صفحه 2 از 3 اولیناولین 1 2 3 آخرینآخرین
نمایش نتایج: از شماره 16 تا 30 از مجموع 31

موضوع: پیاده سازی ISMS

  
  1. #16
    نام حقيقي: hamed89156

    عضو عادی
    تاریخ عضویت
    Aug 2007
    نوشته
    170
    سپاسگزاری شده
    49
    سپاسگزاری کرده
    40
    اکثر پروژه های ISMS در حد یه سری مشاوره تقریباً به درد نخوره که خود مشتری در آخر کار هیچ تغییری در هیچ جایی حس نمی کنه.و حتی 1 % از پروژهای ISMS هم منجر به ارائه گواهینامه official نمیشه.


    فقط یه سری checklist میان بهشون می دن و هی میگن مثلاً نذارین هر کسی سرشو بندازه زیر بیاد تو اتاق سرور یا اینکه مثلاً passwordهاتون complex باشه و نرم افزارها و سیستم عامل هاتون آپدیت باشه و ....!!!


    اینارو خود مشتری هم از 200 سال قبل می دونسته !!!



    حالا چرا باید بابتش بیاد میلیون میلیون پول بده بابت این اراجف ISMS من که نمی فهمم. !!!!!!

    بالاخره باید بودجه IT سازمان ها یه جوری خرج بشه تا آخر سال ......نه ؟ !

    اگه سازمانا میومدن پولی که بابت ISMS می دادن ، خرج training پرسنلشون می کردن و هم یه infrastructure
    درست حسابی و به قول برو بچ Robust توی سازمانشون پیاده می کردن خیلی بهتر بود.

    البته جسارت به کسی نباشه من خیلی کلی گفتم.



  2. #17
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,549
    سپاسگزاری شده
    6798
    سپاسگزاری کرده
    1035
    نوشته های وبلاگ
    4
    دوست گرامی
    شما سخت در اشتباهید اگر تصور می کنید قرار است در انتهای پروژه های ISMS برایتان Firewall تنظیم کنند و به شما اطمینان بدهند که ایمن شده اید!
    به نظر می رسد شما با مشاوری مواجه شده اید که دانش لازم برای پیاده سازی و استقرار ISMS نداشته است (که متاسفانه این گونه مشاورین البته پر مدعا کم هم نیستند!). من شرکت های مشاور معروفی را در همین تهران می شناسم که با سواد ترین فردشان فقط در حد کلیات ISMS را می شناسد، در همان حدی که در همایش های یک روزه و سه روزه آموزش می دهند! البته خیلی از این افراد متخصص امنیت شبکه هستند و چون فکر می کنند امنیت اطلاعات همان امنیت شبکه است، وارد این وادی شده اند و متاسفانه نتیجه اش همین شده که می بینید. مطمئن باشید نتیجه پروژه ای که توسط این افراد انجام شود بجز همانی که شما نوشتید نخواهد بود.

    ولی با این استدلال نمی توانید ISMS را زیر سوال ببرید.
    حتما شما پروژه های مدیریت کیفیت (معروف به ISO 9001) را هم با همین استدلال زیر سوال خواهید برد.

    پس از استقرار سیستم مدیریت امنیت اطلاعات (اگر به درستی پیاده سازی شود)، چند اتفاق مهم رخ می دهد:

    - دارایی های اطلاعاتی شناسایی می شوند.
    - دارایی های اطلاعاتی بر اساس متدولوژی هایی ارزش گذاری می شوند.
    - دارایی های اطلاعاتی طبقه بندی می شوند و برچسب گذاری می شوند.
    - مسئولیت های دارایی های اطلاعاتی شفاف می شوند.
    - خطر ها و تهدید ها شناسایی می شوند.
    - میزان تاثیر خطرها و تهدیدها بر دارایی های اطلاعاتی با استفاده از متدولوژی هایی ارزیابی می شوند.
    - کنترل های امنیتی انتخاب می شوند تا میزان تهدیدها و خطرها را تا سطح قابل تحمل پایین بیاورند.
    - برنامه زمان بندی شده به همراه روش اجرایی برای ممیزی و بازنگری در همه موارد بالا تدوین می شود.
    - برنامه زمان بندی شده به همراه روش اجرایی برای آموزش تدوین می شود.
    - برنامه مقابله با خطرات امنیتی تدوین می شود و مسئولیت ها شفاف می شود.
    - سیاست های امنیتی، چهارچوب ها، روش های اجرایی، راهنماها و پیشنهادها مشخص و مدون می شوند.


