- 09121990309 - 01343449625
- منطقه آزاد انزلی، مجتمع ستاره شمال، شماره 2218
طراحی، پیاده سازی و اجرای استانداردهای امنیتی
مشاوره، پیادهسازی و استقرار استانداردهای امنیتی به ویژه سیستم مدیریت امنیت اطلاعات (ISMS) در جهت کاهش ریسک و ایمن ساختن اطلاعات و همسو سازی آن با ریسک تجاری سازمان یکی از خدمات شرکت “داده پردازی هوشمند کندو” میباشد.
طراحی و پیادهسازی استانداردهای امنیتی
امروزه سازمانها با تهدیدات زیادی در زمینه امنیت اطلاعات روبرو هستند. نگاه اصولی مدیریت به کنترل و امنیت اطلاعات میتواند با ایجاد اطمینان از عملکرد صحیح کنترلها در جهت کاهش ریسک اطلاعات و همسو سازی آن با ریسک تجاری سازمان بسیار موثر باشد. در حقیقت کنترل داخلی فناوری اطلاعات، بهترین وسیله برای مواجهه و کاهش این دسته از ریسکها در سازمانها میباشد.
یکی از خدمات کلیدی شرکت داده پردازی هوشمند کندو ، مشاوره و پیادهسازی سیستم مدیریت امنیت اطلاعات یا Information Security Management System می باشد، این سیستم راهکاری مدیریتی، برای پیادهسازی کنترل های امنیتی میباشد که با ایجاد زیرساخت های مورد نیاز، امنیت اطلاعات سازمان را تضمین مینماید.
مدل (PDCA) ساختاری است که در پیادهسازی (ISMS) در عموم سازمان ها و شرکت ها توصیه میشود.
یک سامانه مدیریت امنیت اطلاعات (ISMS) به صورت کلی باعث کاهش صدمات ناشی از ریسکها و اطمینان از تداوم کسب و کار میشود. پیادهسازی این سامانه میتواند موجب:
- اطمینان از سازگاری با استانداردهای امنیت اطلاعات و محافظت از دادهها
- مطمئن بودن به تصمیم گیریها
- حفاظت از سرمايه هاي سازماني
- بهبود در برنامهريزي هاي امنيتي
- حفظ محرمانگي و دسترسی پذیری بودن اطلاعات
- حفظ اطلاعات از بروز تهديدات، آسيبپذيري ها و مخاطرات در حد امكان
- آمادگي براي مواجهه با حوادثي كه امنيت اطلاعات را به مخاطره انداخته اند
- ايجاد اطمينان بيشتر براي مديران، كاركنان، مشتريان و ساير ذينفعان سازمان در مورد امنيت اطلاعات
- بازگشت هزينه صرف شده براي پيادهسازي (ISMS) در بلندمدت
- كاهش هزينه هاي ترميم خسارات ناشي از كمبود و نقص موازين امنيتي
- كاهش مسئوليت هاي انساني در حفظ امنيت اطلاعات، بواسطه كنترل هاي سيستماتيك
- شناسايي، ارزيابي و حفاظت از دارايي هاي مهم سازمان همچون: پرسنل كليدي، دانش پرسنل،اطلاعات سازمان و اعتبار و شهرت سازمان
- اطمينان از تداوم كسب و كار و كاهش صدمات از طريق ايمن ساختن اطلاعات و كاهش تهديد ها
- امكان رقابت بهتر با ساير سازمان ها
- محک زدن میزان امنیت اطلاعات در سازمان
- ایجاد اطمینان نزد مشتریان و شرکای تجاری
- امکان رقابت بهتر با سایر شرکت ها
- ایجاد مدیریت فعال و پویا در پیاده سازی امنیت اطلاعات
اولویت بندی راهکارها
اولویت راهکارها
با توجه به گستردگی و تنوع کنترلهای استاندارد ISO 27001، یکی از علل ریشهای موفقیت در پروژههای مشاوره این استاندارد، ارائه اولویتبندی مناسب، جهت عملیاتی سازی رویهها و راهکارهای شناسایی شده میباشد.
هر راهکار داراي مشخصههايي است که به تصميمگيري سازمان براي انتخاب اولویت آنها به عنوان راهکار با اولویت بالا، کمک مينمايد که عبارتند از :
منابع لازم: شناختهشدهترین منابع هر سازمان، زمان اجرا و هزینه مالی راهکار میباشد. لذا در سازمانها، راهکارهايی که براي پيادهسازي، هزينه کمتري را ميطلبند و در زمان کمتری خروجی خود را نمایان میسازند، همواره مطلوبيت بيشتري نسبت به راهکارهای گران و زمانبر دارند. معمولا برای اين شاخص با ترکیبی از زمان و هزینه سه سطح کم، متوسط و زياد پيشبينی میشود.
