معرفی سیستم های مدیریت امنیت اطلاعات Iso27001(ISMS)، Isaca (Cism) و Isc^2(cissp)

1400/04/16
ارسال شده توسط
مقالات امنیت
2.16k بازدید
سیستم های مدیریت امنیت اطلاعات

توسعه  فعالیت های سازمان‌ها در بستر های اطلاعاتی همچون اینترنت و سیستم های انتقال الکترونیک و افزایش حجم اطلاعات، حساسیت  و ضرورت نگهداری و حفاظت از اطلاعات نیز افزایش می‌یابد. در همین راستا؛ سازمان‌ها می‌توانند با اجرای راهکارها و استانداردهای سیستم های مدیریتی امنیت اطلاعات، امنیت فضای اطلاعاتی خود را در بالاترین سطح نگه دارید و حملات احتمالی را کاهش دهید. به عبارت دیگر، استانداردهای سیستم مدیریت امنیت اطلاعات، دفع خطرات و حفظ پایداری امنیت اطلاعات را محقق می‌سازد و به سازمان‌ها کمک می‌کند که فضای امنی برای اطلاعات خود فراهم کنند. در ادامه این مطلب قصد داریم با سیستم مدیریت امنیت اطلاعات و استانداردهای Iso27001(ISMS)، Isaca (Cism) و Isc^2(cissp) آشنا شویم؛ همراه ما باشید.

شرکت نوآوران ارتباطات دوران با دارا بودن مجوز شـــاوره و اســـقــرار اســتـانـداردهـاي امنیـت اطلاعات و ارتباطات ، راهـبـري مرکز عملیات امنیت تیم پاسـخ به و رخداد و آموزش حوزه امنیت اطلاعات از مرکز مدیریت راهبردی افتا ریاست جمهوری و با دانش و تلاش تیم های فنی، اجرایی و آموزشی خود در جهت ارتقای این امر در سازمان ها ، نهادها و شرکت های دولتی و خصوصی می کوشد.

در این مقاله سه  سیستم مدیریت امنیت اطلاعات از سه مرجع رسمی و بین المللی را بررسی خواهیم نمود.

CISM چیست؟

گواهینامه CISM ( مدیر خبره امنیت اطلاعات) از سوی انجمن حسابرسی و کنترل سیستم‌های اطلاعتی به مدیران حوزه امنیت اطلاعات اعطا می‌شود. برای دریافت این گواهینامه باید ۵ سال تجربه و حداقل ۳ سال سابقه مدیریتی داشته باشید. این موسسه از طریق اعطای این گواهینامه یک دانش مشترک برای مدیران امنیت اطلاعات فراهم می‌کند و مبنای این گواهینامه، مدیریت ریسک اطلاعات است. به عبارت دیگر هدف اصلی صدور این گواهینامه، مدیریت امنیت اطلاعات بر اساس نیازهای مشاغل است.

استاندارد CISSP و گواهی حرفه‌ای امنیت سیستم‌های اطلاعاتی

گواهی‌‌نامه CISSP که مخفف Certified Information Systems Security Professional است؛ مختص سطح پیشرفته و استاندارد طلایی امنیت اطلاعات است. گواهینامه CISSP به متخصصان فناوری اطلاعات اعطا می‌شود و به آن‌ها این امکان را می‌دهد که به طراحی، معماری، کنترل و مدیریت محیط‌های تجاری ایمن مبادرت کنند.  این گواهی به سادگی اعطا نمی‌شود و برای دریافت آن، داوطلب باید حداقل ۵ سال در دو یا چند مورد از ۸ حوزه اصلی CISSP سابقه کار داشته باشد. این مدت در صورتی‌که داوطلب دارای مدرک دانشگاهی ۴ ساله یا مدرک پیشرفته معتبر از سوی (ISC) 2 باشد، به ۴ سال تقلیل می‌یابد.

گواهینامه CISSP از سوی کنسرسیوم صدور گواهینامه امنیت بین‌المللی سیستم‌های اطلاعاتی (ISC) 2 اعطا می‌شود و مدت زمان آزمون آن، ۶ ساعت است. داوطلب در این مدت باید به ۲۵۰ سوال پاسخ دهد و حداقل نمره ۷۰۰ از ۱۰۰۰ را کسب نماید.

معرفی ۸ حوزه‌ CISSP 

این ۸ حوزه به جنبه‌های مختلف امنیت اطلاعات می‌پردازد که به شرح زیر است:

  1. امنیت و مدیریت ریسک
  2. امنیت دارایی
  3. مهندسی امنیت
  4. ارتباطات و امنیت شبکه
  5. هویت و مدیریت دسترسی
  6. ارزیابی و آزمایش امنیت
  7. عملیات امنیتی
  8. امنیت توسعه نرم‌افزار

تفاوت CISSP و CISM 

گواهینامه‌های CISSP و CISM هر دو به امنیت اطلاعات می‌پردازند. با این حال، این دو گواهینامه با یکدیگر تفاوت‌هایی دارند. CISM صرفا روی مدیریت امنیت اطلاعات تمرکز دارد و فرد متقاضی باید حداقل ۳ سال در این زمینه سابقه مدیریتی داشته باشد. البته در هر دو برنامه داشتن حداقل ۵ سال سابقه کار لازم است. در هر صورت، هردو برنامه CISSP و CISM قصد دارند برای مدیران امنیت اطلاعات یک زبان مشترک ایجاد کنند.

