طراحی و پیادهسازی سیستم مدیریت امنیت
اطلاعات یا ISMS
امنیت اطلاعات، پیش از آن که به ساختار امنیتی مناسب یا تجهیزات امنیتی نظیر دیواره آتش نیاز داشته باشد، مقولهای سیستمی با جنبههای مختلف مدیریتی است که دامنه وسیعی از حوزهها شامل تدوین سیاستگذاریها، تحلیل کاستیها، فرهنگسازی، تدوین کنترلهای مختلف، پیادهسازی، اجرا، نظارت، بازنگری و … را در بر میگیرد.
مراحل اجرای پروژه
- مقدمات و برنامهریزی پروژه
- شناخت سازمان و تحلیل شکاف (Gap Analysis)
- ارزیابی و مدیریت مخاطرات امنیتی
- مستندسازی سیاستها، روشها و دستورالعملها
- پیادهسازی و اجرای سیستم مدیریت امنیت اطلاعات
- آموزش و توانمندسازی منابع انسانی
- ممیزی داخلی و اصلاحات لازم
- مشاوره در ممیزی خارجی و اخذ گواهینامه
فازهای اجرای پروژه و خروجیها
فاز
شرح
خروجیها
فاز 1
مقدمات اولیه
صورتجلسه افتتاحیه، NDA، برنامه مدیریت پروژه
فاز 2
شناخت سازمان و زیرساختها
تحلیل شکاف (Gap Analysis)، تعیین دامنه، ساختار امنیت اطلاعات
فاز 3
ارزیابی و مدیریت مخاطرات
روش اجرایی مدیریت مخاطرات، لیست داراییها، طرح برخورد با مخاطرات، SOA
فاز 4
مستندسازی سیستم
خطمشیها، روشهای اجرایی، دستورالعملهای امنیتی
فاز 5
پیادهسازی و اجرا
جاریسازی مستندات، فرهنگسازی، اجرای چرخه ISMS
فاز 6
آموزش
دوره آموزشی الزامات و مستندسازی ISO/IEC 27001:2022
فاز 7
ممیزی داخلی
بررسی انطباق، اصلاحات لازم
فاز 8
مشاوره در ممیزی خارجی
آمادگی برای اخذ گواهینامه ISO/IEC 27001:2022
نکات مهم اجرایی
- تحلیل شکاف با استفاده از چکلیست و پرسشنامههای استاندارد انجام میشود.
- مشاور مسئول مشاوره است، نه اجرای فنی نهایی.
- نرمافزار مدیریت مخاطرات توسط کارفرما تهیه میشود.
- تست نفوذپذیری در صورت تأیید کارفرما انجام خواهد شد.
