راهنمایی در مورد پیاده سازی ISMS

**Fa7170** · 2010-08-19, 11:26 AM

سلام به دوستان عزیز.
من چند وقت پیش توی امتحان ISO 27001 قبول شدم حالا نوبت تحویل پروژه س، پیاده سازی ISMS در یک سازمان دولتی یا قسمتی از آن، سوال بنده اینه که چقدر باید وارد جزئیات بشم مثلا توی تعریف محدوده یا همون داراییها و فناوری های سازمان باید کاملا ذکر بشه که دارایی ها چی هستن یا اندازه سازمان باید خیلی ریز بررسی بشه، یا اینکه خط مشی سازمان باید کاملا مستندسازی بشه ؟
ممنون میشم توضیح بدین ...

موضوعات مشابه:

**Hakimi** · 2010-08-19, 06:37 PM

سلام
دارایی ها باید دقیق ذکر بشوند. این که هیچ دارایی از قلم نیفتد و البته ارزش هر یک به درستی مشخص شود بسیار اهمیت دارد.
اگر به استاندارد اشراف داشته باشید، حتما می دانید که برخی مستندات از الزامات هستند. خط مشی امنیت اطلاعات از الزامات است.
تعریف محدوده هم از الزامات است.

پیروز باشید.

**Fa7170** · 2010-08-19, 07:21 PM

ممنون جناب حکیمی، نمیدونم براتون مقدور هست یا نه که چند صفحه اول یک پروژه رو برای الگو گرفتن بهم بدین.
در هر صورت تشکر میکنم بابت راهنمایی.

**nasrin-mz** · 2010-10-30, 06:47 PM

من پروژه ای درباره isms دارم....تقریبا تمام اطلاعاتی که لازم بوده جمع آوری و طبقه بندی کردم، فقط سر 1 موضوع نمیتونم هیچ اطلاعاتی کسب کنم: اینکه وضعیت پیاده سازی سیستم مدیریت امنیت اطلاعات در ایران و جهان در چه سطحی است؟و اینکه کلا چه سازمان ها و ارگان هایی در ایران و جهان isms رو اجرا میکنن؟

**Hakimi** · 2010-10-30, 09:18 PM

سلام
پرسش شما خیلی کلی است.
منظورتان از وضعیت پیاده سازی چیست؟ چه شاخص هایی را در نظر دارید؟
و اما این که چه سازمان ها و شرکت هایی به سراغ استقرار سیستم های مدیریت امنیت اطلاعات می روند:
اطلاعات (به هر شکلی که باشد) نوعی از دارایی است و برای سازمان ها و شرکت ها دارای ارزش است.
هر سازمانی که نسبت به دارایی های اطلاعاتی اش شناخت داشته باشد و ارزش آنها را درک کرده باشد، احتمالا به فکر حفاظت و نگهداری از آن اطلاعات خواهد افتاد. شرکت ها و سازمان ها همانطور که برای حفاظت و نگهداری از دارایی های فیزیکی خود برنامه ریزی و اقدام می کنند، برای حفاظت و نگهداری از دارایی های اطلاعاتی خود نیز می توانند و می بایست تمهیداتی بیندیشند.
در دهه 90 کم کم شرکت های اروپایی و بخصوص شرکت های انگلیسی این ضرورت را درک کردند و به سمت آن حرکت کردند. شاید اولین دولتی که در دنیا به فکر حفاظت از دارایی های اطلاعاتی افتاد، انگلستان بود.
در اوایل دهه 2000 و پس از اتفاقاتی که در سال 2001 در ایالات متحده افتاد، دولت ایالات متحده هم در این زمینه اقداماتی را شروع کرد و الزاماتی را در این زمینه تعیین کرد.
در ایران بانک ها اولین سازمان هایی بودند که به صورت خودجوش و بر اثر نیازهای واقعی که حس کردند، فعالیت های ارزشمندی را برای استقرار سیستم های مدیریت امنیت اطلاعات در دستور کار قرار دادند.
از سال 83 در دولت هم کم کم این ضرورت حس شد ولی تا سال 86 اقدامی بجز صدور چند نامه از نهاد ریاست جمهوری و البته اقدامات محدودی که در کمیته امنیت فضای تبادل اطلاعات صورت گرفت، کار مثبت دیگری انجام نشد. ولی در سال 86 و در پی رخنه های اطلاعاتی و آسیب هایی که در اثر آن وارد شد، این موضوع بیش از پیش در نظر گرفته شد و الزامات مشخصی از طرف دولت به سازمان ها و نهادهای دولتی و حکومتی اعلام شد. در همین سالها کم کم شرکت های خصوصی هم توجهشان به این موضوع جلب شد. البته شرکت های خصوصی بیشتر به ارزش دارایی های اطلاعاتی خود واقف هستند و از سالهای دور همیشه روش هایی را برای حفاظت از دارایی های اطلاعاتی خود در نظر می گرفته اند؛ ولی با توجه به تغییر شیوه دسترسی و نگهداری اطلاعات، این شرکت ها هم نظرشان به سمت استاندارد کردن شیوه برخورد با این مقوله جلب شده است.

