شرح دوره پیاده سازی استاندارد ISO 27001 ISMS
گواهی استاندارد ISO 27000 به منظور تضمین امنیت اطلاعات و حفاظت از حریم خصوصی در سازمانها و سیستمهای اطلاعاتی آنها طراحی شده است. این گواهی که شامل خانوادهای از استانداردها است به سازمانها امکان میدهد تا استانداردهای امنیت اطلاعات را پیادهسازی کرده و به اطمینان بیشتری در زمینه امنیت اطلاعات خود برسند.
با توجه به اهمیت موضوع دریافت این گواهی، باید پیش از پیادهسازی، اطلاعات کافی در خصوص اصول اصلی و شرایط اجرای آن داشته باشید. بنابراین در این مقاله سعی نمودهایم، اطلاعات لازم در این خصوص را در اختیارتان قرار دهیم.
اهداف دوره پیاده سازی استاندارد ISO 27001 ISMS
این استاندارد ایدهای برای طراحی، استقرار، پياده سازی، عمليات، نظارت، بازنگری، حفظ، نگهداری و بهبود کیفیت سيستم مديريت امنيت اطلاعات جهت حفاظت از تمامیت اطلاعاتی سازمانها مطرح میشود. پس، تمامی دادههای مالی و محرمانه سازمان امن میگردد و امکان دسترسی غيرمجاز به اين اطلاعات حساس به حداقل میرسد.
پیشنیاز
- آشنایی با استاندارد ISMS
مخاطبین دوره
- مديران ومتخصصان IT
-
مسئولين امنيت IT
-
مشاورین امنیت اطلاعات
-
ممیزین ISMS
مزایای دوره
- ارائه مدرک معتبر
- برگزاری دورهها بصورت کاملا عملی
- استفاده از لابراتور مجهز
- استفاده از برترین اساتید داخلی و با مدرک بینالمللی
- با توجه به حضور گروه دوران در بیش از 1000 پروژه سازمانی، امکان معرفی دانشجویان دوره به بازار کار مرتبط به دورهها
- تخفیف جهت حضور در دورههای بعدی
- دريافت مدرک بينالمللی مرتبط
سرفصل دوره
-
آشنایی با سیستم مدیریت امنیت اطلاعات
-
معرفی تاریخچه توسعه سیستم مدیریت امنیت اطلاعات
-
استاندارد پیادهسازی ISMS
-
مدیریت ریسك
-
چگونگی ارتباط ISMS با دیگر سیستمهای مدیریتی
-
بایدها و نبایدها در پیادهسازی ISMS
-
شناخت پیادهسازی خط مشیهای امنیتی
-
معرفی مراحل استقرار و پیادهسازی ISMS
-
شیوه استقرار ساختار سازمانی امنیت اطلاعات
-
شناخت تحلیل عدم انطباقات Gap Analysis
-
نحوه تدوین بیانیه كاربردپذیری SOA
-
شناخت طرح تداوم كسب وكار
دوران آکادمی زیر مجموعه گروه دوران، مجری برگزاری دوره پیاده سازی استاندارد ISO 27001 ISMS در قالب آموزش مدیریت فناوری اطلاعات به صورت آموزش آنلاین و حضوری با بهرهگیری از لابراتور آنلاین اختصاصی بهمراه گواهی معتبر ارائه میشود.
معرفی خانواده ISO 27000و زیر مجموعههای آن
گواهی استاندارد ایزو 27000، به مدیران سازمانها نشان میدهد که فرآیندهای خود را بر اساس استانداردهای بینالمللی امنیت اطلاعات مدیریت کنند و از اطلاعات حساس، حریم خصوصی مشتریان و سایر ذینفعان خود محافظت نمایند. همچنین به سازمانها کمک میکند تا اعتماد و اعتبار بیشتری در میان مشتریان و بازارهای جهانی برای خود کسب کنند.
