گواهینامه ISMS چیست؟
اولین نکته در پاسخ به این سوال این است که اصلا چیزی به نام گواهینامه ISMS وجود ندارد و گواهینامه مذکور با عنوان گواهینامه ISO 27001، به سازمانهایی اعطا میشود که پس از انجام ممیزی خارجی (توسط یک مرجع معتبر و ذیصلاح)، توانسته باشند انطباق خود را با الزامات مندرج در استاندارد ISO/IEC 27001 (برای کسب اطلاعات بیشتر در خصوص تاریخچه و آخرین تغییرات استاندارد ISO 27001 به این مقاله رجوع شود) با موفقیت نشان دهند. نسخه سال 2013 این استاندارد به عنوان مرجع اصلی سیستم مدیریت امنیت اطلاعات و معتبرترین استاندارد حال حاضر ISMS و مورد قبول جهانیان است (برای کسب اطلاعات بیشتر در مورد استانداردهای خانواده 27000 به این مقاله رجوع شود.) شاید این سوال نیز مطرح شود که گواهینامههای فردی که بسیاری از متخصصین حوزه امنیت با عنوان گواهینامههای ISMS در رزومه تخصصی خود از آنها یاد می کنند پس چیست؟ در پاسخ باید بگویم که گواهینامههای مذکور در واقع گواهینامههای آموزشی هستند که در واقع بیان کننده تخصص و مهارت افراد در حوزههای مختلف ISMS از قبیل پیادهسازی، ممیزی داخلی، سرممیزی و یا مدیریت ریسک امنیت اطلاعات می باشند و متفاوت از گواهینامههای سازمانی دستهبندی میشوند.
سازمانها چرا به سراغ پیادهسازی و کسب گواهینامه ISO 27001 می روند؟
واضح است که با توجه به وجود الزامات جامع و مسنجم امنیت اطلاعات در این استاندارد، پیادهسازی آن موجب ارتقای امنیت اطلاعات در حوزههای مختلف نظیر دارایی های اطلاعاتی، شبکه و سرویس های زیرساختی، نرمافزارها و سخت افزارها، منابع انسانی، امنیت فیزیکی، مدیریت حوادث و وقایع، تداوم کسب و کار، ارتباط با اشخاص ثالث و غیره در سازمان خواهد شد. اما شاید این موضوع دلیل اصلی (و یا حداقل اولویت اول) برخی سازمانها برای پیادهسازی و استقرار سیستم مدیریت امنیت اطلاعات و اخذ این گواهینامه نباشد. برخی سازمانها به دلیل وجود الزام دستگاه های بالادستی (نظیر الزامات افتا، به این مقاله رجوع شود) و یا کارفرمایان خاص و یا حتی شرکای تجاری خود در این مسیر پای می گذارند. دسته دیگر سازمانها که معمولا بیشتر با اطلاعات محرمانه مشتریان سروکار دارند، (نظیر بانک ها و موسسات مالی) پیادهسازی ISMS را در سازمان خود به عنوان یک عامل تضمینکننده برای آسودگی مشتریان و سرویسگیرندگان خود مطرح میکنند. به هر حال با وجود هر نوع نیت و یا اولویتی برای پیادهسازی این سیستم در سازمان، باید توجه داشت که کسب موفقیت در این عرصه و بهرهمندی از مزایای فراوان استقرار سیستم مدیریت امنیت اطلاعات در سازمان نیازمند عزم جدی، تلاش مستمر، حمایت مدیریت ارشد و عوامل کلیدی بسیاری است.
آیا اخذ گواهینامه ISMS تضمین کننده امنیت اطلاعات در سازمان است؟
شاید تا به حال با این خبر روبرو شده باشید که مثلا "وبسایت شرکت الف مورد حمله هکرها قرار گرفت و از دسترس خارج شد" و از طرفی مدتی پیش خبردار شدید که اتفاقا همان شرکت الف موفق به اخذ گواهینامه ISO 27001 شده بود. این تناقضی بزرگ است که در ذهن بسیاری از افراد پیش می آید که چگونه ممکن است مجموعهای سیستم مدیریت امنیت اطلاعات ISMS را پیادهسازی نماید و حتی گواهینامه آن را دریافت کند ولی وبسایتش هک شود! در پاسخ به این تناقض، توجه به چند نکته در رابطه با این موضوع ضروری است:
دریافت گواهینامه ISO 27001 به معنای وجود و اجرای سطوح امنیتی بالا و قوی در یک سازمان نیست. کماهی که ممکن است سازمانهایی با داشتن سطوح امنیتی مناسب در برخی حوزهها نظیر امنیت شبکه، موفق به دریافت آن نشوند. این گواهینامه تنها نشان می دهد که
یک سیستم مدیریت امنیت اطلاعات در سازمان موجود است که مراحل برنامه ریزی، استقرار، پیادهسازی، بازبینی و بازنگری را مطابق با الزامات استاندارد طی نموده و در حال بهبود مستمر است.