    شما چون در مورد سیستم مدیریت امنیت اطلاعات - ISMS اطلاعات کافی ندارید و احتمالا با تجربه ناموفقی از پیاده سازی برخورد داشته اید، این طور تصور کرده اید که ISMS همانی است که من دیده ام، در نتیجه بیخود است و به کار نمی آید!

    ISMS کمک می کند تا اگر قرار است هزینه ای در سازمان ها انجام شود، در مسیر مشخص و هدفمند قرار گیرد و از هدر رفتن منابع مالی به صورت بی هدف جلوگیری می کند.
    چه بسیار سازمان هایی را دیده ایم که بدون داشتن برنامه مشخص و همه جانبه امنیتی، هزینه های بسیار گزافی را صرف خرید سخت افزارهای امنیتی - مثلا Firewall ها - کرده اند و تصور کرده اند که امنیت کامل دارند! ولی در لحظه خطر، آن سخت افزارها به هیچ کارشان نیامده اند. چرا که تهدید از آن نقطه ای وارد شده که آنها اصلا فکرش را هم نمی کرده اند.

    در آخر لازم است باز هم تاکید کنم که امنیت اطلاعات همان امنیت شبکه نیست. امنیت شبکه فقط بخشی کوچک از امنیت اطلاعات است. (کنترل های تکنولوژیکی)

    از زبان ISMS :
    هر کسی از ظن خود شد یار من
    از درون من نجست اسرار من


    SADEGH65، scope، hamed89156 و 5 نفر دیگر سپاسگزاری کرده‌اند.

  3. #18
    نام حقيقي: hamed89156

    عضو عادی
    تاریخ عضویت
    Aug 2007
    نوشته
    170
    سپاسگزاری شده
    49
    سپاسگزاری کرده
    40
    نقل قول نوشته اصلی توسط koorosh نمایش پست ها
    دوست گرامی

    به نظر می رسد شما با مشاوری مواجه شده اید که دانش لازم برای پیاده سازی و استقرار ISMS نداشته است (که متاسفانه این گونه مشاورین البته پر مدعا کم هم نیستند!). من شرکت های مشاور معروفی را در همین تهران می شناسم که با سواد ترین فردشان فقط در حد کلیات ISMS را می شناسد، در همان حدی که در همایش های یک روزه و سه روزه آموزش می دهند! البته خیلی از این افراد متخصص امنیت شبکه هستند و چون فکر می کنند امنیت اطلاعات همان امنیت شبکه است، وارد این وادی شده اند و متاسفانه نتیجه اش همین شده که می بینید. مطمئن باشید نتیجه پروژه ای که توسط این افراد انجام شود بجز همانی که شما نوشتید نخواهد بود.



    پس از استقرار سیستم مدیریت امنیت اطلاعات (اگر به درستی پیاده سازی شود)، چند اتفاق مهم رخ می دهد:

