مدیریت امنیت اطلاعات ضرورت حیاتی بانکداری الکترونیکی
مدیریت امنیت اطلاعات
اطلاعات کلید رشد و موفقیت یک شرکت است. سیستم مدیریت امنیت اطلاعات ثبت شده، به مشتریان شما اطمینان خواهد داد که اطلاعات شما به نحو مناسب حفاظت شده – چه در ثبت الکترونیک و چه بر روی کاغذ و یا در اذهان کارکنان.سیستم مدیریت امنیت اطلاعات شما را در شناسایی و کاهش ریسکهای بحرانی امنیتی، از طریق تمرکز بر تلاشهایی جهت امنیت اطلاعات و حفاظت از آنها، یاری می نماید. کشف نقاط قوت، نقاط ضعف و فرصتهای بهبود در مدیریت ریسکهای امنیتی امری حیاتی است. با رویکرد Risk Based CertificationTM، ممیزان DNV قادر به ارزیابی میزان پشتیبانی سیستم مدیریت امنیت اطلاعات شما در زمینه هایی که دارای اهمیت بیشتر برای شما هستند خواهند بود و بدین وسیله میزان تطابق این سیستم را با استاندارد انتخاب شده تعیین خواهند نمود.
در این صفحه مدیریت امنیت اطلاعات ما شما را در پی بردن به چرا و چگونگی سیستم مدیریت امنیت اطلاعات یاری خواهیم نمود. اینکه این سیستم چیست و چگونه کسب و کار شما از مزایای پیاده سازی آن بهره مند خواهد شد.
صدور گواهینامه اعتباردهی شده بر اساس استاندارد ISO/IEC 27001 . این یک استاندارد جدید بین المللی سیستم مدیریت امنیت اطلاعات می باشد که جایگزین BS7799شده است. این استاندارد بر اساس استاندارد BS7799و با ساختار مشابه سایر استانداردهای مدیریت طراحی شده است. استاندارد ISO/IEC 27001بیانگر الزامات در پایه گذاری، استقرار، اجرا، پایش، بازنگری، نگهداری و بهبود یک سیستم مدیریت امنیت اطلاعات در سازمان می باشد.
استاندارد ISO/IEC27001در تاریخ 15 اکتبر 2005 به اجرا در آمد. ممیزی بر اساس این استاندارد از این تاریخ قابل انجام است.
در دوره آماده سازی از تاریخ 15 اکتبر 2005 تا 15 آپریل 2006 ممیزی و صدور گواهینامه بر اساس هر دو استاندارد ISO/IEC 27001:2005و BS7799-2:2002قابل انجام است. با این تفاوت که گواهینامه های صادره بر اساس استاندارد BS7799-2:2002 باید تا تاریخ 15 آپریل 2007 به گواهینامه ISO/IEC 27001:2005تبدیل و منتقل گردند.بعد از تاریخ 15 آپریل 2006 ممیزی و صدور گواهینامه تنها بر اساس استاندارد ISO/IEC 27001:2005قابل انجام خواهد بود.شرکتهایی که بر اساس استاندارد BS7799 گواهینامه دریافت نموده اند باید تا تاریخ 15 آپریل 2007 به استاندارد جدید انتقال یابند. برای اطلاعات بیشتر در این خصوص به دفاتر محلی ما مراجعه نمایید.مسیر صدور گواهینامه شما را در آمادگی برای ممیزی مستقل یاری خواهد نمود. صدور گواهینامه اعتباردهی شده بیانگر اصول روش اختصاصی Risk Based Certification موسسه DNV می باشد.
DNVارایه دهنده Risk Based Certificationدر سطح جهان می باشد و دارای تعداد بسیار زیادی اعتبارنامه (Accreditation) ملی است. ما با استفاده از شبکه ای جهانی از منابع محلی، ارایه دهنده خدماتی مناسب نیازهای شما، در هر نوع فعالیت اقتصادی، و در هر مکان جغرافیایی هستیم. شما در هر محل که باشید، ممیزان ما در مورد بهبود فرآیند کسب و کار شما نکته ای برای ارایه خواهند داشت.
Risk Based Certificationعلامت ثبت شده تجاری موسسه Det Norske Veritas ASمی باشد. فایلهای مرتبط در ایالات متحده، اتحادیه اروپا، ژاپن و نروژ تکمیل شده است.
