهدیدات و آسیب‌پذیری‌های دارایی‌های اطلاعاتی خود را شناسایی و اولویت‌بندی کنند. این کار به سازمان‌ها کمک می‌کند تا کنترل‌های امنیتی مناسب را برای کاهش خطرات شناسایی شده انتخاب نمایند.


  • ماده 8 ایزو 27001: کنترل‌های امنیتی

ISMP می‌تواند به سازمان‌ها کمک کند تا کنترل‌های امنیتی مناسب را برای کاهش خطرات شناسایی شده انتخاب نمایند. این کار به سازمان‌ها کمک می‌کند تا اطمینان حاصل کنند که برنامه امنیتی آنها به طور موثر از دارایی‌های اطلاعاتی آن‌ها محافظت می‌نماید.


  • ماده 9 ایزو 27001: سیاست‌ها و رویه‌های امنیتی

ISMP می‌تواند به سازمان‌ها کمک کند تا سیاست‌ها و رویه‌های امنیتی مناسب را برای راهنمایی کارمندان در مورد نحوه مدیریت اطلاعات حساس و استفاده ایمن از سیستم‌های فناوری اطلاعات ایجاد کنند. این کار به سازمان‌ها کمک می‌کند تا اطمینان حاصل نمایند که کارمندان آن‌ها از اطلاعات حساس به طور ایمن محافظت می‌کنند.


در مجموع، ISMP می‌تواند یک ابزار ارزشمند برای پیاده‌سازی ایزو 27001 باشد. ISMP می‌تواند به سازمان‌ها کمک کند تا الزامات ایزو 27001 را درک کنند و آن‌ها را در یک چارچوب کلی سازمان دهند.


به طور کلی، ISMP  سازمان‌ها را در جهت دستیابی به اهداف ذیل کمک می‌نماید:


  1. تعیین اهداف و مقاصد امنیتی 
  2. شناسایی تهدیدات و آسیب‌پذیری‌های دارایی‌های اطلاعاتی
  3. انتخاب کنترل‌های امنیتی مناسب
  4. ایجاد سیاست‌ها و رویه‌های امنیتی
  5. اتخاذ طرح پاسخ به حادثه
  6. تخصیص بودجه و منابع لازم
مراحل دریافت خدمت

شرکت “داده پردازی هوشمند کندو” با تکیه بر دانش فنی و تجربیات کارشناسان و مشاوران خود و همچنین تجربه‌های سازمانی کسب شده در پروژه‌های بزرگ و کوچک، آماده ارائه سبد متنوعی از خدمات در حوزه مشاوره و استقرار استانداردها، در قالب خدمت vCISO به سازمان‌ها و شرکت‌ها می‌باشد.

 

مراحل انجام کار:

  1. امضای NDA
  2. ارزیابی اولیه توسط تیم ممیزی “داده پردازی هوشمند کندو
  3. ارائه طرح جامع امنیت اطلاعات (IS Master Plan) 
  4. اخذ تاییدیه و امضای تفاهم نامه
  5. تخصیص منابع (انسانی، تکنولوژیک، فرآیندی و …) و تعیین زمانبندی
  6. ارائه گزارش به همراه راه‌کارهای افزایش سطح بلوغ امنیت

ارتباط با ما:
info@csdpc.ir
013-43449625

برچسب ها

https://csdpc.ir/wp-content/uploads/2020/10/0_.png
Account Takeover advanced advanced-persistent-threat Advanced Threat Hunting Application-Access-Token credential-dumping cyber attack hack persistent threat حمله سایبری