دوره آموزش پیاده سازی استاندارد ISO 27001 ISMS

گواهی استاندارد ISO 27000 به منظور تضمین امنیت اطلاعات و حفاظت از حریم خصوصی در سازمان‌ها و سیستم‌های اطلاعاتی آنها طراحی شده‌ است. این گواهی که شامل خانواده‌ای از استانداردها است به سازمان‌ها امکان می‌دهد تا استانداردهای امنیت اطلاعات را پیاده‌سازی کرده و به اطمینان بیشتری در زمینه امنیت اطلاعات خود برسند.

با توجه به اهمیت موضوع دریافت این گواهی، باید پیش از پیاده‌سازی، اطلاعات کافی در خصوص اصول اصلی و شرایط اجرای آن داشته باشید. بنابراین در این مقاله سعی نموده‌ایم، اطلاعات لازم در این خصوص را در اختیارتان قرار دهیم.

اهداف دوره پیاده سازی استاندارد ISO 27001 ISMS

این استاندارد ایده‌ای برای طراحی، استقرار، پياده سازی، عمليات، نظارت، بازنگری، حفظ، نگهداری و بهبود کیفیت سيستم مديريت امنيت اطلاعات جهت حفاظت از تمامیت اطلاعاتی سازمان‌ها مطرح می‌شود. پس، تمامی داده‌های مالی و محرمانه سازمان امن می‌گردد و امکان دسترسی غيرمجاز به اين اطلاعات حساس به حداقل می‌رسد.

پیش‌نیاز

• آشنایی با استاندارد ISMS

مخاطبین دوره

• مديران ومتخصصان IT

• مسئولين امنيت IT

• مشاورین امنیت اطلاعات

• ممیزین ISMS

مزایای دوره

• ارائه مدرک معتبر
• برگزاری دوره‌ها بصورت کاملا عملی
• استفاده از لابراتور مجهز
• استفاده از برترین اساتید داخلی و با مدرک بین‌المللی
• با توجه به حضور گروه دوران در بیش از 1000 پروژه سازمانی، امکان معرفی دانشجویان دوره به بازار کار مرتبط به دوره‌ها
• تخفیف جهت حضور در دوره‌های بعدی
• دريافت مدرک بين‌المللی مرتبط

سرفصل دوره

• آشنایی با  سیستم مدیریت امنیت اطلاعات

• معرفی تاریخچه توسعه سیستم مدیریت امنیت اطلاعات

• استاندارد پیاده‌سازی   ISMS

• مدیریت ریسك

• چگونگی ارتباط  ISMS با دیگر سیستم‌های مدیریتی

• بایدها و نبایدها در پیاده‌سازی   ISMS

• شناخت پیاده‌سازی خط مشی‌های امنیتی

• معرفی مراحل استقرار و پیاده‌سازی   ISMS

• شیوه استقرار ساختار سازمانی امنیت اطلاعات

• شناخت تحلیل عدم انطباقات Gap Analysis

• نحوه تدوین بیانیه كاربردپذیری   SOA

• شناخت طرح تداوم كسب وكار

دوران آکادمی زیر مجموعه گروه دوران، مجری برگزاری دوره پیاده سازی استاندارد ISO 27001 ISMS در قالب آموزش مدیریت فناوری اطلاعات  به صورت آموزش آنلاین و حضوری با بهره‌گیری از لابراتور آنلاین اختصاصی بهمراه گواهی معتبر ارائه می‌شود.

معرفی خانواده ISO 27000و زیر مجموعه‌های آن

گواهی استاندارد ایزو  27000، به مدیران سازمان‌ها نشان می‌دهد که فرآیندهای خود را بر اساس استانداردهای بین‌المللی امنیت اطلاعات مدیریت کنند و از اطلاعات حساس، حریم خصوصی مشتریان و سایر ذینفعان خود محافظت نمایند. همچنین به سازمان‌ها کمک می‌کند تا اعتماد و اعتبار بیشتری در میان مشتریان و بازارهای جهانی برای خود کسب کنند.

در خصوص استاندارد ایزو  27000 باید بدانید که این گواهی مجموعه‌ای از استانداردهای امنیت اطلاعات است که توسط سازمان بین‌المللی استانداردها تعریف می‌شود. گواهی‌های ایزو 27001، گواهی 27001، استاندار 27002، گوهاهی‌ استاندارد 27003 و گواهی ایزو 27004 استانداردهایی هستند که مجموعه استانداردهای سری 27000 را تشکیل می‌دهند. به‌طوری‌که هر کدام اهداف مشخصی در خصوص پیاده‌سازی امنیت اطلاعات در سازمان‌ها و سیستم‌های مدیریتی برعهده دارند.