    - دارایی های اطلاعاتی شناسایی می شوند.
    - دارایی های اطلاعاتی بر اساس متدولوژی هایی ارزش گذاری می شوند.
    - دارایی های اطلاعاتی طبقه بندی می شوند و برچسب گذاری می شوند.
    - مسئولیت های دارایی های اطلاعاتی شفاف می شوند.
    - خطر ها و تهدید ها شناسایی می شوند.
    - میزان تاثیر خطرها و تهدیدها بر دارایی های اطلاعاتی با استفاده از متدولوژی هایی ارزیابی می شوند.
    - کنترل های امنیتی انتخاب می شوند تا میزان تهدیدها و خطرها را تا سطح قابل تحمل پایین بیاورند.
    - برنامه زمان بندی شده به همراه روش اجرایی برای ممیزی و بازنگری در همه موارد بالا تدوین می شود.
    - برنامه زمان بندی شده به همراه روش اجرایی برای آموزش تدوین می شود.
    - برنامه مقابله با خطرات امنیتی تدوین می شود و مسئولیت ها شفاف می شود.
    - سیاست های امنیتی، چهارچوب ها، روش های اجرایی، راهنماها و پیشنهادها مشخص و مدون می شوند.



    چه بسیار سازمان هایی را دیده ایم که بدون داشتن برنامه مشخص و همه جانبه امنیتی، هزینه های بسیار گزافی را صرف خرید سخت افزارهای امنیتی - مثلا Firewall ها - کرده اند و تصور کرده اند که امنیت کامل دارند! ولی در لحظه خطر، آن سخت افزارها به هیچ کارشان نیامده اند. چرا که تهدید از آن نقطه ای وارد شده که آنها اصلا فکرش را هم نمی کرده اند.

    اول اینکه حرف شما رو قبول دارم.

    از همه دوستان دعوت می کنم از همین شرکت های مدعی که کار ISMS کنند یه سری سوال کنند (بهترین جا همین نمایشگاهای IT هست) و بگین ISMS چیه و به چه درد ملت می خوره ؟؟

    تقریباً همشون یه سری document فارسی شده رو حفظ کردند و به همه همونو میگن ، حالا فرق نمیکنه مشتری کی باشه !

    نمونش شرکت محترم --U (دو حرف بعدی را ننوشتم) که ضد تبلیغ نشه.

    فقط هم مشتریاشون ارگان های دولتی هستند که به بهانه اینکه مجلس تصویب کرده که همه ارگان ها باید طرح امنیت اطلاعات رو پیاده کنند ، بیان ما براشون پیاده کنیم.

    اون مسئول تو ارگان که بیکر نشسته به شرکته میگه بیا اینکارو بکن....هم من تو سازمان به به میشم ، هم یه چیزی گیر خودم میاد !!!

    خدا رو شکر مجلس محترم این لایحه رو تصویب کرد وگر نه اون آدمای باکلاس و به ظاهر زرنگ ، نون شیرین و یا مفت ISMS رو از دست میدادن.

    باور کنین تو بازار IT ایران ، هیچ نونی مفت تر از پروژه های ISMS نیست...مواد لازم :چند صد تا ورق کاغذ و یه زبون دراز. (اکه سوال فنی هم پرسیدن بگین اینارو باید از فنی کارا بپرسین ... کار ما نیست !!!)

    اگه راست میگن برن با یه مشتری که کاملاً وابسته به بخش خصوصی هست پروژه بگیرن...اگه 1 ریال بهبشون دادن !

    ظمناً عمده چیزهایی که تو استاندارد ISO 27001 و قبلاً BS 7799 گفته شده به کار سازمان های بی در و پیکر ایرانی نمیخوره و به درد همون کشورهای پیشرفته مثل آمریکا ، کانادا، استرالیا، سوئیس ، انگلستان و ... میاد.

    سازمان های ایرانی چیش استاندارده که حالا اطلاعات توش باید استاندارد بشه.؟

    checklistها و methodologyهای ISMS فقط به عنوان یک شعار در سازمان های ایرانی باقی خواهد ماند و اصلاً به تیپ کاری ایرانی جماعت نمیاد.


    برادران ، من این نوع پروژه ها رو دیدم به چشم خود که حالا دارم اینا رو میگم.

    آقای کوروش بازم میگم ، من فقط فقط چیزهایی رو که دیدم گفتم ، توهین به شما نشه ...

    Think More ....



