سیستم مدیریت امنیت اطلاعات (ISMS)

ISMS مجموعه ای از سیاست ها، رویه ها، فرآیندها و سیستم هایی است که ریسک های اطلاعاتی نظیر حملات سایبری، هک ها، نشت اطلاعات یا سرقت را اداره می کنند. در واقع این سیستم مدیریتی بر اساس گزارشات ارزیابی ریسک، مشخص می­کند که چه نوع کنترل­‌هایی برای برقراری امنیت داده­‌های سازمان مورد نیاز است. شرکت امن گستران فرزان با اخذ مجوز مشاوره و پیاده سازی سیستم مدیریت امنیت اطلاعات (نما) و همچنین با تکیه بر تجارب حاصل از پروژه های متعدد خود اقدام به ارائه این خدمت نموده است. نظر به اینکه از استاندارد ISO 27001، به عنوان یک چارچوب برای پیاده سازی بهترین تجارب در حوزه امنیت اطلاعات استفاده می­شود، اخذ گواهینامه ISO/IEC 27001 نشان می دهد که سازمان یک فرایند امنیت اطلاعات را به بهترین نحو تعریف کرده است.

تشریح:

توجه روز افزون به مباحث مدیریت امنیت اطلاعات، از طریق برقراری قوانین و همچنین توجه به راهبردهای جدید به منظور پاسخگویی به انتظارات و الزامات طرف های ذینفع نسبت به اطمینان از امنیت و ایمنی شبکه ها و سیستم های اطلاعاتی، باعث پدید آمدن استانداردهایی برای استقرار سیستم های مدیریت امنیت اطلاعات شده است. بدیهی است استاندارد سازی  در سطح بین المللی، سبب جلوگیری از نقص امنیت اطلاعات و اتلاف مالی و پیشگیری از ایجاد تنش در درون سازمان ها می گردد.

از اینرو استاندارد سیستم مدیریت امنیت اطلاعات (ISO/IEC 27001:2013) زمینه مناسبی را برای طراحی و استقرار سیستم مدیریت امنیت اطلاعات و ارزیابی آن در سازمان ها و بهره گیری از منافع این رویکرد، فراهم می آورد. به عبارت دیگر، ISMS مجموعه ای از سیاست ها، رویه ها، فرآیندها و سیستم هایی است که ریسک های اطلاعاتی نظیر حملات سایبری، هک ها، نشت اطلاعات یا سرقت را اداره می کنند. در واقع این سیستم مدیریتی بر اساس گزارشات ارزیابی ریسک، مشخص می­کند که چه نوع کنترل­‌هایی برای برقراری امنیت داده‌­های سازمان مورد نیاز است.

شرکت امن گستران فرزان با اخذ مجوز مشاوره و پیاده سازی سیستم مدیریت امنیت اطلاعات (نما) و با توجه به رسالتی که برای خود قائل می­باشد، از این استاندارد به منظور فراهم آوردن مدلی برای ایجاد، پیاده سازی، اجرا، پایش، بازنگری و بهبود سیستم مدیریت امنیت اطلاعات سازمان ها استفاده می نماید.

پکیج خدمات

فاز تکنیکال سیستم مدیریت امنیت اطلاعات

    • شناسایی و مستند سازی وضعیت موجود شبکه کامپیوتری
    • شناسایی دغدغه­‌ها و مشکلات کارفرما
    • تحلیل وضعیت موجود و شناسایی نقاط آسیب پذیر
    • اجرای تست نفوذ پذیری شبکه کامپیوتری
    • ارائه طرح جامع امنیت شبکه
    • ارائه لیست LOM مورد نیاز جهت اجرای طرح جامع
    • اجرا و امن سازی شبکه مطابق با طرح جامع
    • آموزش کارشناسان و مدیران فناوری اطلاعات جهت بهبود مستمر امنیت شبکه
    • اجرای تست نفوذ پذیری جهت ارزیابی میزان بهبود امنیت شبکه
    • ارائه گزارش وضعیت نهایی از سطح امنیت شبکه کامپیوتری سازمان

طراحی و استقرار سیستم مدیریت امنیت اطلاعات

    • شناسایی و تعیین دامنه مناسب جهت اجرای سیستم مدیریت امنیت اطلاعات
    • طراحی دوره­‌های آموزشی مورد نیاز کاربران، کارشناسان و راهبران سیستم مدیریت امنیت اطلاعات
    • تشکیل کمیته امنیت اطلاعات و تدوین خط مشی امنیت اطلاعات سازمان
    • مشاوره و طراحی متدولوژی ارزیابی مخاطرات سازمان
    • شناسایی دارایی‌­های اطلاعاتی و ارزش گذاری آنها براساس متدولوژی
    • تحلیل، ارزیابی و اولویت بندی مخاطرات سازمان بر اساس کنترل های امنیتی
    • تهیه و تدوین طرح برطرف سازی مخاطرات (RTP)
    • پیاده سازی و اجرای RTP با کمک واحد فناوری اطلاعات سازمان
    • پایش و بازنگری جهت ارزیابی سیستم مدیریت امنیت اطلاعات
    • پیاده سازی بهبود های شناسایی شده و انجام اقدامات اصلاحی
استانداردها
  • استاندارد ISO/IEC 27001:2013
  • استاندارد ISO/IEC 27002:2013
  • استاندارد ISO/IEC 27005:2013
  • استاندارد ISO/IEC 270033:2013
فهرست