مسئله بسیار مهمی که در خصوص این گواهی باید بدانید این است که استاندارد 27000 به تنهایی قابلیت اجرا ندارد. در حقیقت اصطلاحی که اکثر افراد در خصوص اجرای استاندارد 27000 عنوان می‌کنند، کاملا اشتباه است و استاندارد 27000 شامل گروهی از استاندارد‌ها می‌شود که در کنار هم در مورد امنیت اطلاعات صحبت می‌کنند‌.

باید بدانید استاندارد ISO 27000 که به عنوان سرگروه این مجموعه شناخته می‌شود شامل مبانی، اصطلاحات و تعاریف امنیت اطلاعات بوده و آنها را تشریح می‌کند. مباحثی مانند تعاریف اولیه امنیت اطلاعات در استاندارد، تعیین ریسک و ممیزی در این استاندارد بیان می‌شوند.

گواهی ایزو 27001

اصلی‌ترین استانداردی که در مجموعه استانداردهای ایزو  27000 قرار دارد، استاندارد 27001 است. در واقع نام کامل گواهی ISO 27001 که آخرین ویرایش آن مربوط به سال 2022 می‌شود، استاندارد امنیت اطلاعات، امنیت سایبری، محافظت از حریم شخصی، الزامات سیستم مدیریت امنیت اطلاعات است.

مهم‌ترین نکته‌ای که در خصوص استاندارد 27000 باید بدانید، این است که در این مجموعه شش‌تایی تنها استانداردی که قابلیت پیاده‌سازی دارد، همین استاندارد 27001 است. بنابراین می‌توان گفت ISO 27001 از جنس الزامات بوده و سازمان‌ها برای دریافت گواهی ایزو  27000 باید اصول این استاندارد را پیاده‌سازی کنند.

استاندارد 27001 یک ساختار 10 بندی دارد که بندهای 4 تا 10 آن بندهای الزامی هستند و سازمان‌هایی که قرار است این گواهی را دریافت کنند، باید الزامات آن را پیاده‌سازی کنند. علاوه بر آن استاندارد 27001 یک پیوست الف دارد که در آن 93 تا کنترل امنیت برای پیاده‌سازی در اختیار کلیه سازمان‌هایی که اقدام به دریافت گواهی ISO 27001 می‌کنند قرار می‌دهد.

در همین راستا باید بدانید که استاندارد 27001، این 93 کنترل امنیتی را در چهار گروه زیر به مدیران سازمان‌ها معرفی می‌نماید:

1. کنترل‌های امنیتی سازمانی
2. کنترل‌های امنیتی مربوط به افراد
3. کنترل‌های امنیتی مربوط به حوزه فیزیکال
4. کنترل‌های امنیتی مربوط به حوزه فناوری

گواهی ایزو 27002

استاندارد دیگری که در این خانواده قرار دارد و باید برای اجرا کردن امنیت اطلاعات با مباحث آن آشنا شوید، گواهی ایزو 27002 است. در این استاندارد توضیحاتی در خصوص 93 تا کنترل امنیتی  که در پیوست استاندارد ایزو 27001 به عنوان استانداری از خانواده ISO 27000 آمده، بیان می‌شود.

بنابراین کسانی که برای دریافت گواهی 27001 و پیاده‌سازی آن در سازمان‌ها اقدام می‌کنند، باید به مباحث استاندارد 27002 تسلط کافی داشته باشند. از این‌رو به گواهی ISO 27002 که به توضیح کامل پیوست الف استاندارد 27001 می‌پردازد، راهنمای کنترل‌های امنیتی گفته می‌شود.

گواهی ایزو 27003 در خانواده ISO 27000

گواهی ایزو 27003، استانداردی است که در آن توضیحات کاملی در خصوص نحوه پیاده‌سازی بندهای 4 تا 10 الزامی استاندارد 27001 آمده است. پس این گواهی نیز در راستای پیاده‌سازی الزامات استاندارد 27001 تنظیم گردیده است. پس یکی از مراحل پیاده‌سازی گواهی  ISO 27001و بندهای اجباری آن، آشنایی کامل با مباحث مطرح شده در استاندارد 27003 محسوب می‌شود.

گواهی ایزو 27004

اصلی‌ترین مطالبی که در استاندارد 27004 بیان شده، مربوط به پایش، اندازه‌گیری، تحلیل و ارزشیابی الزامات استاندارد 27001 است. باید بدانید که در بند 1-9 استاندارد 27001 بندی به نام پایش، اندازه‌گیری، تحلیل و ارزشیابی وجود دارد که استاندارد 27004 بر اساس آن تدوین گردیده است.

در این بند آورده شده که سازمان‌ها باید مشخص کنند، قصد دارند کدام فرایندها را کنترل‌ و اندازه‌گیری کنند. از همه مهم‌تر شاخص‌ها و متریک‌هایی که برای این منظور در نظر گرفته‌اند، شامل کدام پارامترهای اندازه‌گیری می‌شود.

