ISMS

ISMS مخفف عبارت Information Security Management System واژه‌ایست که برای استاندارد ISO 27000 وضع شده است. این استاندارد در واقع استاندارد مدیریت امنیت در سازمان است و جزو استانداردهای بسیار مهم و پراعتبار در صنعت و تجارت تلقی می‌شود.

سازمان‌هایی که استاندارد ISMS را اخذ می‌کنند، توسط مخاطبین آنها یک سازمان بسیار منسجم، منظم و قابل اتکا دانسته می‌شوند و هیچ مشتری از در اختیار قرار دادن کار و اطلاعات خود به این سازمان احساس نا‌امنی نخواهد کرد.

همچنین سازمان‌هایی که فعالیت آنها به نوعی با امنیت اطلاعات گره خورده است (مانند تمام سازمانهایی که از انفورماتیک در راستای فعالت محوری خود بهره جدی می‌گیرند، سازمان‌های اطلاعاتی، سازمانهای رایانه‌ای و …) در صورتی که این استاندارد را دریافت نکرده باشند دارای یک نقص بزرگ تلقی می‌شوند و مشتریان حرفه‌ای به آنها اعتماد نخواهند کرد.

ویژگی‌های ISMS

قبل از اقدام برای اخذ استاندارد ISMS، باید بدانید که این استاندارد بر روی تمامی رویه‌های سازمانی نظارت دارد و تنها بر بخش‌های انفورماتیک تکیه نمی‌نماید. از درب‌های ورود تا نحوه برخورد مدیریت در این استاندارد مورد توجه قرار می‌گیرند و سازمانی که برای اخذ این استاندارد اقدام می‌نماید، باید آمادگی‌های لازم برای تغییرات انبوه را در خود داشته باشد. (البته موج سازان انفورماتیک می‌تواند در دوره‌های آموزشی و مشاوره‌ای این آمادگی‌ها را در سازمان شما ایجاد نماید.)

اخذ ISMS

فرآیند کلی اخذ استاندارد به شرح زیر است:

مشاوره و تشخیص درست نیاز (تیم موج سازان یا تیم‌های تخصصی دیگر)
بسترسازی و ایجاد آمادگی سازمانی-مدیریتی (تیم موج سازان یا تیم‌های تخصصی دیگر)
مطالعه سازمانی و تهیه اسناد ISMS (تیم موج سازان و/یا تیم‌های دیگر)
اعمال مستندات تهیه شده در سازمان (مدیریت سازمان)
درخواست از مراجع بین‌المللی جهت بررسی سازمان و اخذ استاندارد

لازم به ذکر است که برخی از سازمان‌های دارای فعالیت‌های حساس، از قدم پنجم صرفنظر می‌نمایند و تنها رسیدن به حد عالی ISMS برای آنان کفایت می‌کند واحتیاجی به دریافت گواهینامه بین‌المللی استاندارد ندارند.
تذکر: بسیاری از سازمان‌ها، پس از دریافت مستندات و اسناد ISMS در مرحله سوم متوقف می‌شوند و امکان اجرا آنرا ندارند. این سازمان‌ها هزینه گزافی صرف تهیه اسناد می‌نمایند و پس از مدتی اسناد تهیه شده از اعتبار ساقط می‌شود. رفع این مشکل با اجرای درست مرحله دوم است که بسیاری از شرکت‌های امنیتی آنرا فراموش کرده‌اند.
مراحل اول و دوم توسط متخصصینی که دارای مدرک ISMS Foundation و دانش فنی مورد نظر هستند قابل انجام است. مرحله سوم تنها توسط متخصصینی که ISMS Auditor هستند قابل انجام خواهد بود. موج سازان با داشتن تیم مجربی از هر دو دسته تجربه دلچسبی را در کسب این استاندارد برای شما فراهم می‌کند.
هزینه ISMS
هزینه ISMS بیشتر در ابعاد مدیریتی-انسانی مفهوم دارد، اما در این قسمت به بررسی هزینه‌های مالی مراحل یک تا سه اجرای ISMS در سازمان می‌پردازیم.
مشاوره ابتدایی ISMS توسط تیم موج سازان به رایگان در اختیار سازمان مخاطب قرار خواهد گرفت. مشاوره تخصصی و تشخیص نیاز نیز با مبلغ ساعتی مشخص موج سازان انجام می‌گردد.
بسترسازی و ایجاد آمادگی طی قراردادی در سازمان قابل انجام است. معمولا این مرحله با فاز سوم یکجا قرارداد می‌شود و برای سازمان‌های معمولی و بزرگ (با حدود ۵۰۰ نفر پرسنل) هزینه تقریبی ۳ میلیارد ریال را در بر خواهد گرفت. پس از اجرای این فاز مستندات تخصصی و مدیریتی در چندین زونکن تحویل سازمان خواهد شد.
بسیار مهم است که فاز اجرا پس از آن انجام شود و موج سازان در این راستا نیز می‌تواند قرارداد مشاوره و همکاری با سازمان مربوطه امضا نماید. در صورت داشتن هرگونه سوال با info@opsnit.com تماس حاصل نمایید.

لازم به ذکر است که ISO 27000 یک استاندارد نیست، بلکه ۱۴ استاندارد است و تا ISO 27015 ادامه دارد.