شرح کاملی از طرح مدیریت امنیت اطلاعات

طرح مدیریت امنیت اطلاعات که به تازگی گروه‌هایی را در حوزه‌های آموزش و مشاوره به خود اختصاص داده، برگرفته از استانداردهای بین‌المللی است که شرح کاملی از آن ارائه شده استفاوانیوز : طرح مدیریت امنیت اطلاعات که به تازگی گروه‌هایی را در حوزه‌های آموزش و مشاوره به خود اختصاص داده، برگرفته از استانداردهای بین‌المللی است که شرح کاملی از آن ارائه شده است.

به گزارش فاوانیوز ، محمدرضا میراسکندری در گفت‌وگو با ایسنا ، با اشاره به افزایش تعداد شرکت‌های مشاور در حوزه ISMS اظهار کرد: بیش از سه هزار و ۵۰۰ دستگاه در کشور موجود است که نیازمند پیاده‌سازی ISMS در خود هستند.

مدیر کل خدمات ارزش افزوده سازمان فن‌آوری اطلاعات ایران گفت: مشکل ما در حال حاضر فقدان شناخت دقیق سه مدل مدیریت امنیت اطلاعات است و در خیلی از موارد استنباطی که از این موضوع داریم اشتباه است.

وی در این باره توضیح داد: سیستم مدیریت امنیت اطلاعات یک نظام مدیریتی است و در سازمان‌ها پیاده می‌شود تا امنیت را برروی اطلاعات محقق سازد بنابراین شرکت‌هایی که در این زمینه فعال هستند یک سیستم مدیریتی را پیاده‌سازی می‌کنند.

او تصریح کرد: یکی از ابزارهای نظام مدیریتی، نظام مدیریت امنیت اطلاعات است و مجموعه‌ای از موارد وجود دارد و این نظام نیز برحسب استاندارد ۲۷۰۰۱ است و در کشور ما توسط سازمان استاندارد، ملی شده است.

وی خاطرنشان کرد: این استاندارد دو بخش دارد که بخش اول اصل خود نظام است و از عبارت ۴ تا ۸ استفاده می‌کند تا سیستم مدیریتی را به دست آورد؛ در جایی باید به سراغ کنترل‌های امنیتی رفت تا در این فرآیند چهار تا هشت کنترل‌ها انتخاب شوند و در این زمینه پیوست “الف” استاندارد، ۱۳۳ کنترل را قید کرده است و متناسب با نیاز هر سازمان و بر حسب دارایی‌های اطلاعاتی سازمان پیاده‌سازی می‌شود.

میراسکندری در ادامه خاطرنشان کرد: استاندارد ۲۷۰۰۱ خانواده‌ای دارد و این خانواده مجموعه‌ای از استانداردهای راهنما هستند؛ خود استاندارد ۲۷۰۰۰ مربوط به مفاهیم اولیه‌ای است و ۲۷۰۰۱ استانداردی است که اگر مجموعه‌ای بخواهد سامانه مدیریت امنیت اطلاعات داشته باشد باید یکسری پیش نیازها را احصاء کرده باشد تا گواهی‌نامه به آن‌ها تعلق بگیرد.

او افزود: ۲۷۰۰۶ هم جزو نیازمندی‌هایی است که CBها (Certification Bodies) کسانی که مدیریت امنیت اطلاعات را پیاده‌سازی می‌کنند و صحت وجود سیستم مدیریت امنیت اطلاعات را تایید می‌کنند،باید رعایت کرده باشند.

مدیر کل خدمات ارزش افزوده سازمان فن‌آوری اطلاعات ایران گفت: از ۲۷۰۰۲ تا ۲۷۰۰۸ به غیر از ۲۷۰۰۶ راهنمای پیاده سازی خود ISMS است و آنجا نحوه پیاده سازی را مشخص می‌کند؛ به چرخه قید شده نیز چرخه دنینگ می‌گویند.

میراسکندری تصریح کرد: از استاندارد ۲۷۰۱۰ تا ۲۷۰۲۰ استاندارد ISMSهایی است که برای ساختارهای خاص در نظر گرفته شده است؛ برای نمونه ۲۷۰۱۱ استاندارد مدیریت امنیت اطلاعات برای سازمان‌های مخابراتی است. یکی از همین استانداردها بحث مدیریت امنیت اطلاعات برای سیستم‌های بانکی را مطرح می‌کند.