از این‌رو در استاندارد 27004 در خصوص نحوه اندازه‌گیری و پارامترهایی که باید در این خصوص رعایت شود، توضیحاتی آورده شده است. همچنین در این استاندارد فهرست تعدادی شاخص‌ در مورد فرایندهای کنترل‌ امنیتی بیان شده و توضیحات کاملی در خصوص روش‌های محاسباتی این فرایندها و کنترل‌های امنیتی در پیوست آن درج گردیده است. بنابراین مطالب بیان شده در استاندارد 27004، به افرادی که برای دریافت گواهی ایزو 27001 اقدام می‌کنند کمک می‌کند که بتوانند بند 1-9 را به راحتی پیاده‌سازی نمایند.

گواهی ایزو 27005 در خانواده ISO 27000

استاندارد 27005 به عنوان استانداری از خانواده ISO 27000 راهنمایی برای مدیریت، ریسک امنیت اطلاعات است. به طور کلی در  استاندارد 27001 در خصوص ارزیابی و مقابله با ریسک مباحثی بیان گردیده که شرح کامل بررسی و مقابله با ریسک‌های امنیتی در گواهی 27005 آمده است.

برای فراگیری این استاندارد چه دوره‌هایی آموزشی را باید گذراند؟

پس از آشنایی با خانواده استاندارد 27000، سوال بسیاری از افراد در خصوص نحوه آموزش و برگزاری دوره‌های این استاندارد است. در حال حاضر دوره‌های مختلفی برای آموزش این استاندارد برگزار می‌شوند که هر کدام شامل مباحث مختلف پیاده‌سازی استاندارد 27000 هستند.

در زمینه این دوره‌ها خوب است بدانید که در سطح بین‌المللی برای آموزش پیاده‌سازی این استاندارد، تنها در خصوص گواهی 27001 صحبت می‌شود. در حالی‌که در ایران دوره‌های مختلفی برای آموزش سری استانداردهای تعریف شده در خانواده 27000 برگزار می‌گردد.

دوره‌های ISO 27000 کدامند و مدت زمان آموزش هریک چقدر است؟

برای آموزش ایزو  27000 چهار دوره آموزشی زیر در نظر گرفته می‌شود که هر کدام مباحث مختلف و ساعت متفاوتی دارند.

1. دوره اول آموزشی: مباحث مطرح شده در دوره اول مربوط به آشنایی کلی سری استانداردهای 27000 به شمار می‌آید. تمامی مبانی اولیه، تعاریف، شاخص‌ها و توضیحات کلی در خصوص این گواهی در این دوره بیان می‌شود. علاوه بر آن در خصوص این دوره باید بدانید که طول مدت آموزش آن حدوداَ 4 تا 8 ساعت زمان می‌برد.
2. دوره دوم آموزشی: مباحث این دوره در خصوص نحوه پیاده‌سازی استاندارد است. در این دوره کلیه قوانین مربوط به نحوه اجرا، ارزیابی، تحلیل و روش‌های اندازه‌گیری شاخص‌های امنیتی بیان می‌گردد. باید بدانید معمولاً این دوره 16 ساعت به طول می‌انجامد.
3. دوره سوم آموزشی: دوره سوم، دوره ممیزی داخلی استاندارد 27001 است و در 16 ساعت آموزش داده می‌شود.
4. دوره چهارم آموزشی: دوره چهارم، دوره چهل ساعته سرممیزی برای دریافت ISO 27000 است.

موقعیت‌های شغلی پس از پایان هر دوره

در ایران دو تیپ سازمان وجود دارند. تیپ اول مربوط به سازمان‌هایی می‌شوند که استانداردها را پیاده‌سازی می‌کنند. معمولا این تیپ سازمان‌ها برای پیاده‌سازی امنیت اطلاعات سه دوره اول را پشت سر می‌گذارند.

در واقع آنها به جهت آشنایی با استاندارد 27000، آموزش نحوه صحیح اجرا و پیاده‌سازی آن و توانایی ممیزی کردن سازمان اقدام به شرکت در این دوره‌ها می‌کنند. لازم به ذکر است که سازمان‌های دولتی، بانک‌ها یا شرکت ملی نفت نمونه‌ای از این سازمان‌ها به حساب می‌آیند.

اما دوره سر ممیزی فقط مناسب افراد یا سازمان‌هایی است که می‌خواهند کار ممیزی شرکت‌های مورد تایید افتا را انجام دهند. به طور مثال سرتیفیکیشن بادی‌ها (Certification Body) به عنوان نمونه‌ای از این شرکت‌ها شناخته می‌شوند. البته آموزش این دوره برای سازمان‌های دیگر نیز ضرری ندارد و باعث وسعت دید و اطلاعات آنها می‌شود.

