تالار گفتگوی کیش تک/ kishtech forum
امنیت فناوری اطلاعات - نسخه‌ی قابل چاپ

+- تالار گفتگوی کیش تک/ kishtech forum (http://forum.kishtech.ir)
+-- انجمن: پردیس فناوری کیش (http://forum.kishtech.ir/forumdisplay.php?fid=1)
+--- انجمن: گروه رشته های مدیریت (http://forum.kishtech.ir/forumdisplay.php?fid=57)
+---- انجمن: مدیریت فناوری اطلاعات (http://forum.kishtech.ir/forumdisplay.php?fid=89)
+---- موضوع: امنیت فناوری اطلاعات (/showthread.php?tid=42181)

امنیت فناوری اطلاعات - alializadeh - 24-06-2020

گسترش روزافزون فناوري اطلاعات، انقلابی را در ابعاد مختلف زندگی انسانها و عملکرد سازمانها ایجاد کرده است. این فناوري روشهاي کارکرد
و نگرش افراد، سازمانها و دولتها را دگرگون ساخته و باعث ایجاد تحول در انجام امور، به ویژه ارائه خدمات مختلف به مشتریان شدهاست. امروزه ارائه
سرویس و داشتن توانایی پاسخگویی به انتظارها، یکی از نیازمنديهاي کسب و کار مطمئن است و به همین دلیل در سازمانها، داشتن شبکهاي قوي،
مؤثر و امن بسیار مهم است. کسب آمادگی کافی جهت مقابله یا اتخاذ تصمیمات مناسب در مقابل حوادث فیزیکی، جرائم سایبري، اختلالات ناشی از
تغییرات و غیره در هر دو لایه زیرساخت و کاربرد فناوري اطلاعات، رهیافتی اجتنابناپذیر براي تضمین پایایی کسب و کار میباشد. لذا امنسازي شبکه
و سیستمهاي اطلاعاتی به یکی از مسائل مهم پیش رو و دغدغههاي عمده مدیران فناوري اطلاعات سازمانها تبدیل شده است.
مهمترین اقدام در راستاي امنسازي یک سازمان، ایجاد یک چارچوب قدرتمند جهت مدیریت اقدامات امنیتی است. باید اذعان داشت که فرآیند امنسازي
سازمان بدون لحاظ نمودن مسائل مدیریت امنیت و بسط و گسترش آن در سطح همه بخشهاي حساس و استراتژیک سازمان میسر نیست. سیستم
مدیریت امنیت اطلاعات با انتخاب کنترلهاي امنیتی کافی و متناسب، محافظت از داراییهاي اطلاعاتی را تضمین مینماید و به این ترتیب به طرفین
ذینفع اطمینان خاطر داده میشود. به این ترتیب راهحلهاي امنیتی استاندارد به تمامی سختافزارها، نرمافزارها، ارتباطات و بسترهاي آنها اعمال میشود
تا سازمان را در جهت نیل به موفقیت در سایه داشتن محیطی امن یاري کند.
با هدف تبیین شفاف راهکارهاي امنسازي به منظور مدیریت مخاطرههاي امنیت اطلاعات سازمانها در (ISMS) سیستم مدیریت امنیت اطلاعات
چارچوب مجموعه مخاطرههاي کسبوکار و با عنوان ارزیابی، راهبري و پشتیبانی امنیت فناوري اطلاعات درونسازمانی و برونسازمانی در یک سطح
توافق شده مطرح شده است که مراحل طراحی و پیادهسازي سیستم لزوماً پشت سر هم نبوده و میتواند همپوشانی داشته باشد.