  4. #19
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,549
    سپاسگزاری شده
    6798
    سپاسگزاری کرده
    1035
    نوشته های وبلاگ
    4
    من برای نگرانی شما از بابت حضور کاسب کارانه برخی سودجویان کم سواد پر مدعا احترام قائل هستم. البته حتما می دانید این کاسب کاران کم سواد پر مدعا، هرجا که بوی پول شنیده شود سر و کله شان پیدا می شود. عرصه هایی نظیر فروش رب گوجه فرنگی، تخم مرغ، کارتینگ اتومبیل های مسابقه ای، کارت اینترنت (ISP)، فروش سرور، فروش Router و حالا به قول شما پیاده سازی ISMS !

    ولی با نظرتان در مورد ضروری نبودن سیستم مدیریت امنیت اطلاعات برای سازمان های ایرانی و این که مستندات ISMS صرفا در حد شعار باقی می مانند به هیچ وجه موافق نیستم، چون حداقل در پروژه هایی که در آنها حضور داشته ام، وضعیت کاملا متفاوت از آنچه شما تصویر کردید بوده است.

    - اگر جایی کسی یک Cisco Router خریداری کرد ولی نتوانست آن را درست راه اندازی کند و در نهایت گوشه انبار خاک خرد، نه ارزش آن Cisco Router کم می شود و نه می توان کسانی که از این دستگاه به درستی استفاده کرده اند را زیر سوال برد.
    - اگر جایی نرم افزاری بسیار ضعیف نوشته شد و نقایص فراوان داشت، نمی توان کلا برنامه نویسان و نرم افزارها را زیر سوال برد.

    به نظر من در این گونه عدم موفقیت ها دو عنصر مقصر هستند:
    1- کارفرما که دانش و شناخت کافی در مورد این سیستم را ندارد و در انتخاب پیمانکار نیز به درستی رفتار نکرده است.
    2- پیمانکار که بدون داشتن تخصص در این راه قدم گذاشته و به عنوان مشاور، نتوانسته نقش مثبتی ایفا کند.

    البته در این وادی، شرکت ها و متخصصانی نیز هستند که با دانش و تجربه ای که دارند، این گونه پروژه ها را با دقت و حساسیت بسیار پیش می برند و سازمان ها از نتیجه فعالیت های ایشان بهره مند می شوند.


    nima0102، hamed89156، Reza.D و 1 نفر دیگر سپاسگزاری کرده‌اند.

  5. #20
    نام حقيقي: مرتضی

    عضو غیر فعال
    تاریخ عضویت
    May 2010
    محل سکونت
    تهران
    نوشته
    5
    سپاسگزاری شده
    1
    سپاسگزاری کرده
    1
    سوال: 1- تو ایران کسی یا سازمانی هست که گواهی isms بده؟ خارج از کشور چطور؟ 2- شرکت های بزرگ خارجی که isms رو برای سازمان ها (نه لزوما ایرانی) اجرا میکنن چه شرکت هایی هستند؟ (منظورم معتبرترین های اونهاست) 3-برای اینکه یه سازمان بخواد گواهی 27000 بگیره باید چه روالی رو طی کنه؟ منظورم از دید مدیر سازمان هست. 4- اگه منبع خوبی برای آشنایی بیشتر با isms دارین معرفی کنید چون من استاندارد رو خوندم ولی توی اون فقط کلی بحث کرده و اینکه برای اجرای این مفاد از چه طرقی میشه اقدام کرد رو نگفته. اگه بتونین مثال هم بزنید ممنون میشم .