وی گفت: بعد از این مراحل وارد بخش ۲۷۰۳۰ تا ۲۷۰۴۰ می‌شویم که راهنمای پیاده‌سازی کنترل‌ها است و بنابراین اگر کسی بخواهد ISMS را به صورت کامل پیاده سازی کند نیازمند این است که استانداردها را مطالعه کند.

میراسکندری درباره نحوه اتخاذ این استانداردها، اظهار کرد: خانواده‌های استانداردها توسط سازمان بین‌المللی استاندارد (ISO) که با مشارکت IEC (international electrical commission) و تحت یک کمیته مشترک که به آن JTC گفته می‌شود، تدوین می‌شود که هنوز برخی از آن‌ها منتشر نشده است.

او اضافه کرد:‌ ولی پیش‌نویس‌های آن‌ها موجود است و برروی آن‌ها کار می‌شود البته هر بخشی از خانواده‌های یک استاندارد در زیر مجموعه‌های ISO که JTCها و به دنبال آن کمیته‌های زیرمجموعه و در مرحله آخر گروه‌های کاری حضور دارند بررسی می‌شود که هر کدام روی استانداردهای خاص کار می‌کنند.

وی با بیان مثالی گفت: مثلا SC27 از JTC1 بحث مدیریت امنیت اطلاعات است و حال پنج گروه کاری وجود دارد که روی این موضوعات کار می‌کنند.

میراسکندری درباره فعالیت‌های “نما” با توجه به تمامی مواردی مطرح شده گفت:‌ کاری که این مرکز می‌خواهد انجام بدهد صرفا دادن این گواهی‌ها نیست و به موازی این قضیه روی استانداردها کار می‌شود و همکاری خوبی با سازمان استاندارد داریم تا این استانداردها را هرچه زودتر ملی کرده و در اختیار مخاطبان قرار دهیم و از طرف دیگر غیر از معرفی چند شرکت درحال حاضر برای بحث مشاوره برروی سازمان‌های مخاطب دستگاه‌های اجرایی دولتی هم تعاملاتی داریم و سعی می‌کنیم ISMS را خیلی خوب به آن‌ها بشناسانیم تا با اشراف کامل به سراغ این سیستم بیایند.

او در پاسخ به این سوال که آیا CBها به موازات پشتیبانی و رصد وضعیت سازمان‌ها پیش می‌روند و یا کمیته‌هایی در داخل هر سازمان جهت پیگیری اهداف تشکیل خواهد شد، گفت: یکسری CBها را در آینده نزدیک معرفی می‌کنیم و اگر شرکتی به سطح دریافت گواهی‌نامه رسیده باشد با معرفی CBها می‌تواند به آن‌ها مراجعه کند و آن ها براساس استاندارد ۲۷۰۰۱ ممیزی نهایی را انجام می‌دهند و اگر در ممیزی نهایی به عدم تطابقی با نیازمندی‌های مطرح شده توسط خود استاندارد برنخورند، اعلام می‌کنند که این سازمان توان دریافت گواهی‌نامه را دارد و ما هم گواهی نامه را از آن‌ها دریافت می‌کنیم.

وی در جواب این سوال که با این حساب تعهدات مالی چندان مهم برای متقاضیان نخواهد بود؟‌ گفت:‌ اصلا تعهد مالی برای این شرکت‌ها نداشتیم چراکه فعالیت‌هایی از این دست همکاری است و درواقع با همکاری مشترک یک نظام را پایه‌گذاری می‌کنیم و در ابتدای کار یکسری از فعالیت‌ها باید انجام شود که ما درصدد آنیم ولی با توجه به این که طبق برنامه پنجم مکلف به پیاده‌سازی هستیم ما حرکت را شروع کردیم.
telegram

در صورت تمایل می‌توانید در نوار جستجوی تلگرام @favanews را تایپ کرده و عضو کانال شوید

مطالب جذابی که ممکن است علاقه داشته باشید...

دیدگاه بگذارید

اولین دیدگاه را شما بنویسید.

آگاه سازی از
avatar

wpDiscuz