تماس با مرکز داده
۰۲۵-۳۲۱۲۳۰

الزامات سیستم مدیریت امنیت اطلاعات ( ISMS ) – بخش دوم

الزامات سیستم مدیریت امنیت اطلاعات ( ISMS ) – بخش دوم

سیستم مدیریت امنیت اطلاعات

الزامات کلی :

سازمان باید مدیریت امنیت اطلاعات مستند شده ای را در چهارچوب تمامی فعالیت های کلان کسب و کار سازمان و ریسک هایی که با آن مواجه است ،ایجاد ،پیاده سازی ، اجرا ،پایش ،بازنگری ، نگهداری نموده و بهبود دهد و در راستای مقاصد این استاندارد ،فرآیند ها بر پایه مدل PDCA بکار گرفته شده است .

ایجاد سیستم مدیریت امنیت اطلاعات

سازمان ملزم خواهد بود تا نسبت به انجام آنچه که در ذیل آمده است اقدام نماید:

الف) دامنه، حدود و ثغور سیستم مدیریت امنیت اطلاعات را بر حسب مشخصات فعالیت تجاری ، سازمان ، مکان آن ، دارایی ها و فناوری و جزئیات آن و توجیهات مربوط به هر یک از حذفیات از دامنه را تعریف و تعیین نماید.

 

ب) سیاست و خط مشی سیستم مدیریت امنیت اطلاعات را بر حسب مشخصات فعالیت های تجاری ، سازمان ، موقعیت آن ، دارایی ها و فناوری هایی که شامل مواردذیل می باشد را تعریف و تعیین نماید :

چهارچوب لازم برای تعیین اهداف را تعیین نموده و حس کلی راهبری واصول اجرایی را با توجه به امنیت اطلاعات ایجاد نماید.

الزامات تجاری و قانونی و همچنین تعهدات قراردادی امنیت را مد نظر قراردهد.

آنرا با ساختار مدیریت استراتژیک ریسک سازمان همراستا نماید، ساختاری که ایجاد و نگهداری سیستم مدیریت امنیت اطلاعات در آن شکل خواهد گرفت.

معیارهایی را که ریسک بر اساس آنها مورد ارزیابی قرار خواهند گرفت را مراجعه نمایید .

تاییدیه آنرا از مدیریت دریافت نماید.

یادداشت : خط مشی و سیاست سیستم مدیریت امنیت اطلاعات با توجه به استاندارد بین المللی حاضر به عنوان یک ابرمجموعه خط مشی امنیت اطلاعات در نظر گرفته می شود. این خط مشی ها را می توان در یک سند توصیف نمود.

 

پ ) رویکرد ارزشیابی ریسک سازمان را تعیین نماید.

متدولوژی ارزشیابی ریسک که از هر حیث مناسب با سیستم مدیریت امنیت اطلاعات ، امنیت اطلاعات تجاری شناسایی شده و الزامات قانونی باشد راتعیین نماید.

معیارهای پذیرش ریسک را تعیین نموده و سطوح قابل پذیرش ریسک را مراجعه نمایید  .

متدولوژی ارزشیابی ریسک انتخاب شده باید قابل مقایسه بودن و قابل تکرار بودن نتایج ناشی از ارزشیابی ریسک را تضمین نماید.

یادداشت: ارزشیابی ریسک با استفاده از متدولوژی های متفاوتی انجام می شود. مثال های مربوط به متدولوژی های ارزشیابی ریسک در ISO/IEC TR 13335-3 ،فناوری اطلاعات رهنمودهای مربوط به مدیریت امنیت فناوری اطلاعات  تکنیک های مدیریت امنیت فناوری اطلاعات مورد بحث و بررسی قرارگرفته است.

 

ت ) ریسک ها را تعیین و مشخص نماید.

دارایی ها باید در چهارچوب دامنه سیستم مدیریت امنیت اطلاعات وصاحبان دارایی ها تعیین و مشخص گردد.

عوامل تهدید کننده دارایی ها باید تعیین و مشخص گردد.

نقاط آسیب پذیر که ممکن است از سوی عوامل تهدید کننده مورد استفاده قرار گیرند باید تعیین و مشخص گردد.

تاثیرات از بین رفتن محرمانگی ، تمامیت و در دسترس بودن بر دارایی ها باید تعیین و مشخص گردد.

 

ث ) ریسک ها باید مورد تجزیه و تحلیل و ارزیابی قرار گیرند.

تاثیرات تجاری ناشی از هر گونه نقص و خرابی امنیتی بر سازمان را با درنظرگرفتن پیامدهای از دست رفتن محرمانگی ، تمامیت یا در دسترس پذیری دارایی ها مورد ارزشیابی قرار دهید.

احتمال واقعی نواقص امنیتی بوجود آمده در نتیجه تهدیدات وآسیب پذیری های جاری و تاثیرات آن بر دارایی ها و اقدامات کنترلی کهدر حال حاضر انجام می شوند را مورد ارزشیابی قرار دهید.

سطوح ریسک را برآورد نمایید.

قابل پذیرش بودن ریسک ها و این که آیا نیازمند اتخاذ تدابیر لازم هستند یا خیر را بر اساس معیارهای پذیرش ریسک

 

ج ) راهکارهای مربوط به اتخاذ تدابیر لازم جهت رفع ریسک ها را تعیین و موردارزشیابی قرار دهید.

اقداماتی که در این زمینه متصور هستند عبارتند از :

اقدامات کنترلی مناسب را به مورد اجرا بگذارید.

ریسک ها را به صورت آگاهانه و به صورت هدفمند مورد پذیرش قرار دهید، مشروط بر این که خط مشی های سازمان و معیارهای پذیرش ریسک بطور کامل بر آورده شوند.

از ریسک ها خودداری نمایید

ریسک های تجاری مربوطه را به سایر گروه ها ازجمله بیمه گرها وتامین کنندگان منتقل نمایید.

 

چ ) با هدف اتخاذ تدابیر لازم جهت رفع ریسک ها ، اهداف کنترلی و موارد کنترلی لازم را انتخاب نمایید.

اهداف کنترلی و موارد کنترلی باید با هدف برآورده شدن الزامات تعیین شده بر اساس ارزشیابی ریسک و فرآیند اتخاذ لازم برای رفع ریسک انتخاب و به مورد اجرا گذاشته شوند.

این انتخاب باید با در نظر گرفتن معیارهای پذیرش ریسک و همچنین الزامات قانونی و قراردادی صورت پذیرد.

اهداف کنترلی و اقدامات کنترلی مندرج در پیوست A به عنوان بخشی از این فرآیند انتخاب شده است و از هر حیث برای برآورده شدن الزامات تعیین شده مناسب می باشد.

اهداف کنترلی و اقدامات کنترلی مندرج در پیوست A جامع و کامل نیستند و لذا لازم خواهد بود تا اهداف کنترلی و اقدامات کنترلی دیگر نیز انتخاب شوند.

یادداشت : پیوست A متضمن فهرست کامل و جامعی از اهداف کنترلی و اقدامات کنترلی است و در سازمان ها رایج و مرسوم می باشد. به کاربران استاندارد بین المللی حاضر توصیه می شود تا از پیوست A به عنوان یک نقطه شروع برای انتخاب اقدامات کنترلی استفاده نمایند چرا که به این ترتیب مطمئن خواهند شد که هیچ یک از راهکارهای مهم کنترلی نادیده گرفته نشده است.

 

ح ) تاییدیه ریسک های باقیمانده پیشنهادی را از مدیریت اخذ نمایید.

 

خ ) مجوز مدیریت را برای اجرا و بهره برداری از سیستم مدیریت امنیت اطلاعات دریافت نمایید.

 

د ) گزارش کاربرد پذیری را تهیه و تنظیم نمایید.

موارد ذیل باید در زمان تهیه گزارش کاربرد پذیری مد نظر قرار گرفته و در متن گزارش لحاظ گردد :

اهداف کنترلی و اقدامات کنترلی انتخاب شده و دلایل انتخاب آنها .

اهداف کنترلی و اقدامات کنترلی که در حال حاضر اجرا می شوند.