  6. #21
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,549
    سپاسگزاری شده
    6798
    سپاسگزاری کرده
    1035
    نوشته های وبلاگ
    4
    سلام
    1- گواهینامه رسمی توسط CB ها صادر می شود. در ایران CB نداریم. CB های مختلفی در دنیا هستند که مجاز به ممیزی و صدور گواهینامه ISO 27001 هستند.
    اسامی برخی از آنها:
    BSI
    TUV
    DNV
    Certification Europe
    KEMA
    KPMG
    SFS-Sertifiointi Oy
    STQC
    SQS
    BVQi
    SAI Global
    LRQA
    LSTI

    2- ISMS یک استاندارد مدیریتی است. در روش درست، پروژه استقرار توسط گروهی در درون سازمان راهبری می شود و برای تعیین درست مسیر حرکت، می بایست ار حضور مشاور بهره برد. این توضیح را نوشتم که بگویم هیچ شرکتی ISMS را اجرا نمی کند. بلکه شرکتهای متخصص در این زمینه، خدمات مشاوره ارائه می دهند. برای یافتن اسامی این شرکت ها کافیست جستجوی ساده ای در گوگل انجام دهید.

    3- مراحل کار در نوشته دوم همین مبحث به طور تیتر وار آورده شده است.

    4- استاندارد ISO27002، راهنمای استقرار مواردی است که در ISO27001 آورده شده اند. شاید بتوان گفت راهنمای اجرای استاندارد ISO27001 است.
    کتاب هایی هم هستند که می توانید از هرکدام از آنها، برخی مطالب را پیدا کنید. هرچند نمی توانید انتظار داشته باشید به صورت Tutorial مراحل کار شرح داده شده باشد. این چند کتاب را توصیه می کنم بخوانید:
    The CISSP Prep Guide Mastering the CISSP and ISSEP Exams Second Edition
    Certified Information Systems Security Professional Study Guide
    The Price of Information Security
    Information Security Management Handbook
    Zen And The Art Of Information Security
    Information Security Principles And Practice
    Information Security Principles and Practice
    ...


    SADEGH65 و Ciscokar سپاسگزاری کرده‌اند.

  7. #22
    نام حقيقي: مرتضی

    عضو غیر فعال
    تاریخ عضویت
    May 2010
    محل سکونت
    تهران
    نوشته
    5
    سپاسگزاری شده
    1
    سپاسگزاری کرده
    1
    من فکر میکردم یه تیمی میاد و isms رو پیاده میکنه، پرسنل رو آموزش میده، یه پولی میگیره و میره!
    خب حالا که اینطور نیست، خدمات مشاوره ای در چه سطحی انجام میشه؟ منظورم اینه که مشاور باید چه کارهایی رو انجام بده؟ چقدر وارد جزییات میشه؟ آیا نیاز به دانش سطح پایین از حملات شبکه ای یا امثال اینها برای مشاور الزامی است یا فقط مثل استاندارد کلیات را بررسی میکند؟
    اگر امکان دارد در مورد وظایف و دایره ی اطلاعاتی مشاور بیشتر توضیح دهید.



  8. #23
    نام حقيقي: Ehsan Gholami

    عضو عادی شناسه تصویری ehsan653
    تاریخ عضویت
    Aug 2009
    محل سکونت
    Tehran
    نوشته
    505
    سپاسگزاری شده
    159
    سپاسگزاری کرده
    341
    سلام
    آقا کوروش اگه مقدوره کمی مدارک و جزوه آموزشی در این مورد لینک بدید تا حداقل علاوه بر توضیحات شما با متن قضیه بیشتر آشنا بشیم .
    در ضمن فکر کنم هر چقدر دیتابیس های با ارزشتر تو ایران بیشتر بشه فعالیت هکرها هم خود به خود بیشتر میشه و تازه اون وقته که نیاز به امنیت همه اینها رو با خودش میاره همونطور که در تولید مدیریت تولید خواستار ورود استاندارهای مدیریتی شد و اونها رو با خودش آورد.