سیستم مدیریت امنیت اطلاعات (ISMS)به چه معناست؟

استاندارد ISMS در واقع مخفف عبارت Information Security Management System و به معنی سیستم مدیریت امنیت اطلاعات است. این سیستم که با توجه به نوع زمینه کاری و وسعت فعالیت سازمان اجرا می‌گردد، متشکل از راهکارها، استراتژی‌ها، استانداردها و روش‌هایی است که امنیت اطلاعات سازمان را تامین می‌کند. بنابراین؛ ما نمی‌توانیم بر اساس نظر و تشخیص خودمان برای ایمن‌سازی سیستم اطلاعاتی سازمان، اقداماتی انجام دهیم؛ بلکه برای این کار باید از استانداردهای معین و از پیش‌ تعریف‌شده توسط سازمان ISO یا International Standardization Organization پیروی کنیم.

مراحل پیاده‌سازی و اجرای سیستم مدیریت امنیت اطلاعات ISMS

پیاده‌سازی سیستم ISMS در ۵ مرحله کلی انجام می‌شود:

  1. شناسایی وضعیت فضای اطلاعات 

در این مرحله باید مستندات سازمان بازرسی شود تا از شرایط فعلی شبکه و وضعیت فناوری اطلاعات سازمان دید کاملی حاصل شود. این بازبینی و ارزیابی در سطح شبکه، سیستم، بستر ارتباطی، برنامه‌های کاربردی،‌ Connections و سطح رمزنگاری انجام می‌شود.

    2.طراحی و انطباق ISMS در سیستم سازمان

در این بخش، اطلاعات و دارایی‌ها شناسایی و ارزش‌گذاری و پس از آن فرآیندهای سازمان برای عبور از وضعیت موجود به سمت وضعیت ایده‌آل اجرا می‌شود.

    3.اجرا و پیاده‌سازی ISMS

در این مرحله بر اساس مرحله قبل، دستورالعمل‌ها و پرو‌ژه‌های امن‌سازی اجرا می‌گردد. در این فاز عموما نیاز است که تجهیزاتی ( سخت‌افزار و نرم‌افزار) خریداری شود.

    4.بهبود ISMS

بعد از اجرا و پیاده‌سازی، در مرحله چهارم باید با توجه به مستندات و چک‌لیست‌ها، فعالیت‌های انجام‌شده مورد بازبینی و بررسی قرار گیرد تا مشکلات احتمالی برطرف شود. پس از آن سازمان می‌تواند گواهینامه بین‌المللی استاندارد ISO 27001 را دریافت نماید.

    5.ممیزی از سوی شرکت‌های صادرکننده گواهینامه‌

پس از اتمام ممیزی داخلی و رفع مشکلات و نقاط ضعف، شرکت می‌تواند گواهینامه مذکور را دریافت کند. در این فاز در صورت تمایل مدیران سازمان، می‌توان از شرکت‌های صادرکننده گواهینامه نیز درخواست ممیزی کرد.

مستندات سیستم مدیریت امنیت اطلاعات 

هر سازمان باید بر طبق استانداردهای سیستم مدیریت امنیت اطلاعات، مجموعه‌ای از مستندات را تدوین نماید. این مستندات به شرح زیر است:

  • مستند سیاست‌های امنیتی فضای تبادل اطلاعات (Security Policy)
  • مستند امنیت تبادل اطلاعات سازمان
  • مستند برنامه آموزش امنیتی کارکنان بخش تشکیلات تامین امنيت تبادل اطلاعات 
  • مستند طرح کاهش خطرات امنیتی در تبادل اطلاعات دستگاه (Risk Assessment)
  • مستند آموزش و اطلاع‌رسانی امنیتی به کارکنان سازمان (Awareness)
  • مستند طرح نحوه مقابله و برخورد با حوادث امنیتی و جبران خرابی‌ها(Disaster Recovery)

سیستم مدیریت امنیت اطلاعات ISMS چه مزایایی دارد؟

همان‌طور که گفته شد، سیستم مدیریت امنیت اطلاعات تهدیدات و خطرات ایمن‌سازی را کاهش می‌دهد و موجب تداوم امنیت اطلاعات می‌شود. این سیستم با ارزیابی ریسک‌ها، هزینه‌های ناشی از تامین امنیت اطلاعات در سازمان را کاهش می‌دهد. علاوه بر این، استاندارد ISO 27001 به نحوی طراحی شده که با دیگر استانداردهای مدیریت مانند ISO 9000 و ISO/IEC20000 اشتراکات فراوانی دارد. افزون بر این موارد، سازمانی که گواهینامه ISO/IEC 27001 را دریافت کرده است، بهتر و راحت‌تر می‌تواند شرکت‌ها و اشخاص سرمایه‌گذار را جذب نماید؛ زیرا آن‌ها از امنیت سازمان اطمینان خاطر خواهند داشت و می‌دانند که خطرات کمتری سازمان را تهدید می‌نماید.

سخن نهایی

در این مطلب به بررسی سیستم مدیریت امنیت اطلاعات و استانداردهای آن پرداختیم و با سه گواهینامه ISMS، CISSP و CISM آشنا شدیم. اگر به حوزه IT علاقه دارید، برای کسب اطلاعات بیشتر می‌توانید سایر مطالب کاربردی بلاگ دوران آکادمی را مطالعه کنید. در نهایت لازم به ذکر است که برای ارتقای دانش و مهارت خود در بخش‌های مختلف IT، می‌توانید در دوره‌های آموزشی و تخصصی دوران آکادمی شرکت کنید و به کمک متخصصان باتجربه داخلی و بین‌المللی، مسیر رشد شغلی و حرفه‌ای خود را هموارتر سازید.

اشتراک گذاری:
در تلگرام
کانال ما را دنبال کنید!
در اینستاگرام
ما را دنبال کنید!
مطالب زیر را حتما بخوانید

دیدگاهتان را بنویسید