در خصوص استاندارد ایزو 27000 باید بدانید که این گواهی مجموعهای از استانداردهای امنیت اطلاعات است که توسط سازمان بینالمللی استانداردها تعریف میشود. گواهیهای ایزو 27001، گواهی 27001، استاندار 27002، گوهاهی استاندارد 27003 و گواهی ایزو 27004 استانداردهایی هستند که مجموعه استانداردهای سری 27000 را تشکیل میدهند. بهطوریکه هر کدام اهداف مشخصی در خصوص پیادهسازی امنیت اطلاعات در سازمانها و سیستمهای مدیریتی برعهده دارند.
مسئله بسیار مهمی که در خصوص این گواهی باید بدانید این است که استاندارد 27000 به تنهایی قابلیت اجرا ندارد. در حقیقت اصطلاحی که اکثر افراد در خصوص اجرای استاندارد 27000 عنوان میکنند، کاملا اشتباه است و استاندارد 27000 شامل گروهی از استانداردها میشود که در کنار هم در مورد امنیت اطلاعات صحبت میکنند.
باید بدانید استاندارد ISO 27000 که به عنوان سرگروه این مجموعه شناخته میشود شامل مبانی، اصطلاحات و تعاریف امنیت اطلاعات بوده و آنها را تشریح میکند. مباحثی مانند تعاریف اولیه امنیت اطلاعات در استاندارد، تعیین ریسک و ممیزی در این استاندارد بیان میشوند.
گواهی ایزو 27001
اصلیترین استانداردی که در مجموعه استانداردهای ایزو 27000 قرار دارد، استاندارد 27001 است. در واقع نام کامل گواهی ISO 27001 که آخرین ویرایش آن مربوط به سال 2022 میشود، استاندارد امنیت اطلاعات، امنیت سایبری، محافظت از حریم شخصی، الزامات سیستم مدیریت امنیت اطلاعات است.
مهمترین نکتهای که در خصوص استاندارد 27000 باید بدانید، این است که در این مجموعه ششتایی تنها استانداردی که قابلیت پیادهسازی دارد، همین استاندارد 27001 است. بنابراین میتوان گفت ISO 27001 از جنس الزامات بوده و سازمانها برای دریافت گواهی ایزو 27000 باید اصول این استاندارد را پیادهسازی کنند.
استاندارد 27001 یک ساختار 10 بندی دارد که بندهای 4 تا 10 آن بندهای الزامی هستند و سازمانهایی که قرار است این گواهی را دریافت کنند، باید الزامات آن را پیادهسازی کنند. علاوه بر آن استاندارد 27001 یک پیوست الف دارد که در آن 93 تا کنترل امنیت برای پیادهسازی در اختیار کلیه سازمانهایی که اقدام به دریافت گواهی ISO 27001 میکنند قرار میدهد.
در همین راستا باید بدانید که استاندارد 27001، این 93 کنترل امنیتی را در چهار گروه زیر به مدیران سازمانها معرفی مینماید:
- کنترلهای امنیتی سازمانی
- کنترلهای امنیتی مربوط به افراد
- کنترلهای امنیتی مربوط به حوزه فیزیکال
- کنترلهای امنیتی مربوط به حوزه فناوری
گواهی ایزو 27002
استاندارد دیگری که در این خانواده قرار دارد و باید برای اجرا کردن امنیت اطلاعات با مباحث آن آشنا شوید، گواهی ایزو 27002 است. در این استاندارد توضیحاتی در خصوص 93 تا کنترل امنیتی که در پیوست استاندارد ایزو 27001 به عنوان استانداری از خانواده ISO 27000 آمده، بیان میشود.
بنابراین کسانی که برای دریافت گواهی 27001 و پیادهسازی آن در سازمانها اقدام میکنند، باید به مباحث استاندارد 27002 تسلط کافی داشته باشند. از اینرو به گواهی ISO 27002 که به توضیح کامل پیوست الف استاندارد 27001 میپردازد، راهنمای کنترلهای امنیتی گفته میشود.
گواهی ایزو 27003 در خانواده ISO 27000
گواهی ایزو 27003، استانداردی است که در آن توضیحات کاملی در خصوص نحوه پیادهسازی بندهای 4 تا 10 الزامی استاندارد 27001 آمده است. پس این گواهی نیز در راستای پیادهسازی الزامات استاندارد 27001 تنظیم گردیده است. پس یکی از مراحل پیادهسازی گواهی ISO 27001و بندهای اجباری آن، آشنایی کامل با مباحث مطرح شده در استاندارد 27003 محسوب میشود.