با توجه به نکته قبلی باید انتظار داشت (و می توان نتیجه گرفت) که سازمانهایی که مدت زیادی از پیادهسازی ISMS در آنها گذشته است، قاعدتا باید در سطوح امنیتی مناسبتری (حداقل نسبت به خود) قرار بگیرند و دستاوردهای سیستم در آنها مشهودتر باشد.
یک اصل در امنیت وجود دارد که "امنیت هیچ گاه 100 درصد نیست" بنابراین بروز این چنین اتفاقاتی در برخی موارد به دلیل وجودخطاهای انسانی، عدم کارد صحیح سیستم و مواردی از این دست، اجتناب ناپذیر است. البته این موضوع ناهی مزایا و دستاوردهای پیادهسازی ISMS در کاهش و جلوگیری از بروز رخدادها و حوادث مذکور نمیباشد.
سازوکار اعطا گواهینامه ISO 27001 چگونه است و تفاوت گواهینامه بینالمللی و ملی چیست؟
استاندارد ISO 27001 نیز به عنوان یکی از استانداردهای سازمان جهانی استاندارد ISO از سازوکار این موسسه جهانی برای اعطای گواهینامه استفاده مینماید. بدین ترتیب که سازمانهای متقضی پس از اطمینان از انطباق کامل خود با الزامات مندرج در استاندارد مذکور، درخواست خود را برای یک شرکت گواهیدهنده (Certification Body (CB)) جهت انجام ممیزی و ثبت سیستم ارسال مینمایند. شرکتهای گواهیدهنده، خود نیز اعتبار و مجوز ممیزی را از مراجع اعتبار بخشی (Accreditation Body (AB)) دریافت می کنند. این مراجع (AB) معمولا دولت ها و یا سازمانهای استاندارد کشورهای مختلفی هستند که عضو سازمان ISO بوده و با آن در تعامل میباشند. بدین ترتیب یک ساختار سلسله مراتبی از سازمان ISO تا AB و CB وجود دارد که اعتبار گواهینامه را تضمین می نماید. ذکر این نکته ضروری است که مجوز ممیزی و صدور گواهینامه برای استانداردهای مختلف، به هر یک از AB ها و متعاقب آن CB ها اعطا میشود و این بدان معنا است که تنها برخی از شرکتهای گواهیدهنده (CB) مجوز صدور گواهینامه ISO 27001 را دارند. بدین تریب CB پس از اجرای فرآیند ممیزی و در صورت موفقیت سازمان متقاضی، اقدام به صدور گواهینامه بینالمللی به مدت 3 سال مینماید و موظف است به صورت سالیانه (در دو مرحله) ممیزی های مراقبتی خود را جهت حصول اطمینان از استمرار انطباق سازمان با استاندارد برگزار نماید.
اما چند سالی است که با توجه به حساسیت موضوع امنیت اطلاعات و اقدام در جهت جلوگیری از نشت اطلاعات سازمانها، اخذ گواهینامه بینالمللی برای سازمانها و دستگاههای دولتی منع شده است. در این خصوص ساز و کاری تقریبا مشابه برای صدور گواهینامههای ملی در نظر گرفته شده است که در آن سازمانهای متولی این حوزه نظیر مرکز افتای ریاست جمهوری و سازمان فناوری اطلاعات کشور نقش اعتباربخشی و شرکت های دارای صلاحیت و تاییدشدهی این مراجع نقش ممیزی را بر عهده میگیرند. نکته قابل توجه در خصوص گواهینامه ملی سیستم مدیریت امنیت اطلاعات این است که سازمانهایی که در زمره زیرساختهای حیاتی کشور قرا میگیرند، میبایست به منظور دریافت گواهینامه مذکور، علاوه بر الزامات موجود در استاندارد مرجع، برخی از نیازمندیها و الزامات خاص این نوع دستگا هها و سازمانها را که سوی مرکز افتای ریاست جمهوری به آنها ابلاغ شده است را نیز پیادهسازی نمایند. اعتبار گواهی نامههای ملی نیز همچون گواهینامههای بینالمللی 3 ساله است و روند ممیزیهای مراقبتی در آنها برقرار می باشد.
ایمنی اتاق سرور به چه عواملی وابسته است
نوع سنسور دود اتاق سرور و انبارها مهم هستند؟
سنسور آنالیز گازهای حاصل از احتراق اتاق سرور
چگونه می توانیم گواهینامه ISO 27001 را اخذ نماییم؟ (از کجا شروع کنیم؟)
پیادهسازی سیستم مدیریت امنیت اطلاعات (ISMS) در سازمان یک تصمیم استراتژیک است که میبایست از تعهد مدیریتی برخوردار باشد. به زبان سادهتر، بدون حمایت مدیریت ارشد سازمان و اختصاص منابع مکفی و مورد نیاز، احتمال شکست در اجرای این سیستم مدیریتی بسیار بالا میرود. در بسیاری از پروژهها مشاهده میشود که تنها عدهای محدود از بدنه کارشناسی سازمان درگیر فرآیندهای ISMS میشوند و دیگر بخشهای مرتبط و مدیران هیچ اطلاعی از اجرای سیستم در سازمان خود ندارند، این موضوع مشکلی است که میبایست از ابتدای فرآیند پیاده سازی و استقرار به آن توجه ویژهای نمود.