  9. #24
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,549
    سپاسگزاری شده
    6798
    سپاسگزاری کرده
    1035
    نوشته های وبلاگ
    4
    نقل قول نوشته اصلی توسط azetrom نمایش پست ها
    من فکر میکردم یه تیمی میاد و isms رو پیاده میکنه، پرسنل رو آموزش میده، یه پولی میگیره و میره!
    خب حالا که اینطور نیست، خدمات مشاوره ای در چه سطحی انجام میشه؟ منظورم اینه که مشاور باید چه کارهایی رو انجام بده؟ چقدر وارد جزییات میشه؟ آیا نیاز به دانش سطح پایین از حملات شبکه ای یا امثال اینها برای مشاور الزامی است یا فقط مثل استاندارد کلیات را بررسی میکند؟
    اگر امکان دارد در مورد وظایف و دایره ی اطلاعاتی مشاور بیشتر توضیح دهید.
    پیاده سازی سیستم مدیریت امنیت اطلاعات پروژه ای نیست که بتوان آن را به صورت Turn key از یک پیمانکار انتظار داشت.
    وظیفه مشاور، راهنمایی و مسیردهی برای استقرار است. این که در هر مرحله از استقرار چه فعالیت هایی و چگونه انجام شوند تا بهترین نتیجه به دست آید.
    وقتی از مشاور صحبت می کنیم، منظور یک نفر نیست. منظور آن تیم یا شرکتی است که نقش مشاور را بر عهده می گیرد. در بخشی از مسیر، آنجایی که به انتخاب و تعیین کنترل های امنیتی مربوط به شبکه می رسیم، تیم مشاور می بایست با اشرافی که روی مباحث مربوط به امنیت شبکه دارند، در این زمینه راه حل های پیشنهادی شان را ارائه دهند. البته توجه داشته باشید که اگر کل فرایند استقرار استاندارد را 10 واحد در نظر بگیریم، شاید کمتر از 1 واحد آن به امنیت شبکه اختصاص یابد. این اشتباهی است که متاسفانه در اکثر پروژه های استقرار نظام امنیت اطلاعات در ایران مشاهده می شود و در پروژه، بیشتر از آن که به امنیت اطلاعات پرداخته شود، امنیت شبکه در نظر گرفته می شود. این آن چاهی است که بیشتر مدیران فناوری اطلاعات سازمان ها که معمولا مسئول راهبری این پروژه ها هستند، در آن گرفتار می شوند و از مسیر اصلی دور می افتند. شاید بتوان این نکته را یکی از بزرگترین چالش ها در موفقیت پروژه های امنیت اطلاعات دانست.

    مشاور (تیم مشاور) می بایست متخصص و مسلط بر امنیت اطلاعات باشد؛ تجربیات متعدد حضور در پروژه های موفق استقرار استاندارد را داشته باشد و بر فرایند ممیزی نیز تسلط داشته باشد. (شاید بتوان این طور گفت که حضور یک سرممیز استاندارد امنیت اطلاعات در تیم که تجربه ممیزی امنیت اطلاعات داشته باشد ضروری است)
    یک مشاور قوی می تواند مسیر حرکت را به درستی مشخص کند و در تمام مراحل کنار کارفرما حضور فعال داشته باشد تا بتواند از حرکت در مسیر اشتباه جلوگیری کند.


    نقل قول نوشته اصلی توسط ehsan653 نمایش پست ها
    سلام
    آقا کوروش اگه مقدوره کمی مدارک و جزوه آموزشی در این مورد لینک بدید تا حداقل علاوه بر توضیحات شما با متن قضیه بیشتر آشنا بشیم .
    در ضمن فکر کنم هر چقدر دیتابیس های با ارزشتر تو ایران بیشتر بشه فعالیت هکرها هم خود به خود بیشتر میشه و تازه اون وقته که نیاز به امنیت همه اینها رو با خودش میاره همونطور که در تولید مدیریت تولید خواستار ورود استاندارهای مدیریتی شد و اونها رو با خودش آورد.
    در مورد مستندات و راهنماها، در نوشته قبلی اسامی کتابهایی را آوردم که مطالعه آنها می تواند مفید باشد.

    اشاره کردید به یانک های اطلاعاتی با ارزش تر. توجه شما را به این نکته جلب می کنم که امنیت اطلاعات فقط به امنیت بانک های اطلاعاتی دیجیتالی نمی پردازد. بلکه هر نوع اطلاعاتی را می تواند شامل شود. اطلاعات مکتوب؛ کاغذی و شفاهی هم در سیستم امنیت اطلاعات به همان اندازه سیستم های اطلاعاتی الکترونیکی مورد توجه قرار می گیرند.


    pardazande، ehsan653 و Ciscokar سپاسگزاری کرده‌اند.