چرا و چگونه؟
امنیت اطلاعات چیزی بیش از تکنولوژی اطلاعات است. با استفاده از سیستم مدیریت امنیت اطلاعات شما می توانید، از کار درست بر روی اطلاعات سازمان با وجود جلوگیری از نشر اطلاعات اطمینان یابید.با افزایش راه حل های فنی که به منظور اشتراک سریع اطلاعات طراحی شده اند، امکان نشر اطلاعات گسترده تر گردیده است. جابجایی بیشتر کارکنان در بین سازمانها نیز به معنی از دست دادن بخشی از دانش شما در زمان بیرون رفتن هر یک از آنها از درب شرکت می باشد. رویکردی سیستماتیک در امنیت اطلاعاتمی تواند شما را در مدیریت جریان اطلاعات کمک نماید. حرکت از فرآیند های تک منظوره شما را در برخورداری از دید جامعی که مدیریت، اندازه گیریو بهبودفرآیند های داخلی را ساده تر می نماید، برخوردار خواهد نمود. این قدم اول در سفر به بهبود مستمر کسب و کار می باشد.
حفاظت سه بعدی(3D) از اطلاعات سازمان
با به کارگیری یک سیستم مدیریت شما می توانید امنیت اطلاعاتخود را پایه گذاری، استقرار، بهره برداری، پایش، بازنگری، نگهداری و بهبود دهید. شما ابزاری برای شناسایی دارایی های بحرانی و حفاظت آنها خواهید داشت. همزمان با ایجاد اطمینان در مشتریان، کارکنان و صاحبان سهام و در نهایت جامعه، موجب تقویت سازمان خود در دستیابی به اهداف استراتژیک خواهید داشت.
اطلاعات شما در سه بعد زیر محافظت خواهد شد:
حفظ محرمانه بودناطلاعات، از طریق اطمینان از دسترسی اطلاعات تنها توسط افراد مجاز.
حفظ یکپارچگیاطلاعات از لحاظ دقت و کامل بودن و روشهای پردازش
اطمینان از در دسترس بودنبا اطمینان از در دسترس بودن اطلاعات و دارایی های مرتبط توسط افراد مجاز در زمان نیاز.
تمرکز بر امنیت
هدف سیستم مدیریت امنیت اطلاعات اطمینان از تداوم کسب و کار از طریق جلوگیری و به حداقل رساندن اثرات حوادث امنیتی است. گزارش Audit Commisionدر سال 1998 نمایانگر این مطلب است که، حملات و یا نمونه هایی از سوء استفاده های ITاغلب در اثر عدم وجود کنترلهای بسیار ساده به وقوع پیوسته اند که نیمی از آنها تصادفا کشف شده اند. اطمینان از ضبط مطمئن اطلاعات، و حفاظت از آن توسط یک سیستم مدیریت مرزهای رقابتی سازمان را بزرگتر خواهد نمود.
شما براساس چه استانداردی قادر به دریافت گواهینامه می باشید؟
برای قرار گیری در مسیر دستیابی به گواهینامه، شما باید شروع به مطالعه در مورد ISO27001، استاندارد سیستم های مدیریت امنیت اطلاعات، و قابل اعمال به تمامی سازمانها، نمایید.
استاندارد بین المللی ISO/IEC 27001 در تاریخ 15 آپریل 2006 به جای استاندارد BS7799 جایگزین خواهد شد.
ISO/IEC 27001
گواهی ISO/IEC27001 بیانگر دریافت گواهینامه تطابق سیستم مدیریت امنیت اطلاعات شما بر اساس بهترین روشها می باشد. گواهینامه ارایه شده توسط مرجع صدور گواهینامه، بیانگر اینست که شما تمهیدات لازم را در خصوص حفاظت اطلاعات از دسترسی غیر مجاز و تغییرات به کار بسته اید.این استاندارد رویکردی فرآیند نگر را در پایه گذاری، استقرار، اجرا، پایش، بازنگری، نگهداری و بهبودسیستم مدیریت امنیت اطلاعات سازمان در اختیارتان قرار خواهد داد.استاندارد ISO/IEC27001توسط سازمان جهانی استاندارد(ISO) و به منظور صدور گواهینامه تهیه گردیده است. این استاندارد جایگزین استاندارد BS7799و به عنوان استاندارد بین المللی سیستم مدیریت امنیت اطلاعات مطرح گردیده است. این استاندارد بر اساس BS7799، و با هدف تطابق با ساختار سایر استانداردهای سیستم های مدیریت تهیه گردیده است. کنترلهای جدیدی نیز نظیر مدیریت رخداد(Incident) امنیت اطلاعات و اصول OECDبه آن افزوده شده است.
این استاندارد همچنین استاندارد هایی نظیر ISO/IEC17799:2005، ISO/IEC13335:2004، ISO/IEC TR 13335-3:1998، ISO/IEC TR 13335:2000، ISO/IEC18044:2004و «راهنماهای OECDبرای سیستمهای امنیت اطلاعات و شبکه ها – به سوی یک فرهنگ امنیت» را به همراه می آورد که راهنمایی برای پیاده سازی امنیت اطلاعات هستند.
حفاظت از دارایی ها
این استاندارد روشی تفصیلی در رویکرد به امنیت اطلاعات در اختیار قرار داده است. دارایی های نیازمند حفاظت، از اطلاعات دیجیتال گرفته، مدارک کاغذی، و دارایی های فیزیکی(نظیر کامپیوتر و شبکه ها) تا دانش فرد فرد پرسنل. مواردی که شما باید برای آن تمهیداتی در نظر گیرید، از توسعه شایستگی پرسنل در این خصوص تا حفاظت فنی از کلاهبرداری های کامپیوتری را در بر می گیرد.
ISO/IEC 27001از اطلاعات شما در زمینه های زیر محافظت می نماید:
حفظ محرمانه بودناطلاعات، از طریق اطمینان از دسترسی اطلاعات تنها توسط افراد مجاز.
حفظ یکپارچگیاطلاعات از لحاظ دقت و کامل بودن و روشهای پردازش
اطمینان از در دسترس بودنبا اطمینان از در دسترس بودن اطلاعات و دارایی های مرتبط توسط افراد مجاز در زمان نیاز.
در ارتباط با سایر استانداردهای سیستم های مدیریت
استاندارد ISO/IEC27001در راستای استاندارد های سایر سیستمهای مدیریت تهیه گردیده است تا بتواند به همراه سایر استاندارد ها به صورت یکپارچه پیاده سازی گردد. نتایج حاصله عبارتست از:
یکنواختی با استانداردهای مدیریتی نظیر ISO9001و ISO14001.
تاکید بر روی بهبود مستمر فرآیندهایسیستم مدیریت امنیت اطلاعات.
شفاف سازیبیشتر در الزامات و مدارک و سوابق مورد نیاز.
در بر گیری ارزیابی ریسک و فرآیندهای مدیریتی با به کارگیری مدل Plan, Do, Check, Actیا PDCA.
مرحله بعدی
برای ممیزی شخص ثالث شما نیازمند پیاده سازی سیستم مدیریت امنیت اطلاعات اثر بخش مطابق با الزامات استاندارد می باشید. گام اول رفتن به بخش دستیابی به گواهینامه می باشد.
مسیر دستیابی به گواهینامه
صدور گواهینامه و ثبت بر اساس استاندارد نتیجه یک ارزیابی موفق توسط یک مرجع مستقل شخص ثالث شبیه DNV است. بعد از تصمیم به داشتن یک سیستم مدیریت، مراحل متعددی در پیاده سازی سیستم پیش روی شماست.
تجربه نشان داده که برخی نکات به ظاهر ساده و بی اهمیت در سازمان متقاضی سیستم مدیریت دارای اهمیت است. لذا این موارد را به خاطر بسپارید:
اطمینان حاصل کنید که فرآیند را با نگرش درست آغاز نموده اید.
از داشتن درک درست از مفاهیمتعریف شده در استاندارد اطمینان حاصل نمایید و استاندارد را به عنوان مدرک راهنمای سیستم مدیریت خود به کار گیرید.
از کاربرد و تفسیراستاندارد بر سازمان خود مطمئن شوید.
از استاندارد به عنوان وسیله ای برای بهبوداستفاده نمایید.
درک درستی از ریسکها و فرآیندهاییاز سازمانتان که در توانایی تحقق استراتژی موثرند داشته باشید.
شریک خود(مرجع ثبت و صدور گواهینامه) را با دقت انتخاب کنید.
سازمان باید چه مراحلی تا ثبت و صدور گواهینامه بپیماید؟
در ذیل ده مرحله عمومی برای هدایت شما در مسیر دستیابی به صدور گواهینامه شرح داده شده است:
1. یافتن یک استاندارد
یک نسخه از استاندارد را تهیه نموده و مطالعه نمایید تا با الزامات آن آشنا شوید. در این صورت است که می توانید تصمیم گیری درستی در خصوص لزوم و یا فایده اخذ گواهینامه بر اساس این استاندارد نمایید.
2. مرور ادبیات و نرم افزار
اطلاعات بسیاری در خصوص درک و پیاده سازی استاندارد تهیه شده و در اختیار شما قرار دارد.
3. اختصاص یک تیم و تعریف استراتژی
کاربرد سیستم مدیریت باید تصمیم استراتژیک کل سازمان باشد. بسیار مهم است که مدیران رده بالای سازمان در فرآیند طراحی و توسعه سیستم دخیل باشد. زیرا آنها مسؤول تصمیم گیری در خصوص استراتژی ای هستند که این سیستم باید از آن پشتیبانی نماید. به علاوه، شما یک تیم خاص برای توسعه و پیاده سازی سیستم مدیریت خود نیاز دارید.
4. تعریف نیازهای آموزشی
تیم مسؤول پیاده سازی و نگهداری سیستم(های) مدیریت شما نیازمند آگاهی به تمامی جزییات استاندارد (های) قابل اعمال می باشند. دامنه وسیعی از دوره ها، کارگاههای آموزشی و سمینارهای مختلف، به منظور پاسخگویی به این نیازها در دسترس هستند. ما دوره های عمومی و اختصاصی بسیاری را در این زمینه در سراسر جهان برگزار می نماییم. برای دریافت اطلاعات بیشتر در این خصوص با نزدیکترین دفتر موسسه DNVتماس حاصل فرمایید.
5. بررسی امکان استفاده از مشاور
مشاوران مستقل توانایی ارایه پیشنهاد های کارا، واقع گرایانه و با بهره وری اقتصادی مناسب را در ارتباط با برنامه و استراتژی پیاده سازی سیستم دارا هستند.
6. تهیه یک نظامنامه سیستم مدیریت
نظامنامه سیستم مدیریت کیفیت باید بیانگر خط مشی و عملیات سازمان شما باشد. از طریق این نظامنامه شما شرح درستی از سازمان خود و بهترین روشهایی که برای دستیابی به انتظارات مشتریان طراحی نموده اید ارایه می نمایید.
7. تهیه روشهای اجرایی
روشهای اجرایی بیانگر فرآیندهای سازمان شما به همراه بهترین روشهای توفیق در این فرآیندهاست. این روشها باید پاسخهایی در مورد سؤالات زیر و درباره هر فرآیند ارایه نمایند:
– چرا- چه کسی- چه وقت- کجا- چه چیز- چگونه
8. اجرا و استقرار سیستم مدیریتتان
ارتباط و آموزش کلید پیاده سازی موفق سیستم مدیریت است. در فاز استقرار و پیاده سازی، سازمان شما بر اساس روشهای مستند شده عمل می نماید تا اثربخشی سیستم مدیریت را نشان می دهد.
9. بررسی یک پیش ممیزی
شما می توانید با کمک یک مرجع صدور گواهینامه ارزیابی اولیه ای از پیاده سازی سیستم مدیریت خود داشته باشید. هدف از این ارزیابی شناسایی نقاط نامنطبق و ایجاد فرصتی برای اصلاح آنها قبل از انجام ممیزی اعتباردهی(Accredited) شده سیستم مدیریت می باشد. دریافت یک عدم انطباق به معنای عدم تطابق بخش خاصی از سیستم با الزامات استاندارد می باشد.
10. انتخاب یک مرجع صدور گواهینامه(CB)
به علت نیاز به حفظ اعتبار گواهینامه، ارتباط تجاری شما با مرجع صدور گواهینامه سالیان سال به طول خواهد انجامید. بهبود مستمر برای داشتن سیستم مدیریتی کارا، کلیدی است. DNVبا ارزیابی نقاط قوت و فرصتهای بهبود، شما را در دستیابی به حداکثر ارزش افزوده ناشی از ممیزی سیستمهای مدیریت رهنمون می گردد. برای مدیریت ارشد این به مفهوم آگاهی بیشتر از توانایی سازمان در رسیدن به اهداف استراتژیک خواهد بود. در این عصر موشکافی یکپارچه، انتخاب یک مرجع صدور گواهینامه با شهرتی ورای عیبجویی بی مورد و بدون ارزش افزوده امری ضروری است.
وقتی پیاده سازی سیستم مدیریت خود را به پایان رساندید و آن را برای ممیزی شخص ثالث آماده نمودید، شما آماده ممیزی اعتباردهی شده(Accredited) سیستم مدیریت خود هستید
منبع : کسب یار