گواهی ایزو 27004
اصلیترین مطالبی که در استاندارد 27004 بیان شده، مربوط به پایش، اندازهگیری، تحلیل و ارزشیابی الزامات استاندارد 27001 است. باید بدانید که در بند 1-9 استاندارد 27001 بندی به نام پایش، اندازهگیری، تحلیل و ارزشیابی وجود دارد که استاندارد 27004 بر اساس آن تدوین گردیده است.
در این بند آورده شده که سازمانها باید مشخص کنند، قصد دارند کدام فرایندها را کنترل و اندازهگیری کنند. از همه مهمتر شاخصها و متریکهایی که برای این منظور در نظر گرفتهاند، شامل کدام پارامترهای اندازهگیری میشود.
از اینرو در استاندارد 27004 در خصوص نحوه اندازهگیری و پارامترهایی که باید در این خصوص رعایت شود، توضیحاتی آورده شده است. همچنین در این استاندارد فهرست تعدادی شاخص در مورد فرایندهای کنترل امنیتی بیان شده و توضیحات کاملی در خصوص روشهای محاسباتی این فرایندها و کنترلهای امنیتی در پیوست آن درج گردیده است. بنابراین مطالب بیان شده در استاندارد 27004، به افرادی که برای دریافت گواهی ایزو 27001 اقدام میکنند کمک میکند که بتوانند بند 1-9 را به راحتی پیادهسازی نمایند.
گواهی ایزو 27005 در خانواده ISO 27000
استاندارد 27005 به عنوان استانداری از خانواده ISO 27000 راهنمایی برای مدیریت، ریسک امنیت اطلاعات است. به طور کلی در استاندارد 27001 در خصوص ارزیابی و مقابله با ریسک مباحثی بیان گردیده که شرح کامل بررسی و مقابله با ریسکهای امنیتی در گواهی 27005 آمده است.
برای فراگیری این استاندارد چه دورههایی آموزشی را باید گذراند؟
پس از آشنایی با خانواده استاندارد 27000، سوال بسیاری از افراد در خصوص نحوه آموزش و برگزاری دورههای این استاندارد است. در حال حاضر دورههای مختلفی برای آموزش این استاندارد برگزار میشوند که هر کدام شامل مباحث مختلف پیادهسازی استاندارد 27000 هستند.
در زمینه این دورهها خوب است بدانید که در سطح بینالمللی برای آموزش پیادهسازی این استاندارد، تنها در خصوص گواهی 27001 صحبت میشود. در حالیکه در ایران دورههای مختلفی برای آموزش سری استانداردهای تعریف شده در خانواده 27000 برگزار میگردد.
دورههای ISO 27000 کدامند و مدت زمان آموزش هریک چقدر است؟
برای آموزش ایزو 27000 چهار دوره آموزشی زیر در نظر گرفته میشود که هر کدام مباحث مختلف و ساعت متفاوتی دارند.
- دوره اول آموزشی: مباحث مطرح شده در دوره اول مربوط به آشنایی کلی سری استانداردهای 27000 به شمار میآید. تمامی مبانی اولیه، تعاریف، شاخصها و توضیحات کلی در خصوص این گواهی در این دوره بیان میشود. علاوه بر آن در خصوص این دوره باید بدانید که طول مدت آموزش آن حدوداَ 4 تا 8 ساعت زمان میبرد.
- دوره دوم آموزشی: مباحث این دوره در خصوص نحوه پیادهسازی استاندارد است. در این دوره کلیه قوانین مربوط به نحوه اجرا، ارزیابی، تحلیل و روشهای اندازهگیری شاخصهای امنیتی بیان میگردد. باید بدانید معمولاً این دوره 16 ساعت به طول میانجامد.
- دوره سوم آموزشی: دوره سوم، دوره ممیزی داخلی استاندارد 27001 است و در 16 ساعت آموزش داده میشود.
- دوره چهارم آموزشی: دوره چهارم، دوره چهل ساعته سرممیزی برای دریافت ISO 27000 است.
