با گسترش حساسیت ها و نیازمندی های امنیت اطلاعات در نظام های کسب و کاری، دیگر، به جهت تحت پوشش قرار دادن این نیازمندی ها در این حوزه، تنها استفاده از راهکارها و فناوری های تکنولوژیک، یک راهکار جامع و کارامد محسوب نمی شود. بدین ترتیب، در کنار به کارگیری از راهکارهای فنی و تکنولوژیک، لازم است تا نظام های جامع مدیریت امنیت نیز در بدنه معماری امنیت زیرساخت فناوری اطلاعات سازمانی ایجاد و پیاده سازی گردند. در این راستا، یکی از کارامدترین و مناسب ترین چارچوب های پیاده سازی چنین نظام هایی، خانواده استاندارد ISMS می باشد.
فلسفه وجودی نظام جامع مدیریت امنیت اطلاعات، حصول اطمینان از تحت پوشش قرار گرفتن تمامی نیازمندی های امنیتی یک نظام کسب و کاری، همراستا با نیازمندی ها، سیاست ها و محدودیت های آن کسب و کار است که مبتنی بر استانداردهای ISMS تدوین میگردد و رویکردی فرایند محور دارد.
در این راستا، اجزای نظام جامع مدیریت امنیت اطلاعات، متناسب با خصوصیات بومی نظام کسب و کاری، می بایست منطبق گردد. به طور کلی، برخی از این اجزا به شرح زیر می باشند:
- نظام مدیریت دارایی ها
- نظام مدیریت سیاست گذاری امنیتی
- نظام مدیریت ریسک
- نظام مدیریت تداوم کسب و کار
- نظام مدیریت امنیت در حوزه منابع انسانی
- نظام مدیرت کنترل دسترسی
- نظام مدیریت رخدادها و وقایع امنیتی
- تبیین نظام جامع مستندسازی مبتنی بر رویکرد مدیریت دانش
- شاخص های کلیدی موفقیت و معیارهای ارزیابی بهره وری
به طور کلی، مزیت استفاده از نظام جامع مدیریت امنیت اطلاعات (مبتنی بر خانواده استاندارد ISMS)، کاهش ریسکها و مخاطرات امنیتی، با به کارگیری سازوکارهای مناسب و فرایند محور می باشد. از مهم ترین مزایای ایجاد نظام جامع مدیریت امنیت اطلاعات، (مبتنی بر استانداردهای ISMS) در یک سازمان، می توان به موارد زیر اشاره نمود:
تعریف فرایندهای برنامه ریزی، پیاده سازی، نگهداری و پشتیبانی از یک معماری جامع و مقرون به صرفه، در جهت تحت پوشش قرار دادن نیازمندی های امنیتی نظام کسب و کار
بهبود سطح مدیریت امنیت اطلاعات در قالب فرایندها و دستورالعمل های عملیاتی و رفتاری
افزایش چشمگیر پارامترهای کنترلی در حوزه امنیت، به جهت حصول اطمینان از مطلوبیت سطوح امنیت در بخش ها و لایه های مختلف
ایجاد مسیری به جهت بهینه سازی مدون و ارتقاء دائمی سطح امنیت متناسب با پتانسیل موجود، پیشرفت های تکنولوژیک و تغییرات تأثیرگذار در سطح زیرساخت فناوری اطلاعات و در سطح کسب و کار سازمان
قابلیت سازگاری و انطباق کامل با معماری تکنولوژیک فناوری اطلاعات
رویکرد شرکت فناوران عصر شبکه پاسارگاد، در انجام پروژه های فناوری اطلاعات در تمامی حوزه های فنی، مبنی بر ایجاد متدولوژیهای یکپارچه و ماژولار است. این متدولوژی ها بر مهندسی سازی رفتار یک سیستم جامع، در چرخه های عمر سیستم تأکید دارند.
پروژه هایی که در زمینه خدمات ISMS نیز انجام می شوند، از این قاعده مستثنا نیستند و رویکرد کلان شرکت در رابطه با این پروژه ها به همین صورت است.
بدین ترتیب، با اتکا بر چنین رویکردی، شرکت به این توانایی دست یافته است، تا راهکارهای جامع را به طور کامل، از ابتدا تعریف نموده، آن را طراحی و پیاده سازی نماید و پس از آن به بهینه سازی و پشتیبانی راهکارها بپردازد.
همچنین، با استفاده از چنین رویکردی، شرکت به این توانایی نیز دست یافته است، تا به اقتضا بر شرایط پروژه، هر کدام از فازها و مراحل یک پروژه را به تنهایی، بدون اینکه در سایر فازها و مراحل درگیر باشد، با اخذ ورودی های اطلاعاتی لازم از فعالیت های انجام شده پیشین و ارائه خروجی های اطلاعاتی لازم به جهت ادامه کار توسط تیم فنی دیگر، انجام دهد.
استفاده از این چنین رویکرد مشترکی، در تناقض با نیازمندی ها و فعالیت های فنی پروژه از دیدگاه فازهای کلان نبوده و تفاوت های تکنولوژیک و فنی پروژه هایی که در این حوزه (حوزه خدمات ISMS) انجام می پذیرند، تنها بر روی فعالیت های درون فازهای مختلف تأثیرگذار خواهند بود، نه در متدولوژی و رویکرد کلان انجام پروژه.
برخی از توانمندی های تیم فنی شرکت در حوزه استقرار سیستم مدیریت امنیت اطلاعات (ISMS) به شرح زیر می باشد:
مطالعه و شناخت وضعیت موجود سیستمها و فرآیندها |
|
|
|
|
|
ارزیابی امنیتی و تحلیل ریسک (مخاطرات) |
|
|
|
|
|
|
|
|
|
اجرای آزمون نفوذ پذیری شبکه و نرم افزارها |
|
تدوین سیاستهای امنیتی |
|
|
|
|
طراحی وضعیت مطلوب امنیتی |
|
|
|
|
|
پیاده سازی راهکارهای کاهش مخاطرات و مشکلات امنیتی |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ممیزی داخلی، پایش و اندازه گیری ها |
|
|
ممیزی خارجی و همکاری جهت اخذ گواهینامه |
|
|