مراحل استقرار سیستم مدیریت امنیت اطلاعات

7 مرداد 1394

جهت استقرار سیستم مدیریت امنیت اطلاعات موارد زیر می بایست صورت پذیرد

1- ایجاد سیستم امنیت اطلاعات

الف) تعریف دامنه کاربرد و مرزهای ISMS بر مبنای ویژگی های کسب کار سازمان , مکان ، دارایی ها و فناوری.

ب) تعرف خط مشی ISMS بر مبنای ویژگی های کسب و کار , سازمان ، مکان , دارائی ها و فن آوری .

ج) تعریف رویکرد ارزیابی ریسک سازمان (ISO/IEC TR13335-3)

د) شناسایی ریسک ( شناسایی دارائی ها , تهدید های اموال , آسیب پذیری های ناشی از تهدید ها , آسیب های ناشی از دسترس بودن , محرمانه بودن , یکپارچگی و قابلیت دسترسی به دارائی ها)

ه) تحلیل و ارزیابی ریسک (نقص های امنیتی و احتمال بروز نقص های امنیتی)

و) شناسائی و ارزیابی گزینه هایی برای اصلاح ریسک.

ز) انتخاب اهداف کنترلی و کنترل ها برای اصلاح ریسک.

ح) دریافت مصوبه مدیریت برای ریسک باقیمانده پیشنهادی.

ط) دریافت مجوز مدیریت برای اجرا و عمل نمودن ISMS .

ی) تهیه بیانیه قابلیت کاربرد

2- اجرا و عملیات سیستم ISMS

فرموله کردن یک طرح اصلاح ریسک به منظور مدیریت ریسکISMS جهت تعیین منابع , مسئولیتها و الویت ها.
اجرای طرح اصلاح ریسک به منظور دستیابی به اهداف کنترلی شناسایی شده که در بر گیرنده ملاحظات
مالی اجرای کنترل های انتخاب شده به منظور تحقق اهداف کنترلی.
اجرای کنترلهای انتخاب شده به منظور تحقق اهداف کنترلی.
تعریف چگونگی اندازه گیری اثر بخشی کنترل ها یا گروهی از کنترل های انتخاب شده به منظور ارائه نتایج قابل قیاس و قابل تجدید.
اجرا برنامه های آموزشی و آگاهی.
مدیریت عملیات ISMS
مدیریت منابع ISMS
اجرا روش های اجرایی و دیگر کنترل ها.

3- پایش و بازنگری ISMS

الف) اجرای روش های اجرائی پایش و دیگر کنترل ها

ب) تعهد بازنگری منظم اثر بخشی

ج) اندازه گیری اثر بخشی کنترل ها به منظور تصدیق اینکه الزامات امنیتی برآورده شده است یا خیر.

د) بازنگری ارزیابی ریسک.

ه) انجام ممیزی داخلی.

و) تعهد به بازنگری مدیریت ISMS

ز) به روز نمودن طرحهای امنیتی با در نظر گرفتن یافته های فعالیت های پایش بازنگری.

ح) ثبت اقدامات و وقایعی که می توانند بر اثر بخشی یا عملکرد ISMS تاثیر بگذارد.

4- نگهداری و بهبود سیستم امنیت اطلاعات

الف) اجرای بهبود های شناسایی شده

ب) انجام اقدامات اصلاحی و پیشگیرانه بر اساس تجارب و دروس آموخته شده