  10. #25
    نام حقيقي: shahram

    عضو عادی شناسه تصویری comiser
    تاریخ عضویت
    Dec 2008
    محل سکونت
    iranshahr
    نوشته
    160
    سپاسگزاری شده
    93
    سپاسگزاری کرده
    16
    نقل قول نوشته اصلی توسط Hakimi نمایش پست ها
    سلام
    1- گواهینامه رسمی توسط CB ها صادر می شود. در ایران CB نداریم. CB های مختلفی در دنیا هستند که مجاز به ممیزی و صدور گواهینامه ISO 27001 هستند.
    اسامی برخی از آنها:
    BSI
    TUV
    DNV
    Certification Europe
    KEMA
    KPMG
    SFS-Sertifiointi Oy
    STQC
    SQS
    BVQi
    SAI Global
    LRQA
    LSTI

    2- ISMS یک استاندارد مدیریتی است. در روش درست، پروژه استقرار توسط گروهی در درون سازمان راهبری می شود و برای تعیین درست مسیر حرکت، می بایست ار حضور مشاور بهره برد. این توضیح را نوشتم که بگویم هیچ شرکتی ISMS را اجرا نمی کند. بلکه شرکتهای متخصص در این زمینه، خدمات مشاوره ارائه می دهند. برای یافتن اسامی این شرکت ها کافیست جستجوی ساده ای در گوگل انجام دهید.

    3- مراحل کار در نوشته دوم همین مبحث به طور تیتر وار آورده شده است.

    4- استاندارد ISO27002، راهنمای استقرار مواردی است که در ISO27001 آورده شده اند. شاید بتوان گفت راهنمای اجرای استاندارد ISO27001 است.
    کتاب هایی هم هستند که می توانید از هرکدام از آنها، برخی مطالب را پیدا کنید. هرچند نمی توانید انتظار داشته باشید به صورت Tutorial مراحل کار شرح داده شده باشد. این چند کتاب را توصیه می کنم بخوانید:
    The CISSP Prep Guide Mastering the CISSP and ISSEP Exams Second Edition
    Certified Information Systems Security Professional Study Guide
    The Price of Information Security
    Information Security Management Handbook
    Zen And The Art Of Information Security
    Information Security Principles And Practice
    Information Security Principles and Practice
    ...



    با اجازه رئیس


    این هم ادرسهای که می تونن مجوز بدن ..


    www.dnv.ir

    www.rwtuviran.com

    www.tuviran.com

    در مورد این شرکتهای سوالی دیگری بود در خدمتیم




  11. #26
    نام حقيقي: wolF

    عضو عادی شناسه تصویری hashem_wol
    تاریخ عضویت
    Nov 2007
    محل سکونت
    Rasht city
    نوشته
    265
    سپاسگزاری شده
    102
    سپاسگزاری کرده
    59
    پیشنهاد مکینم بعد از پیاده سازی همچین استاندار های

    مقوله امنیت رو با روش های مثل تست نفوذ به چالش بکشید!


    Ciscokar سپاسگزاری کرده است.

  12. #27
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,549
    سپاسگزاری شده
    6798
    سپاسگزاری کرده
    1035
    نوشته های وبلاگ
    4
    نقل قول نوشته اصلی توسط hashem_wol نمایش پست ها
    پیشنهاد مکینم بعد از پیاده سازی همچین استاندار های

    مقوله امنیت رو با روش های مثل تست نفوذ به چالش بکشید!
    اجازه بدهید جمله شما را اصلاح کنم.
    پس از پیاده کردن و استقرار استاندارد امنیت اطلاعات، می بایست با ممیزی از استقرار درست استاندارد اطمینان حاصل کرد که در بخش کنترل های امنیتی سطح شبکه (که درصد و حجم کوچکی از کنترل های امنیتی را به خود اختصاص می دهند) می توان از روش های تست نفوذ هم بهره برد.