بازار کار دوره ISO 27000 در ایران و خارج از کشور و میزان حقوق دریافتی

برای آشنایی با بازار کار این استاندارد باید با سازمان‌هایی که ملزم به رعایت قوانین مربوط به این گواهی هستند آشنا شوید، تا بتوانید موقعیت‌های شغلی موجود را شناسایی کنید. بنابراین در ادامه مطلب توضیحاتی را در خصوص این موقعیت‌های شغلی خدمتتان بیان خواهیم کرد.

سازمان‌ها زیر نظر افتا

پیش از اینکه به بحث بازار کار حوزه امنیت اطلاعات در سازمان‌ها بپردازیم باید گوشزد کنیم قوانینی که در خصوص امنیت اطلاعات در کشور وجود دارند، توسط سازمانی به نام افتا (AFTA) تعریف می‌شوند. در واقع افتا سازمان تامین کننده خدمات امنیت اطلاعات در ایران است که وظیفه آن بهبود سطح امنیت اطلاعات، ارائه خدمات مشاوره‌ای، آموزش، تامین ابزار و راهکارهای امنیتی در سازمان‌ها و نهادهای مختلف به حساب می‌آید. باید بدانید که سازمان افتا تمامی سازمان‌های دولتی را ملزم به رعایت و پیاده‌سازی استاندارد ایزو 27001 به عنوان استانداری از خانواده ISO 27000 می‌کند.

بنابراین تمامی سازمان‌های دولتی یا هر سازمانی که به نحوی با ارگان‌های دولتی در ارتباط هستند، باید طبق قوانین موجود اقدام به پیاده‌سازی این استاندارد نمایند. پس تمامی این سازمان‌ها گزینه‌ای برای فعالیت افرادی هستند که به بحث پیاده‌سازی امنیت اطلاعات یا همان قوانین ایزو 27001 مسلط باشند.

سازمان پدافند غیرعامل

علاوه بر سازمان افتا نهادهای قانونگذار دیگری مانند سازمان پدافند غیرعامل در کشور وجود دارند که اقدام به وضع بخشنامه‌ها و قانون‌هایی مرتبط با استاندارد ایزو  27001 می‌کنند. به طور مثال سازمان پدافند غیرعامل دغدغه تداوم کسب‌وکار یا طرح‌های تداوم کسب‌و‌کار را دارد. این مسئله  یکی از مباحث کنترل‌های امنیتی استاندارد 27001 است که به طور کامل در استاندارد 27002 بیان شده است.

حراست برخی شرکت‌ها

علاوه بر آن برخی سازمان‌ها مثل حراست شرکت نفت، کارمندان خود را مجبور به گذراندن دوره‌های مربوط به استاندارد 27001 و پیاده‌سازی آن کرده‌اند.

قوانین بانک مرکزی

یکی از مهم‌ترین ارگان‌هایی که به مبحث پیاده‌سازی امنیت و قوانین مربوط به آن تاکید دارد، بانک مرکزی است. در واقع یکی از مهم‌ترین دلایل اهمیت بانک مرکزی به مبحث پیاده‌سازی این استاندارد، مربوط به حداقل الزامات ناظر بر ریسک فناوری و اطلاعات است که بسیاری از بانک‌ها درگیر آن هستند.

به همین جهت به دنبال افرادی بوده که به مبحث امنیت‌ و ریسک فناوری اطلاعات تسلط داشته باشند. به طور کلی افرادی می‌توانند در این حوزه فعالیت کنند که تسلط کافی بر سیستم مدیریتی داشته و با حداقل مباحث ‌استاندارد 27001 آشنا باشند.

لازم به ذکر است که با توجه به بحث امنیتی در سیستم بانکی، بانک مرکزی قوانینی را تصویب کرده که بر اساس چارچوب‌های کنترل امنیت اطلاعات پایه‌گذاری شده است. در حقیقت این قانون‌ها ارتباط مستقیمی با سیستم مدیریت امنیت اطلاعات یا همان 93 تا کنترل‌های امنیتی مندرج در پیوست الف استاندارد 27001 به عنوان استانداری از خانواده ISO 27000 دارند.

حقوق افراد شاغل در این حوزه

حقوق افرادی که در این حوزه فعالیت می‌کنند با توجه به تخصص فرد، محل فعالیت یا حجم کار متفاوت است. به‌طوری‌که این مبلغ می‌تواند عددی بین حداقل وزارت کار تا حقوق‌های بسیار بالا در حدود 60 تا 70 میلیون تومان در ماه را در بر بگیرد. علاوه بر آن باید بدانید که بازار کار مناسبی در خارج از کشور برای این حوزه فعالیت وجود دارد. به‌طوری‌که افراد شاغل در این حوزه حقوق‌های مناسبی در حدود 2500 تا 4000 دلار در ماه نیز دریافت می‌کنند.