ایزو مدیریت مخاطرات امنیتی
13 فروردین 1401 1401-01-13 22:17ایزو مدیریت مخاطرات امنیتی
استاندارد ایزو مدیریت مخاطرات امنیتی چیست؟ ISO-27001
امنیت اطلاعات به معنی محافظت کردن از اطلاعات و رساندن به کم ترین میزان خطر افشای اطلاعات در قسمت های غیر مجاز.به عبارتی دیگر امنیت اطلاعات علمی است که در آن جمعی از ابزار ها برای پیشگیری از سرقت و جاسوسی و خرابکاری و.. وجود دارد و درآن راه های حفاظت از اطلاعات و داده ها در سیستم های کامپیوتر و نظام های ارتباطی در مقابل دسترسی های غیر مجاز وجود دارد.
با آمدن اولین استاندارد مدیریت امنیت اطلاعات دیدگاه قاعده مند به موضوع ایمنی فضای تبادل اطلاعات صورت گرفت.برطبق این دیدگاه به یکباره امنیت فضای مبادله اطلاعات ایجاد نمی شود و این امر بصورت مستمر در یک سیکل صورت می گیرد.
ISMS چیست؟
ISMS به معنی سیستم مدیریت امنیت اطلاعات می باشد و برای امنیت فضای تبادل اطلاعات در سازمان ها استاندارد هایی را عرضه می کند.این استانداردها جمعی از روش هاست تا با اجرا کردن یک طرح خاص سازمان به ایمن سازی فضای تبادل اطلاعات یک سازمان بپردازد.
اعمالی که برای ایمن کردن فضای تبادل اطلاعات صورت می گیرد شامل:
۱- آماده کردن پروژه ها و برنامه های ایمن سازی سازمان ها
۲- احداث اسباب و تشکیلاتی که برای ایجاد امنیت فضای تبادل اطلاعات و استمرار آن مورد نیاز سازمان است.
۳- به جربان انداختن طرحها و پروژه های امنیتی سازمان
مراحل ایجاد سیستم مدیریت امنیت اطلاعات ISMS
مرحله تعریف سیاست و ایجاد آن
مرحله ای است که در آن کلیه فعالیت های شرکت خارج شده و به صورت سند امنیتی به شرکت عرضه می شود.
تعیین محدوده عملیاتی:
هر سازمانی دارای چندین زیر شاخه کاری می باشد به همین دلیل اجرا کردن سیستم امنیت اطلاعات کاری دشوار است.
برای پیشگیری از پیچیدگی و دشواری در پیاده سازی scope صورت میگیرد که میتواند هر قسمتی همانند یک سازمان و بخش اداری آن باشد .
برآورد دارایی ها و طبقه بندی آنها:
در این مرحله باید لیست همه وسایل و تجهیزات سازمان را درآوریم و بر حسب اهمیت دسته بندی کنیم تا بتوانیم کنترل درستی روی بخش های مختلف یک سازمان داشته باشیم.
ارزیابی مخاطرات:
زمانیکه لیست کلیه تجهیزات و دارایی های شرکت را تهیه کردیم میتوانیم خطرات را پیش بینی کنیم
مدیریت مخاطرات:
تصمیم گیری صحیح برای مقابله با خطرات زمانیست که با بدست آوردن مستندات مربوط به خطرات و نقاط ضعف آنها را بشناسیم .
فواید استفاده از سیستم مدیریت امنیت اطلاعات ( ISMS )
زمانی یک سازمان میتواند تجارتی مستمر و بدون خطر داشته باشد که سیستم مدیریت امنیت اطلاعات را به روشی صحیح اجرا و مدیریت کند .این سیستم باعث بوجود آمدن اعتماد و اطمینان از استمرار و پایداری تجارت و کاهش خطرات و تهدیدات می گردد.علاوه بر این باعث ایجاد اطمینان از تصمیمات و آزمودن سیستم مدیریت امنیت اطلاعات ، قابلیت اعتماد و اطمینان بین مشتریان و ایجاد رقابت سالم بین سازمان ها و شرکت ها می گردد و منجر به وجود آمدن مدیریتی کارآمد در اجرایی کردن امنیت اطلاعات می گردد.
مشکلات معمول در پیاده سازی سیستم مدیریت امنیت اطلاعات ( ISMS )
-با توجه به اینکه امنیت قبل از اینکه یک فناوری باشد یک فرهنگ می باشد اجرایی کردن مدیریت امنیت قبل از خرید تشکیلات امنیتی لازم می باشد.زمانیکه امنیت فرهنگ باشد مدت زیادی لازم است تا این مورد ایجاد گردد بنابراین این موضوع یکی از مشکلات اجرایی کردن استاندارد مدیریت امنیت اطلاعات می باشد .
-امنیت نیازمند استمرار و تداوم است اگر یک سازمان بتواند سیستم مدیریت امنیت را اجرا کند و گواهینامه مربوط به آن را هم بگیرد عدم استمرار در آن هیچ سودی از لحاظ امنیتی برای سازمان در پی ندارد.
-عدم امنیت امری است که استمرار دارد بنابراین ایمن سازی باید در همه مراتب سازمان استمرار داشته باشد.
-امنیت امری است که آشکار و ملموس نیست بنابراین زمانیکه یک طرح امنیتی اجرا میشود ممکن است مدیران متوجه نشوند که اتفاقی افتاده است و تغییری ایجاد شده و اعتراض کنند در صورتی که اگر این امنیت ایجاد نمی شد ممکن بود چه اتفاقی بیفتد پس در هر موقع باید به فکر امنیت فضای تبادل اطلاعات بود.
ایزو مدیریت مخاطرات امنیتی
کد: ISO 27001 : 2013
قیمت: ۱,۷۵۰,۰۰۰ تومان