لازم به توضیح است که منظور از طراحی و پیادهسازي سیستم مدیریت امنیت اطلاعات ایجاد بستري جهت ایجاد هماهنگی بین کلیه پرسنل حوزة پروژه
به منظور حرکت در جهت امنیت اطلاعات در سازمان میباشد و این امر محقق نمیشود مگر با مشارکت و همراهی کلیه کارشناسان و پشتیبانی مدیران
ارشد سازمان و لذا تمامی مراحل طراحی و پیادهسازي هر پروژه توسط مشاوران سیستم و با مشارکت و همراهی کارشناسان و مدیران سازمان امکانپذیر
خواهد بود و در حقیقت ضمانت اثر بخش بودن سیستم وابسته به این مشارکت میباشد. چرا که طبعاً سیستم مدیریت امنیت اطلاعات یک سازمان پس
استانداردي از طرف سازمان معتبر ISMS از اتمام پروژه و خروج مشاور از سازمان همچنان با رویکرد بهبود مستمر تداوم خواهد یافت.جهت پیاده -سازي
27001 ارائه شده است. :ISO تحت عنوان 2005 ISO
27001:2005 بوده و بدین جهت منطبق با ISO/IEC لازم به ذکر است که کلیۀ مراحل استقرار سیستم مدیریت امنیت اطلاعات مبتنی بر استاندارد
تبیین (Act) و اقدام (Check) بررسی ، (Do) اجرا ، (Plan) میباشد. چرخۀ دمینگ پیشبرد یک فرایند را در چهار فاز طراحی (PDCA) چرخۀ دمینگ
میکند که با توجه به تعریف این چرخه به طور مداوم در حرکت بوده و بارها و بارها این فازها تکرار میشوند و موجب بهبود مستمر سیستم خواهد شد.
با این رویکرد میتوان روند استقرار سیستم مدیریت امنیت اطلاعات را در این چهار مرحله تبیین کرد:
الف) شناخت الزامات امنیت اطلاعات و نیاز به سیاستگذاري و هدفگذاري براي امنیت اطلاعات.
ب) پیادهسازي و بهرهبرداري از موارد کنترلی به منظور مدیریت مخاطرههاي امنیت اطلاعات یک سازمان در چارچوب مجموعه مخاطرههاي کسبوکار
سازمان.
پ) پایش و بازنگري اجرا و اثربخشی سیستم مدیریت امنیت اطلاعات.
ت) بهبود مستمر بر اساس اندازهگیري هدف.
قرار گرفت (این نسخه پیش نویس ممکن است تغییرات کوچکی BSI 27001:2013 که در ژانویه معرفی شده بود، در سایت ISO پیش نویس نسخه جدید
با نسخه نهایی داشته باشد که در نیمه دوم سال 2013 منتشر خواهد شد.) هدف از ارائه این نسخه اصلاح کردن برخی از اشکالات می باشد.
این نسخه از استاندارد در بر دارنده 10 بند و یک پیوست از کنترل ها می باشد که موارد زیر را تحت پوشش قرار می دهد:
1. دامنه
2. مراجع
ISO/IEC 3. تعاریف و واژگان 27000
4. زمینه فعالیت سازمان و سهامداران آن
(high-level support for policy) 5. رهبري امنیت اطلاعات و پشتیبانی سطح بالا از خط مشی ها
6. طراحی سیستم مدیریت امنیت اطلاعات ; برآورد مخاطرات ; برطرف سازي مخاطرات
7. پشتیبانی از سیستم مدیریت امنیت اطلاعات
8. عملیاتی کردن سیستم مدیریت امنیت اطلاعات
9. بررسی عملکرد سیستم
10. اقدام اصلاحی
(ISMS) فواید پیاده سازي استانداردهاي سیستم مدیریت امنیت اطلاعات
-استاندارد مورد تأیید و اجباري از سوي شوراي عالی امنیت فضاي تبادل اطلاعات کشور (افتا)
-کمک به تهیه برنامه عملیاتی امنیت فضاي تبادل اطلاعات در سازمان ها
-تأمین امنیت در همه سطوح شامل امنیت فیزیکی، پرسنلی و ارتباطات
-جدیدترین استاندارد امنیت اطلاعات
-افزایش وجهه و اعتبار سازمان
-سیستم مدیریت امنیت پویا و مستمر
-رویکرد پیشگیرانه
-نگاه همهجانبه به امنیت
-رویکرد آموزش پرسنل
-کاهش هزینهها
شرکت تاکیان چگونه این خدمات را به شما ارائه خواهد داد؟
این شرکت آماده است تا طراحی، پیاده سازي، اصلاح ، بهبود و بازبینی در زمینه سیستم مدیریت امنیت اطلاعات در کلیه سازمانها، ادارات و شرکتها را
و طراحان نرم افزارهاي امنیتی ، از قدرت بالایی جهت پیاده سازي سیستم ISMS ، ارائه نماید. این شرکت با در کنار هم داشتن سه تیم فنی امنیت شبکه
مدیریت امنیت اطلاعات برخوردار میباشد.
ISMS: عمده فعالیت هاي شرکت تاکیان در زمینه
براي سازمانها: RFP تهیه
دارند. ISMS مناسب در زمینه RFP سازمان ها نیاز به تهیه ، (ISMS) جهت انتخاب مشاور شایسته براي پیاده-سازي سیستم مدیریت امنیت اطلاعات
و استاندارهاي وابسته، نیاز می باشد. شرکت تاکیان ISMS مناسب در این زمینه، شناخت درست از نیازهاي امنیتی سازمان با دید RFP براي تهیه
مناسب براي کلیه سازمان ها اعلام مینماید. RFP آمادگی لازم را براي تهیه
طراحی سیستم مدیریت امنیت اطلاعات:
کارشناسان تاکیان، جهت طراحی مدیریت امنیت اطلاعات در سازمان، پس از فرهنگ سازي مناسب در سازمان که شامل آموزش هایی در این خصوص
و همچنین آگاه سازي پرسنل در این زمینه میباشد، به شناخت سازمان پرداخته و وضعیت موجود را تا رسیدن به وضعیت مطلوب در زمینه امنیت
سازمانی بررسی مینمایند. پس از این مرحله ارزیابی مخاطرات با توجه به دارایی هاي شناخته شده صورت میگیرد و ریسک کلیه دارایی ها محاسبه شده
و کنترل هاي مناسب جهت به حداقل رساندن ریسکها انتخاب میگردد. خروجی این سرویس ارائه طرح امنیت در زمینه سیستم مدیریت امنیت اطلاعات
به سازمان خواهد بود.
پیاده سازي سیستم مدیرت امنیت اطلاعات:
و کارشناسان فنی شرکت تاکیان در کنار هم به پیاده سازي طرح ISMS جهت پیاده سازي سیستم مدیریت امنیت اطلاعات در سازمان،کارشناسان
امنیت در سازمان میپردازند. این پیاده سازي با توجه به در نظر گرفتن کلیه بندها و کنترلهاي موجود در استانداردهاي سیستم مدیرت امنیت اطلاعات
خواهد بود. در رابطه با پیاده سازي فنی (امنیت اطلاعات الکترونیکی) که قسمتی از طرح امنیت میباشد در قسمتهاي بعدي توضیحات جامعتري داده
شده است. پس از پیاده سازي جهت برطرف کردن مشکلات احتمالی ممیزان داخلی و هم چنین کارشناسان تست نفوذ این شرکت، سیستم پیاده سازي
شده را مورد بررسی قرار داده و گزارشی را در اختیار تیم پیاده سازي قرار میدهند تا با توجه به آن مشکلات شناخته شده برطرف گردد.
حفظ و نگهداري سیستم مدیریت امنیت اطلاعات:
جهت حفظ و نگهداري سیستم مدیریت امنیت اطلاعات در سازمان، شرکت تاکیان تمهیداتی را جهت برطرف کردن مشکلات به وجود آمده و بهبود این
سیستم در نظر گرفته است که مدت نگهداري و چگونگی آن بر اساس توافقی که با کار فرما صورت میگیرد، انجام داده میشود.
برگزاري سیمنار و دوره هاي آموزش:
با توجه به اهمیت مسأله آموزش در زمینه سیستم مدیریت امنیت اطلاعات، بخش آموزش شرکت تاکیان, توانایی برگزاري دورههاي مختلف آموزشی را
برگزار می شوند شامل دورههاي تخصصی و حرفه اي می باشند. هم ISMS در سطوح مختلف داراست. این دوره ها که به صورت تخصصی در زمینه
در دنیاي امروزي، آشنایی با سیستم مدیریت امنیت ISMS چنین بخش آموزش در این زمینه توانایی برگزاري سمینارهایی با عنوان لزوم پیاده سازي
اطلاعات و استانداردهاي وابسته به آن، را دارا میباشد.