برای شروع پیادهسازی و استقرار سیستم و به منظور جلوگیری از هزینه های اضافی و هدررفت منابع و همچنین برنامهریزی دقیقتر و اختصاص منابع به صورت بهینه، معمولا پیشنهاد میشود که سازمان یک فرآیند ارزیابی اولیه را از خود داشته باشد. این فعالیت با نامهایی چون Pre-Assessment، آنالیز فاصله، ارزیابی اولیه (ابزار خودارزیابی)، تحلیل وضع و موجود و غیره نیز شناخته میشود. سازمان در این فرآیند می تواند وضع موجود خود را از منظر الزامات استاندارد مرجع بررسی نموده و نقشه راه دقیقتری را برای خود ترسیم نماید. مزیت دیگری که این مرحله به ارمغان می آورد، فرهنگسازی اولیه و آشنایی اعضای تیم پیادهسازی ISMS در سازمان با مفاهیم و نیازمندیهای این سیستم در حین اجرای فرآیند ارزیابی اولیه خواهد بود که حتی می تواند همراه با برگزاری دورههای مقدماتی و پیشرفته این حوزه، دانش سازمان را ارتقاء دهد. خروجی های مورد انتظار از این فرآیند شامل موارد ذیل است:
وضعیت موجود سازمان در مقایسه با هر یک از الزامات و حوزه های امنیتی استاندارد ISO 27001
مشکلات پیش روی پروژه و پیش بینی ریسکهای احتمالی (برخی چالشهای پیاده سازی ISMS برای اپراتورهای موبایل در این مقاله آورده شده است)
ترسیم نقشه راه و برنامه زمانبندی استقرار و پیادهسازی تمامی مراحل ISMS (برای اطلاعات تکمیلی به این مقاله رجوع شود)
برآورد زمانی و هزینهای پروژه
شفافسازی و تعیین محدوده دقیق پیادهسازی (برای اطلاعات بیشتر به این مقاله رجوع شود)
تعیین استراتژی پیادهسازی و استقرار (برای اطلاعات بیشتر به این مقاله رجوع شود)
تهیه در خواست ارائه پیشنهاد (RFP) (برای پروژه هایی که نیازمند استفاده از مشاوران و پیمانکاران است) مانند
شرکتهای مجری اتاق سرور هوشمند یا استاندارد سازی پارامترهای محیطی اتاق سرور
شرکتهای مجری سیستم های اعلام و اطفای حریق
شرکتهای مجری دربهای ضد سرقت و اکسس کنترل و قفل های برقی
شرکتهای مجری کف پوشها و سقفها
یکی از خروجی های مهم این فاز، تعیین استراتژی سازمان برای پیادهسازی و استقرار ISMS است، موضوعی که بسیاری از سازمانها در ابتدای راه درگیر آن می شوند. این چالش معمولا با این سوال آغاز میشود که آیا برای استقرار این سیستم باید از مشاوران و شرکتهای پیمانکار کمک گرفت و یا می توانیم اجرای آن را به دست کارشناسان داخلی بسپاریم؟ برای این کار به چه ابزارهایی نیازمندیم؟ و یا اولویت پیاده سازی با کدام الزامات امنیتی است؟ و سوالهایی از این جنس! در مقاله بعدی به انواع مکانیزمها، روشها و استراتژیهای پیادهسازی و استقرار ISMS در سازمان، مزایا و معایب هر یک و پاسخگویی به این قبیل سوالات خواهم پرداخت.
برای مطالعه بیشتر در خصوص موضوعات مختلف مرتبط با سیستم مدیریت امنیت اطلاعات، می توانید به مجموعه مطالب و مقالات مرتبط با این حوزه (در این لینک) رجوع نمایید. همچنین در صورت نیاز، جهت دریافت مشاوره پیاده سازی ISMS به این صفحه مراجعه نمایید.
برگرفته از وبلاگ آشنا ایمن
شرکت پیشران صنعت ویرا با اساس نامه اتوماسیون صنعتی و کنترل ابزار دقیق و ساخت تابلوهای برق فشار قوی و ضعیف از سال 92 تاسیس گشت و ازهمان ابتدا در حوزه کاربرد ابزار دقیق در bms و سپس تولید و ساخت آنها قدم نهاد و در ادامه مسیر توانست با اتکا به تجربیات چندین ساله و استخدام نیروهای متخصص برق عملا جزو شرکتهایی باشد که محصولات قابل اتکایی با عناوین مانیتورینگ شرایط محیطی اتاق سرور -کنترلرهای دمای دیتا سنتر -دیتالاگرهای سردخانه و انبار -هشدار دهنده های دمای یخچال و فریزر و شمارشگرهای نمایشگاهی و فروشگاهی و تابلوهای برق متنوع با کاربردهای مختلف روانه بازار نماید در حال حاضر سیستمهای کنترل دما و رطوبت اتاق سرور این شرکت تنها سیستم مبتنی بر سخت افزار صنعتی plc-hmi در ایران است.