ميزان اثر بخشي: اين شاخص مشخص ميکند که هر راهکار به چه ميزان در کاهش مخاطرات موثر است و بر حسب نوع خود ميتواند يکي از سه سطح کارايي کم، متوسط و زياد و ارزش متناظر را داشته باشد. طبعا استفاده از راهکاري که از بروز يک واقعه جلوگيري ميکند بسيار مناسبتر از راهکاري است که يک حادثه را اطلاع ميدهد و يا براي بعد از وقوع حادثه درماني ارائه ميکند. معمولا شاخصهایی که باعث کاهش احتمال وقوع ریسک میشود و یا تبعات ریسک را کاهش میدهد، با اثر بخشی بالا و مواردی که منجر به بازیابی خدمات و یا انتقال ریسک میشوند، با اثر بخشی پایین امتیازدهی میشوند.
تعداد ریسکهاي تحت پوشش: همانطور که از نام اين شاخص مشخص است بيان ميکند که يک راهکار چه تعداد تهديد و آسیب پذیری را پوشش ميدهد. هر چه تعداد تهديدهاي بيشتري توسط راهکار پيشنهادي پوشش داده شود شاخص ارزشي آن (اولويت) آن بيشتر است.
ارزش دارائیهای تحت پوشش: هر چقدر که ارزش دارائيهايی که از اين راهکار بهرهمند میشوند، بيشتر باشد اولويت راهکار بالاتر است.
روش اجرایی
روش های اجرایی
شرکت “داده پردازی هوشمند کندو” در راستای برآوردهکردن الزامات استاندارد ISO 27001 و پیادهسازی موفق استاندارد، علاوه بر تهیه LOM تجهیزات امنیتی مورد نیاز، دستورالعملها و رویههای امنیت اطلاعات را به صورت اختصاصی و کاربردی، با توجه به جداول برخورد با ریسک سازمان و شاخصهای ذکر شده، اولویتبندی نموده و سپس با تعیین نقشها و مسئولیتها (نمودار RACI)، کاربران و ذینفعان، داراییها، سرویسها و روالهای سازمانی مرتبط، نحوه استفاده، به کارگیری و عملیاتیسازی راهکارها را به مشتریان آموزش میدهد. تعدادی از این راهکارها شامل موارد زیر میباشند:
|
کنترل دسترسی به سرویسهای اطلاعاتی |
بهبودمستمر |
|
کنترل مستندات سیستمی |
ممیزی داخلی |
|
تهیه نسخه پشتیبان |
کنترل سوابق |
|
استفاده (دسترسی) مجاز |
امنیت شبکه |
|
آموزش و آگاهی رسانی امنیت اطلاعات |
امنیت اینترنت |
|
رسانههای ذخیرهسازی قابل حمل |
امنیت پرسنلی |
|
مدیریت تداوم کسب و کار |
شخص ثالث |
|
امنیت پست الکترونیکی |
مدیریت حوادث |
|
مدیریت اسناد اطلاعاتی |
بازنگری مدیریت |
|
امنیت برنامههای کاربردی |
تبادل اطلاعات |
|
الزامات قانونی قراردادها |
ضد بدافزار |
|
ثبت و پاسخگویی به خطاهای سیستم |
انضباطی |
|
خرید تجهیزات سختافزاری |
رویه خرید نرمافزار |
|
دستورالعمل استفاده از گذرواژه |
مدیریت ظرفیت |
|
استفاده از ایستگاه کاری |
رمز نگاری |
|
امحا و دور انداختن تجهیزات نرمافزارها و مستندات |
رویه مدیریت تغییرات |
|
ساختار سازمانی امنیت اطلاعات |
کنترل دسترسی |
|
امنیت در دسترسی از راه دور |
رویکرد ارزیابی ریسک |
|
نشانیدهی امنیت در مدیریت پروژه |
امنیت فیزیکی و محیطی |
انواع استانداردها
پیادهسازی و اجرای استانداردهای امنیتی نقش بسیار حیاتی در حفاظت از اطلاعات سازمانی دارد. این فرآیند میتواند بسیار گسترده و شامل مراحل مختلفی مانند بررسی و تحلیل، طراحی و تدوین سیاستها، آموزش و آگاهیرسانی، ممیزی و ارزیابی و … باشد. این فرآیندها باید به طور مداوم پیگیری شده و با توجه به تغییرات در محیط کسب و کار و تکنولوژیهای جدید، به روزرسانی شوند تا امنیت اطلاعات سازمان حفظ شود.
مهمترین استانداردهای امنیتی:
مراحل دریافت خدمت
مراحل انجام کار:
- تکمیل فرم درخواست پیادهسازی استاندارد امنیتی
- امضای NDA
- ارائه نقشه راه و تعیین زمانبندی
- اخذ تاییدیه و امضای تفاهم نامه
- شروع پروژه و اجرا بر اساس زمانبندی ارائه شده
- اخذ گواهینامه برای کارفرما