  13. #28
    نام حقيقي: مرتضی

    عضو غیر فعال
    تاریخ عضویت
    May 2010
    محل سکونت
    تهران
    نوشته
    5
    سپاسگزاری شده
    1
    سپاسگزاری کرده
    1
    برای تعیین خط مشی، قوانین، الزامات و روش های اجرایی توسط کمیته راهبردی آیا ابزار یا قالب یا پرسشنامه ی خاصی هست؟



  14. #29
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,549
    سپاسگزاری شده
    6798
    سپاسگزاری کرده
    1035
    نوشته های وبلاگ
    4
    برای جمع آوری داده ها و اطلاعات، پرسشنامه ها و فرم های مختلفی مورد استفاده قرار می گیرند. برخی مستندات الزامی نیز چارچوب ها و قالب های خاصی دارند که البته نمی توان گفت استاندارد است، ولی معمولا مشاوران براساس تجربیاتشان این چهارچوب ها و قالب ها را تهیه می کنند.

    ابزارها و نرم افزارهایی نیز برای مدیریت مستندات و جمع آوری اطلاعات در حین انجام کار ساخته شده اند که نمونه های آنها را می توانید با جستجویی در گوگل بیابید.



  15. #30
    نام حقيقي: sayyed hassan hashemi

    عضو عادی
    تاریخ عضویت
    Dec 2008
    محل سکونت
    tehran
    نوشته
    156
    سپاسگزاری شده
    41
    سپاسگزاری کرده
    111
    در پياده سازي هرگونه استاندارد امنيتي و يا هر گونه استاندارد ديگر حتي استاندارد كردن قوطي رب گوجه فرنگي شركت يادتون باشه اولين گام اينه كه به مدير يا رئيس محترم دو تا مطلب رو بگي:
    1- رئيس جون ميخواي كارت استاندارد باشه؟
    2- رئيس جون هزينه داره ها حدودا اينقدر؟
    هرجايي كه ديدم پياده سازي استاندارهاي امنيتي با شكست مواجه شده مدير با حساسيت قضيه و هزينه هاي محتمل آشنا نبوده. شخصا هروقت تو ادارات دولتي به عنوان مشاور افتا حضور پيدا ميكنم اولين پيشنهاد رو سعي ميكنم يه پيشنهاد پرخرج(مثلا اتاق سرور استاندارد) بدم تا ببينم واقعا دنبال اينكار هستند يا كلمه استاندارد و امنيت براشون خوشكل بوده.

    تا بالاييها به حساسيت موضوع و ضرورت اون پي نبرن خودتون رو سركار گذاشتيد.
    اگه اشتباه نكنم بند هفتم هشتم سند افتاي اران هم به همين نكته اشاره داره.



صفحه 2 از 3 اولیناولین 1 2 3 آخرینآخرین

کلمات کلیدی در جستجوها:

نحوه پیاده سازی isms

پياده سازي isms

مدرک isms

جزوه isms

هزینه پیاده سازی ISMSisms پیاده سازیراهنمای پیاده سازی سیستم مدیریت امنیت اطلاعات محمود خالقیمجوز ISMSچالش های پیاده سازی ISMSمراحل پیاده سازی استاندارد ISO 27001 در مقوله ISMSراهنمای پیاده سازی سیستم تحلیل ریسکنمونه فرمهای ismsمراحل استقرار ISMSنمونه فرم ismsراهنمای پیاده سازی ismsisms مدرکنمونه پیاده سازی ISMSمفاهیم ismsنمونه پروژه ismsنمونه طرح ismsISMSمعنيچرا ismsروشهای امنیت اطلاعات درسایتنمونه مدارک پیاده سازی ismsریسکهای موجود برای پیاده سازی سیستم مدیریت امنیت اطلاعات در شرکت

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •