سیستم مدیریت امنیت اطلاعات (ISMS)
راهکاری مدیریتی برای ایجاد و بهبود امنیت اطلاعات در سازمان
- طراحی و پیادهسازی ISMS
- فرهنگسازی، ایجاد آمادگی سازمانی و تهیهRFP
- نظارت بر پروژههای طراحی و پیادهسازی ISMS
- تهیه طرحهای جامع امنیتی مبتنی بر مدل مرجع ISO/IEC ۲۷۰۰۲
- تدوین سیاست ها، استانداردها و راهنماهای امنیتی
- ارزیابی بلوغ سازمانی امنیتی
نیاز به سرویس
- اطلاعات نوعی دارایی به شمار میرود که مانند دیگر داراییهای مهم کسبوکار برای سازمانها حائز اهمیت است و در نتیجه میبایست بطور مناسبی از آن حفاظت شود.
- سیستم مدیریت امنیت اطلاعات بخشی از سیستم کلی مدیریت است که بر اساس رویکرد سازمان در رابطه با ریسکهای کسبوکار به برقراری، پیادهسازی، راهاندازی، پایش، بازبینی، حفظ و بهبود امنیت اطلاعات میپردازد.
تعریف سرویس
- رویکردی سیستمی برای مدیریت اطلاعات مهم وحساس شرکتها و ایمن نگه داشتن این اطلاعات
- این رویکرد مستلزم بکارگیری نوعی فرآیند مدیریت ریسک توسط افراد، فرآیندها و سیستمهای IT است.
- کمک به کسبوکارهای کوچک، متوسط و بزرگ فعال در هر بخشی جهت حفظ داراییهای اطلاعاتی خود
- مجموعه ای شامل:
- نیروی انسانی
- مستندات سیاستها و روشهای امنیتی
- مستندات شناسایی و ارزیابی مخاطرات
- کنترلهای امنیت شبکه و اطلاعات (اعم از سخت افزار، نرم افزار و …)
مزایای پیاده سازی ISMS
- اعتماد، اطمینان و اعتبار مشتریان
- آگاهی بیشتر نسبت به امنیت
- انطباق با الزامات نظارتی
- محرمانگی، یکپارچگی و دسترسپذیری داراییهای اطلاعاتی
- پیشگیری از رویدادهای نفوذ امنیتی
- پیشگیری از دسترسی غیرمجاز به اطلاعات مهم و حیاتی
- رقابتپذیری
- تعهد مدیریت به امنیت اطلاعات
- تأیید عمومی نسبت به شاخص امنیت سازمان
سرویس ارائه شده توسط اوژن
- طراحی و پیادهسازی ISMS
- فرهنگسازی، ایجاد آمادگی سازمانی
- تهیهRFP پروژههای ISMS
- نظارت بر پروژههای طراحی و پیادهسازی ISMS
- تهیه طرحهای جامع امنیتی مبتنی بر مدل مرجع ISO/IEC 27002
- تدوین سیاست ها، استانداردها و راهنماهای امنیتی
- ممیزی داخلی و همکاری در کسب گواهینامه بین المللی
- ارزیابی بلوغ سازمانی امنیتی
- آگاه سازی و آموزش
خانواده استانداردهای ISO/IEC 27000
- خانواده استانداردهای ISO/IEC 27000 به سازمانها کمک میکند تا داراییهای اطلاعاتی خود را ایمن نگه دارند.
- استفاده از این استانداردها به سازمانها کمک خواهد کرد تا به مدیریت امنیت داراییهایی مانند اطلاعات مالی، مالکیت معنوی، جزئیات مرتبط با کارکنان و یا اطلاعاتی که اشخاص ثالث در اختیار سازمان قرار میدهند، بپردازند.
- ISO/IEC 27001 معروفترین استاندارد در این خانواده است که الزامات لازم برای سیستمهای مدیریت امنیت اطلاعات (ISMS) را ارائه میدهد.
استانداردهای منتشرشده ISO27000 مرتبط با «فناوری اطلاعات- تکنیکهای امنیت»
- ISO/IEC 27007- دستورالعملهایی برای ممیزی سیستمهای مدیریت امنیت اطلاعات (با تمرکز بر ممیزی سیستمهای مدیریت).
- ISO/IEC TR 27008- راهنمایی برای کارشناسان ممیزی در زمینه کنترلهای ISMS (با تمرکز بر ممیزی کنترلهای امنیت اطلاعات).
- ISO/IEC 27009- سندی داخلی برای کمیته توسعه انواع استانداردهای ISO27k خاص بخشها/صنایع یا دستورالعملهای پیادهسازی این استانداردها
- ISO/IEC 27010- مدیریت امنیت اطلاعات برای ارتباطات میانبخشی و میانسازمانی.
- ISO/IEC 27011- دستورالعملهای مدیریت امنیت اطلاعات برای سازمانهای مخابراتی بر اساس ISO/IEC 27002.
- ISO/IEC 27013- دستورالعملی برای پیادهسازی یکپارچه ISO/IEC 27001 و ISO/IEC 20000-1 (که از ITIL گرفته شده است).
- ISO/IEC 27014- راهبری امنیت اطلاعات. Mahncke این استاندارد را در زمینه سلامت الکترونیک استرالیا ارزیابی کرده است.
استانداردهای منتشرشده ISO27000 مرتبط با «فناوری اطلاعات- تکنیکهای امنیت»
- ISO/IEC 27000- سیستمهای مدیریت امنیت اطلاعات- بررسی اجمالی و مجموعه واژگان
- ISO/IEC 27001- فناوری اطلاعات- تکنیکهای امنیت- سیستمهای مدیریت امنیت اطلاعات- الزامات. نسخه ۲۰۱۳ این استاندارد، نوعی سیستم مدیریت امنیت اطلاعات را به شیوهای رسمی، ساختاریافته و مختصر تعیین میکند، درست مانند دیگر استانداردهای ISO که انواع دیگری از سیستمهای مدیریت را تعیین میکنند.
- ISO/IEC 27002- آییننامه مدیریت امنیت اطلاعات- این آییننامه اساسا کاتالوگ جامعی متشکل از کنترلهای امنیت اطلاعات است که میتواند از طریق ISMS مدیریت شود.
- ISO/IEC 27003- راهنمای پیادهسازی سیستم مدیریت امنیت اطلاعات
- ISO/IEC 27004- مدیریت امنیت اطلاعات- پایش، سنجش، تحلیل و ارزیابی
- ISO/IEC 27005- مدیریت ریسک امنیت اطلاعات
- ISO/IEC 27006- الزامات نهادهای ارائهدهنده خدمات ممیزی و گواهینامه سیستمهای مدیریت امنیت اطلاعات.