به طور کلی اگر وضعیت شرکت ها و سازمان ها را در دنیا نگاه کنیم، بیشترین شرکت هایی که به بحث امنیت اطلاعات پرداخته اند، شرکت های ژاپنی هستند. شرکت های ژاپنی با توجه به این که دانش محور هستند، بیشترین تلاش را برای حفاظت از دارایی های اطلاعاتی خود کرده اند. پس از آنها شرکت ها و سازمان های ایالات متحده قرار دارند و در رده بعدی کشورهای اروپایی و در صدر آنها انگلیس.

امیدوارم پاسخ خود را گرفته باشید.

**nasrin-mz** · 2010-11-01, 10:42 AM

**Hakimi** · 2010-11-01, 10:51 AM

البته آماری که دادید کاملا درست نیست. احتمالا از آمار پیاده سازی استانداردهای ISO استفاده کرده اید. چون در ایالات متحده از استانداردهای سازمان ISO استفاده نمی شود و به جای آن از موسسه NIST و آژانس NSA استفاده می شود، در این لیست ایالات متحده در رده پایینی قرار گرفته است.

این پرسش که ایران هم گواهی ISMS دریافت کرده یا نه که اصولا اشتباه است! این شرکت ها هستند که اقدام می کنند و گواهی تایید استقرار نظام استاندارد امنیت اطلاعات را دریافت می کنند. (و نه دولت ها)
ولی اگر منظورتان شرکت های ایرانی است، بله، در ایران هم چندین شرکت برای این منظور اقدام کرده اند و گواهینامه هایی دریافت کرده اند. ولی چون در بیشتر موارد رویکرد فرایندی وجود ندارد و به صورت دفعی این اقدامات انجام می شود، معمولا مراحل ممیزی سالانه در سال های بعد انجام نمی شود و در نتیجه آن گواهینامه هم از اعتبار ساقط می شود که این مورد هم در بین این دسته از شرکت های ایرانی دیده می شود.

**mehrazma** · 2010-11-02, 07:29 AM

بله در ایران اگه اشتباه نکنم 4حدود 4 یا 5 شرکت تونستن بگیرن البته با آمدن یک شرکت ایرانی که اجازه دادن گواهی داره احتمالا هم راحت تر بشه و هم بیشتر!!!!

شرکت های ممیزی اونها توسط شرکت های خارجی انجام شده به شدت گرفتن گواهی براشون سخت بوده

**nasrin-mz** · 2010-11-02, 02:37 PM

اصولا شرکت ها چه مراحلی رو باید طی کنند تا گواهی تائید بگیرند؟
و منبعی و یا سایتی وجود داره که در این باره بتونم ازش اطلاعاتی کسب کنم ؟

**Hakimi** · 2010-11-02, 04:20 PM

نوشته اصلی توسط mehrazma

بله در ایران اگه اشتباه نکنم 4حدود 4 یا 5 شرکت تونستن بگیرن البته با آمدن یک شرکت ایرانی که اجازه دادن گواهی داره احتمالا هم راحت تر بشه و هم بیشتر!!!!

شرکت های ممیزی اونها توسط شرکت های خارجی انجام شده به شدت گرفتن گواهی براشون سخت بوده

آمدن یک شرکت ایرانی؟!
سه شرکت معتبر CB از 3 سال پیش در ایران مجوز صدور گواهی نامه داشته اند، ولی به دلایل مختلف شرکتهای ایرانی ترجیح داده اند از CB های غیر ایرانی استفاده کنند.

نوشته اصلی توسط nasrin-mz

اصولا شرکت ها چه مراحلی رو باید طی کنند تا گواهی تائید بگیرند؟
و منبعی و یا سایتی وجود داره که در این باره بتونم ازش اطلاعاتی کسب کنم ؟

موفقیت در ممیزی رسمی.
اطلاعات در این زمینه به سهولت قابل دسترس نمی باشد. می بایست مقالات و کتابهای مختلف را مطالعه کنید و کند و کاو کنید تا اطلاعات مورد نظرتان را احتمالا بیابید.

تکمیل: نام بردن از شرکت های تجاری مجاز نمی باشد.

موضوع: راهنمایی در مورد پیاده سازی ISMS

پیوند

ابزارهای موضوع

نمایش

راهنمایی در مورد پیاده سازی ISMS

کلمات کلیدی در جستجوها:

درباره isms

isms درباره

مقاله در مورد isms

کتاب درباره ISMS

برچسب برای این موضوع

مجوز های ارسال و ویرایش