پیاده سازی قبل از دایرکردن سازمان

[sni63]

سلام دوستان
من در زمینه سیستم مدیریت امنیت اطلاعات تازه کار هستم
سوالی در این رابطه داشتم
راستش رو بخواهید سازمان ما قصد پیاده سازی ISMS را داره و برای این کار از یک تیمی دعوت کرده
ما ISMS رو میخواهیم برای یک بخشی از سازمان طراحی کنیم که هنوز دایر نشده است (البته تمامی بخشهایش به طور کامل) دوستان بعد از اینکه قرارداد بستند میگن تا دایر نکنید به طور کامل ما نمیتونیم طراحی ISMS داشته باشیم
آیا این حرف درست است؟ کاملا درست است؟ یعنی واقعا نمیشود برای یک سازمانی که تازه قصد تاسیس دارد کامنتهای امنیتی داد و طراحی ISMS کرد؟ اگر واقعا به این شکل باشد که افتضاح است معنی ندارد
یعنی قبل از وجود یک سازمان، نمی توان هیچ کامنت های امنیتی ISMS ای برای آن داد؟
مثلا در رابطه با خط مشی های امنیتی policy ها یا تست نفوذ یا BCP یا موارد دیگر هیچ چیز نمی توان گفت، با توجه به اینکه کلیاتی از دایر شدن موارد داریم و دستمان آنقدر هم خالی نیست ولی میگویند با این اطلاعات فقط یک سری کلیات می توان گفت
تصور ما این است که این دوستان چیزی خاصی بلد نیستند و تنها دنبال بهانه هستند اما چطور می توانیم این را به مدیرانمان و البته اول به خودمان به طور مستدل اثبات کنیم؟ متاسفانه مسئله ما در حال حاضر این است که برهان علمی برای پاسخگویی به این دوستان نداریم که مثلا فلان جا این کار شده، قبل از دایر شدن سازمان کامنت های امنیتی و طرح ISMS داشته اند
لطفا کمک کنید، بحث شاید چند ده میلیون پول است

کلا برای اینکه آن ها را ارزیابی کنیم چه راهکاری دارید؟

---

موضوعات مشابه:

• پیشنهاد خرید سرور و تجهیزات برای مجازی سازی با 12 میلیون بودجه
• پیشنهاد همکاری و راه اندازی بخش وایرلس هکینگ
• می خوام یه شبکه خونگی راه اندازی کنم پیشنهاد شما چیه ؟
• پیاده سازی سانترال از 0
• nm16 am و cisco 2621 سری دستورات راه اندازی و پیاده سازی به صورت گام به گام

---

[Hakimi]

دوست گرامی
از این که دیر به پرسش شما پاسخ می دهم ببخشید.

پیاده سازی استاندارد مراحلی دارد که الزاما نیازی به شروع فعالیت سازمان ندارد. اتفاقا پیش از شروع فعالیت سازمان به دلیل این که فرایند ها هنوز اجرایی نشده اند و امکان اعمال تغییرات در آنها وجود دارد، کارها به مراتب دقیق تر و کم هزینه تر می تواند انجام شود. وقتی فرایند ها اجرایی شد و کارمندان آموزش دیدند، تغییر در فرایند ها بسیار هزینه بر است.

در مورد فرایند استقرار سیستم مدیریت امنیت اطلاعات بر پایه استانداردهای بین المللی ISO/IEC 27001 و ملی ISIRI 27001 پیش تر توضیح داده ام و می توانید مطالب گذشته را مرور کنید. می توانید از تیم مورد نظر بخواهید مراحل کارشان را برایتان شرح دهند و نقشه راه را مشخص کنند و آنگاه می توانید از آنها بخواهید به صراحت توضیح دهند چرا کار را به شروع فعالیت سازمان منوط کرده اند!

همانطور که پیشتر اشاره کرده ام، متاسفانه بیشتر شرکت هایی که در این زمینه در ایران فعالیت می کنند، به دلیل پیش زمینه فنی و همینطور نداشتن متخصصین زبده، بحث امنیت اطلاعات را با امنیت شبکه اشتباه می گیرند و در نتیجه بیشتر به دنبال پیاده سازی کنترل های امنیتی در لایه فناوری اطلاعات و از جمله شبکه می روند و در این حالت شاید احتمالا دوست دارند اول شبکه ای وجود داشته باشد که آنها بتوانند نقایص و ضعف هایش را بررسی و برطرف کنند.

و اما ارزیابی؛
اصولا در پروژه های تخصصی، علاوه بر حضور مجری، به ناظر هم نیاز است که بتواند بر کار مجری نظارت دقیق داشته باشد. اگر یک ناظر متخصص در پروژه شما حضور داشت می توانست هم در این مرحله و هم در مراحل بعدی برای ارزیابی عملکرد مجری به شما کمک کند. دقت کنید که ناظر می بایست از نظر فنی حداقل هم سطح مجری و در حالت ایده آل بالاتر از آن باشد. معمولا از یک شرکت رقیب به عنوان ناظر پروژه استفاده می شود تا تبانی صورت نگیرد. پیشنهاد می کنم برای نظارت از شرکت های دیگری که برای اجرای پروژه پیشنهاداتشان را به شما ارسال کرده بوده اند کمک بگیرید.