موقعیتهای شغلی پس از پایان هر دوره
در ایران دو تیپ سازمان وجود دارند. تیپ اول مربوط به سازمانهایی میشوند که استانداردها را پیادهسازی میکنند. معمولا این تیپ سازمانها برای پیادهسازی امنیت اطلاعات سه دوره اول را پشت سر میگذارند.
در واقع آنها به جهت آشنایی با استاندارد 27000، آموزش نحوه صحیح اجرا و پیادهسازی آن و توانایی ممیزی کردن سازمان اقدام به شرکت در این دورهها میکنند. لازم به ذکر است که سازمانهای دولتی، بانکها یا شرکت ملی نفت نمونهای از این سازمانها به حساب میآیند.
اما دوره سر ممیزی فقط مناسب افراد یا سازمانهایی است که میخواهند کار ممیزی شرکتهای مورد تایید افتا را انجام دهند. به طور مثال سرتیفیکیشن بادیها (Certification Body) به عنوان نمونهای از این شرکتها شناخته میشوند. البته آموزش این دوره برای سازمانهای دیگر نیز ضرری ندارد و باعث وسعت دید و اطلاعات آنها میشود.
بازار کار دوره ISO 27000 در ایران و خارج از کشور و میزان حقوق دریافتی
برای آشنایی با بازار کار این استاندارد باید با سازمانهایی که ملزم به رعایت قوانین مربوط به این گواهی هستند آشنا شوید، تا بتوانید موقعیتهای شغلی موجود را شناسایی کنید. بنابراین در ادامه مطلب توضیحاتی را در خصوص این موقعیتهای شغلی خدمتتان بیان خواهیم کرد.
سازمانها زیر نظر افتا
پیش از اینکه به بحث بازار کار حوزه امنیت اطلاعات در سازمانها بپردازیم باید گوشزد کنیم قوانینی که در خصوص امنیت اطلاعات در کشور وجود دارند، توسط سازمانی به نام افتا (AFTA) تعریف میشوند. در واقع افتا سازمان تامین کننده خدمات امنیت اطلاعات در ایران است که وظیفه آن بهبود سطح امنیت اطلاعات، ارائه خدمات مشاورهای، آموزش، تامین ابزار و راهکارهای امنیتی در سازمانها و نهادهای مختلف به حساب میآید. باید بدانید که سازمان افتا تمامی سازمانهای دولتی را ملزم به رعایت و پیادهسازی استاندارد ایزو 27001 به عنوان استانداری از خانواده ISO 27000 میکند.
بنابراین تمامی سازمانهای دولتی یا هر سازمانی که به نحوی با ارگانهای دولتی در ارتباط هستند، باید طبق قوانین موجود اقدام به پیادهسازی این استاندارد نمایند. پس تمامی این سازمانها گزینهای برای فعالیت افرادی هستند که به بحث پیادهسازی امنیت اطلاعات یا همان قوانین ایزو 27001 مسلط باشند.
سازمان پدافند غیرعامل
علاوه بر سازمان افتا نهادهای قانونگذار دیگری مانند سازمان پدافند غیرعامل در کشور وجود دارند که اقدام به وضع بخشنامهها و قانونهایی مرتبط با استاندارد ایزو 27001 میکنند. به طور مثال سازمان پدافند غیرعامل دغدغه تداوم کسبوکار یا طرحهای تداوم کسبوکار را دارد. این مسئله یکی از مباحث کنترلهای امنیتی استاندارد 27001 است که به طور کامل در استاندارد 27002 بیان شده است.
حراست برخی شرکتها
علاوه بر آن برخی سازمانها مثل حراست شرکت نفت، کارمندان خود را مجبور به گذراندن دورههای مربوط به استاندارد 27001 و پیادهسازی آن کردهاند.
قوانین بانک مرکزی
یکی از مهمترین ارگانهایی که به مبحث پیادهسازی امنیت و قوانین مربوط به آن تاکید دارد، بانک مرکزی است. در واقع یکی از مهمترین دلایل اهمیت بانک مرکزی به مبحث پیادهسازی این استاندارد، مربوط به حداقل الزامات ناظر بر ریسک فناوری و اطلاعات است که بسیاری از بانکها درگیر آن هستند.