حذف هر یک از اهداف کنترلی و اقدامات کنترلی در پیوست A و ذکر دلایل توجیهی برای حذف .

یادداشت: گزارش کاربردپذیری دربردارنده خلاصه ای ازتصمیمات مربوط به اتخاذ تدابیر لازم جهت رفع ریسک ها می باشد. ذکر دلایل توجیهی برای موارد حذف شده،نوعی روش کنترلی است که بر اساس آن اطمینان حاصل می شود که هیچ یک از اقداماتکنترلی اشتباهًا حذف نشده اند.

 

اجرا و بهره برداری از سیستم مدیریت امنیت اطلاعات

 سازمان در زمینه اجرا و بهره برداری از سیستم مدیریت امنیت اطلاعات ملزم به انجام موارد ذیل خواهد بود :

الف ( سازمان ملزم خواهد بود تا برنامه مقابله با ریسک را تدوین نماید و در آن برنامه

اقدامات مدیریت ، منابع ، مسئولیت ها و اولویت های مدیریت ریسک های امنیت

اطلاعات را تعیین و مشخص نماید .

ب ) سازمان باید به منظور دستیابی به اهداف کنترلی تعیین شده ، برنامه مقابله با ریسک ها را به مورد اجرا بگذارد و منابع مالی لازم و نقش ها و مسئولیت ها را در آن لحاظ نماید.

پ ) سازمان باید به منظور تامین اهداف کنترلی ، اقدامات کنترلی مورد اجرا بگذارد

ت ) سازمان باید نحوه اندازه گیری کارآمدی اقدامات کنترلی یا مجموعه اقدامات کنترلی را تعیین نماید و نحوه استفاده از این اندازه گیری ها در ارزشیابی کارآمدی کنترل را با این هدف که نتایج قابل مقایسه و تکرار پذیر بدست آید مشخص کند.

یادداشت : اندازه گیری کارآیی اقدامات کنترلی به مدیران و کارکنان این امکان را خواهد داد تا تعیین نمایند که اقدامات کنترلی چگونه به اهداف کنترلی برنامه ریزی شده دست خواهند یافت.

ث ) سازمان باید برنامه های آموزش و آگاه سازی را اجرا نماید .

ج ) سازمان باید بهره برداری از سیستم مدیریت امنیت اطلاعات را مدیریت نماید.

چ ) سازمان باید منابع مربوط به سیستم مدیریت امنیت اطلاعات را مدیریت نماید.

ح ) سازمان باید رویه ها و سایر اقدامات کنترلی را به مورد اجرا در آورد تا به این ترتیب امکان شناسایی فوری رویدادهای امنیتی و نشان دادن واکنش به حادثه های امنیتی برایش فراهم گردد.

 

پایش و بازنگری سیستم مدیریت امنیت اطلاعات

 سازمان در این زمینه ملزم به اجرای موارد ذیل خواهد بود :

الف ) سازمان باید رویه های پایش و بازنگری و سایر اقدامات کنترلی و نظارتی را اجرانماید تا به این ترتیب امکان انجام به موقع اقدامات ذیل برایش فراهم گردد :

  • اشتباهات بوجود آمده در نتایج پردازش را به موقع شناسایی نماید.
  • هر گونه حوادث و سایر اقدامات دیگر در جهت نقض امنیت را به موقع شناسایی کند.
  • مدیریت را قادر سازد تا اطمینان حاصل نماید که آیا اقدامات امنیتی تفویض شده به افراد یا اجرا شده بوسیله فناوری اطلاعات طبق انتظار انجام می شود یا خیر.
  • به شناسایی رویدادهای امنیتی کمک نماید و بوسیله آن و با استفاده از شاخص های موجود از بروز حوادث امنیتی جلوگیری نماید .
  • اطمینان حاصل نماید که آیا اقدامات اتخاذ شده جهت حل و فصل مشکل نقض امنیت کارآمد و موثر هستند یا خیر.

 

ب ) سازمان باید بازنگری های منظم در خصوص اثربخشی سیستم مدیریت امنیت اطلاعات ) ازجمله برآورده شدن خط مشی و اهداف سیستم مدیریت امنیت اطلاعات ( را انجام دهد و در این بین نتایج حاصل از ممیزی های امنیتی ، حوادث ، نتایج حاصل ازاندازه گیری های اثربخشی ، پیشنهادات و بازخورد کلیه طرفین ذینفع را مد نظر قرار دهد.

