استقرار سیستم‌های مدیریت امنیت اطلاعات (ISO 27001)

امروزه امنيت اطلاعات، بزرگترين چالش در عصر فناوري اطلاعات محسوب مي‌شود و حفاظت از اطلاعات در مقابل دسترسي غيرمجاز، تغييرات، خرابكاري و افشا امري ضروري و اجتناب‌ناپذير به شمار می‌رود. ازاين‌رو، امنيت دارايي‌هاي اطلاعاتي، براي تمامي سازمان‌ها امري حياتي بوده و مستلزم يك مديريت اثربخش است. استاندارد ISO/IEC 27001:2022 تأمين‌كنندة يك سري از ابزارهاي سازگار با يكديگر براي سنجش مديريت امنيت اطلاعات در هر سازمان بدون توجه به نوع كار يا حجم آن سازمان است. اين گواهينامه مي‌تواند براي يك سازمان و حتي بخشي از آن دريافت گردد و سپس متناوباً در سازمان گسترش يافته و بخش‌هاي ديگر را هم در برگيرد. در واقع استاندارد ISO 27001 يكي از كارآمدترين استانداردها در جهت استقرار و پياده‌سازي سيستم مديريت امنيت اطلاعات (ISMS) است، كه به امنيت در كليه ابعاد سازمان مي‌پردازد.

سيستم مديريت امنيت اطلاعات (ISMS) یک رويكرد نظام‌مند جهت استقرار، پياده‌سازي، بهره‌برداري، پايش، بازنگري، نگهداري و بهبود امنيت اطلاعات در سازمان است كه تحقق اهداف كسب‌وكار را فراهم می‌سازد. هدف اين سيستم تأمين امنيت اطلاعات، كاهش مخاطرات و تضمين تداوم كسب‌وكار سازمان است. اين سيستم شامل خط‌مشي‌ها، دستورالعمل‌ها، روش‌هاي اجرايي، راهنمايی‌ها و فعاليت‌هايي است كه متناسب با اندازه و زمينه كاری سازمان به منظور محافظت از دارايي‌ها، در فازهای زیر طراحي و پياده‌سازي می‌شوند:

• فاز صفر-مدیریت پروژه:در این فاز طرح اولیه مدیریت پروژه در سطح کلان تدوین می‌شود.
• فاز اول-شناخت: کسب اطلاعات کلی درخصوص اهداف و راهبردهای کلان سازمان، ذینفعان داخلی و خارجی، انتظارات ایشان، دغدغه‌های امنیت اطلاعات و تحلیل نقاط قوت و ضعف در این فاز اجرا می‌گردد و در نتیجه ابعاد مختلف دامنه استقرار سیستم مدیریت امنیت اطلاعات استخراج می‌گردد. در این گام، براساس اطلاعات به دست آمده، طرح اولیه مدیریت پروژه تکمیل و نهایی‌سازی می‌شود.
• فاز دوم-ساختار امنیت اطلاعات: يکي از مهمترین ارکان در راستای استقرار صحیح الزامات سيستم مديريت امنيت اطلاعات، تعيين نقش‌­ها و مسئولیت­‌ها و سپس تشکيل ساختار امنيت اطلاعات در سطوح مدیریتی و عملیاتی جهت استقرار صحیح استراتژی‌های امنیت اطلاعات و تبدیل آن­ها به فرایندها و فعالیت‌های قابل اجرا در سطح سازمان می‌باشد. از دیگر اهداف ساختار امنیت اطلاعات، نظارت و نگهداری و بهبود مستمر امنیت اطلاعات در سطح سازمان است. همچنین آموزش و آگاهی‌رسانی برحسب شرح وظایف تعیین شده و نیازمندی‌های کارفرما نیز در این فاز اجرا می‌شود.
• فاز سوم-مدیریت مخاطرات: با استفاده از استانداردهای رایج حوزه ISMS مانند ISO 27005 و بسیاری از مقالات و استانداردهای مرجع دیگر، متناسب با بلوغ و دغدغه‏‌ها و نیازمندی‏‌های شرکت هدف، متدولوژی‌های ارزیابی مخاطرات تدوین می‌شود و سپس به ارزیابی مخاطرات امنیت اطلاعات پرداخته می‌شود.
• فاز چهارم-تدوین طرح‌ها، فراخوان پروژه‌ها، خط‌مشی‌ها، روش‌های اجرایی و دستورالعمل‌ها: در اين فاز، با توجه به بيانيه کاربرد پذيري (SOA) تهیه شده و نیز نتایح ارزیابی ریسک انجام شده و طرح برخورد با مخاطرات (RTP)، نسبت به تدوين طرح‌ها، خط‌مشي‌ها و روش‌اجرايي‌هاي امنيتي و همچنین به‌روزرسانی رویه‌های موجود مرتبط با امنیت اطلاعات اقدام مي‌گردد.
• فاز پنجم-اجرا: تمام فعاليت‌هاي ذکر شده در فازهای پیشین، متناسب با چرخه دمینگ، در فاز planning قرار می‌گیرد. بعد از فاز برنامه ریزی (planning)، در این فاز (فاز اجرا)، کلیه خروجی‌های تولید شده، شامل طرح‌ها، خط‏مشی‌ها، روال‌ها و راهکارهای فنی ارائه شده، پیاده‏سازی مي‏شوند.
• فاز ششم-پایش و ممیزی: در اين بخش، ميزان اثربخشي اقدامات انجام شده‌ در نتیجه تصميمات اتخاذ شده‌، مورد ارزيابي قرار خواهد گرفت. لذا صحت عملکرد سيستم مديريت امنيت اطلاعات و همچنين روند حرکت شرکت به سوي اهداف کلان امنيت اطلاعات مورد بررسي و کنترل قرار مي‌گيرد‌.
• فاز هفتم-مشاوره دریافت گواهینامه: استاندارد ISO27001:2022 به منظور فراهم کردن مدلي براي ايجاد‌، پياده‌سازي‌‌، اجرا، نظارت‌، بازنگري‌، نگهداري و بهبود اثربخشي سيستم مديريت امنيت اطلاعات تهيه شده است‌ و دریافت گواهینامه از Certificate Body معتبر می‌تواند گواهی و شاهدی بر انطباق سازمان با این استاندارد برای ذینفعان و طرف­های علاقه­مند سازمان باشد.