به همین جهت به دنبال افرادی بوده که به مبحث امنیت و ریسک فناوری اطلاعات تسلط داشته باشند. به طور کلی افرادی میتوانند در این حوزه فعالیت کنند که تسلط کافی بر سیستم مدیریتی داشته و با حداقل مباحث استاندارد 27001 آشنا باشند.
لازم به ذکر است که با توجه به بحث امنیتی در سیستم بانکی، بانک مرکزی قوانینی را تصویب کرده که بر اساس چارچوبهای کنترل امنیت اطلاعات پایهگذاری شده است. در حقیقت این قانونها ارتباط مستقیمی با سیستم مدیریت امنیت اطلاعات یا همان 93 تا کنترلهای امنیتی مندرج در پیوست الف استاندارد 27001 به عنوان استانداری از خانواده ISO 27000 دارند.
حقوق افراد شاغل در این حوزه
حقوق افرادی که در این حوزه فعالیت میکنند با توجه به تخصص فرد، محل فعالیت یا حجم کار متفاوت است. بهطوریکه این مبلغ میتواند عددی بین حداقل وزارت کار تا حقوقهای بسیار بالا در حدود 60 تا 70 میلیون تومان در ماه را در بر بگیرد. علاوه بر آن باید بدانید که بازار کار مناسبی در خارج از کشور برای این حوزه فعالیت وجود دارد. بهطوریکه افراد شاغل در این حوزه حقوقهای مناسبی در حدود 2500 تا 4000 دلار در ماه نیز دریافت میکنند.
درخواست مشاوره
برای کسب اطلاعات بیشتر درباره این دوره درخواست مشاوره خود را ارسال کنید و یا با ما در تماس باشید.
درخواست مشاورهدوره های مرتبط
دوره آموزش مديريت پروژه براساس استاندارد PMBOK
دوره مدیریت پروژه براساس استاندارد PMBOK به آموزش اصول و روشهای مدیریت پروژه بر اساس راهنمای PMBOK (Project Management Body of Knowledge) میپردازد. این دوره برای افرادی که به دنبال کسب دانش و مهارتهای لازم در مدیریت پروژه هستند، طراحی شده است.
دوره پیشرفته COBIT
سرفصل ها :
- آشنایی با مفاهیم COBIT
- عوامل طراحی سیستم حاکمیت
- بررسی پیامدهای عوامل طراحی
- روند جریان طراحی سیستم
- پیاده سازی و بهینه سازی سیستم
- چرخه عمر پیاده سازی
- ماتریس تصمیم گیری
مدت زمان دوره 30 ساعت
پیش نیاز: دوره مقدماتی
دوره آموزش Business Continuity Management
بهبود و ارتقا سطح اقتصادی و کسب و کار در هرکشوری و در نیجه های بهبود کیفیت زندگی در آن نیازمند بالا بردن و سطح استاندرد کیفی رهبری و مدیریت در ساختارها و بنگاه های اقتصادی و اجتماعی می باشد.
پس نتیجه میگیرم که حاصل ارتقا سطح دانش مدیریتی را می توان بهره وری بیشتر دانست و از منابع ، پتانسیل ها و امکانات موجود، محصول و خدمات بیشتری را ارائه کرد.
دوره آموزش Professional Scrum Product Owner Course
شرح دوره Professional Scrum Product Owner Course
بسیاری از پروژههای نرم افزاری در اغلب موارد دچار تاخیر در زمانبندی از برنامه میشوند و در نهایت محصول دیر و یا ناقص به مصرف کننده نهایی میرسد، رفع این مشکل یکی از نقاط کلیدی در موفقیت پروژههاست که در متد اسکرام توسط نقشی به نام مالک محصول تکمیل میشود، هدف از دوره Professional Scrum Product Owner Course بررسی مفاهیم کلیدی و پایهای اسکرام همراه با تمرکز بر نقش مالک محصول اسکرام است، این دوره آموزشی مطابق با استانداردهای معرفی شده توسط Scrum.org و در راستای آزمون بینالمللی PSPO برگزار میگردد.
نظرات
3,500,000 هزار تومان