 

پ ) سازمان باید اثربخشی اقدامات کنترلی و نظارتی را اندازه گیری نماید تا از برآورده شدن الزامات امنیتی اطمینان حاصل نماید.

 

ت ) سازمان باید ارزشیابی های ریسک را در فواصل زمانی برنامه ریزی شده مورد بازنگری قرار دهد و با در نظر گرفتن تغییرات در :

  • سازمان
  • فناوری
  • اهداف تجاری و فرآیندها
  • تهدیدات شناسایی شده
  • اثر بخشی اقدامات کنترلی انجام شده و
  • رویدادهای بیرونی مانند تغییرات در محیط های قانونی ، تغییر در تعهدات قراردادی وتغییرات در جو اجتماعی

ریسک های باقیمانده و سطوح قابل پذیرش تعیین شده ریسک را مورد بازنگری قرار دهد.

 

ث ) سازمان باید ممیزی های داخلی سیستم مدیریت امنیت اطلاعات را در فواصل زمانی برنامه ریزی شده انجام دهد .

یادداشت : ممیزی های داخلی که گاهی اوقات تحت عنوان ممیزی های طرف اول از آن نام برده می شود ، توسط سازمان یا به نمایندگی از آن و صرفًا به منظور اهداف و مقاصد داخلی انجام می شود.

 

ج ) سازمان ملزم خواهد بود تا بازنگری مدیریتی سیستم مدیریت امنیت اطلاعات را به صورت منظم انجام دهد تا به این ترتیب از کفایت دامنه و از تعیین شدن پیشرفت های بدست آمده در فرآیند سیستم مدیریت امنیت اطلاعات اطمینان حاصل نماید

 

چ ) سازمان ملزم خواهد بود تا با توجه به نتایج حاصل از فعالیت های انجام شده در زمینه پایش و بازنگری ، برنامه های امنیتی را ارتقاء دهد.

 

ح ) سازمان ملزم خواهد بود تا اقدامات و رویدادهایی که به نحوی از انحاء بر اثر بخشی یا اجرای سیستم مدیریت امنیت اطلاعات تاثیر گذار هستند را ضبط و ثبت نماید.

 

نگهداری و ارتقای سیستم مدیریت امنیت اطلاعات :

 سازمان ملزم خواهد بود تا موارد ذیل را به صورت منظم اجرا نماید:

الف ) سازمان ملزم خواهد بود تا اصلاحات تعیین شده در سیستم مدیریت امنیتاطلاعات را اجرا نماید.

ب ) سازمان باید اقدامات اصلاحی و پیشگیرانه مناسب را اتخاذ نماید. سازمان همچنین باید آنچه را که از تجربیات سایر سازمان ها و تجربیات خود سازمان فرا گرفته است بکار ببندد.

پ ) سازمان باید اقدامات و اصلاحات را با سطح جزئیات مناسب با شرایط و به شرحی که مورد توافق قرار گرفته است در اختیار تمام طرفین ذینفع قرار دهد.

ت ) سازمان باید اطمینان حاصل نماید که اصلاحات مورد نظر، اهداف مورد نظر را محقق خواهد نمود.

 

ارائه دهنده: مجتبی حقیقی

مطالب مرتبط
ISO_logo_blanc-1024x1024
الزامات سیستم مدیریت امنیت اطلاعات ( ISMS ) – بخش اول

الزامات سیستم مدیریت امنیت اطلاعات ( ISMS ) براساس استاندارد ISO/IEC 27001:2013 امروزه امنیت اطلاعات یکی از چالش های اصلی در عصر فناوری اطلاعات محسوب می شود و حفاظت از اطلاعات در برابر دسترسی غیرمجاز، تغییرات، خرابکاری و افشا، امری ضروری و اجتناب ناپذیر به شمار می رود. از اینرو، امنیت دارایی های اطلاعاتی،برای تمامی […]

بیشتر


پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *