ISMS مخفف عبارت Information Security Management System واژهایست که برای استاندارد ISO 27000 وضع شده است. این استاندارد در واقع استاندارد مدیریت امنیت در سازمان است و جزو استانداردهای بسیار مهم و پراعتبار در صنعت و تجارت تلقی میشود.
سازمانهایی که استاندارد ISMS را اخذ میکنند، توسط مخاطبین آنها یک سازمان بسیار منسجم، منظم و قابل اتکا دانسته میشوند و هیچ مشتری از در اختیار قرار دادن کار و اطلاعات خود به این سازمان احساس ناامنی نخواهد کرد.
همچنین سازمانهایی که فعالیت آنها به نوعی با امنیت اطلاعات گره خورده است (مانند تمام سازمانهایی که از انفورماتیک در راستای فعالت محوری خود بهره جدی میگیرند، سازمانهای اطلاعاتی، سازمانهای رایانهای و …) در صورتی که این استاندارد را دریافت نکرده باشند دارای یک نقص بزرگ تلقی میشوند و مشتریان حرفهای به آنها اعتماد نخواهند کرد.
ویژگیهای ISMS
قبل از اقدام برای اخذ استاندارد ISMS، باید بدانید که این استاندارد بر روی تمامی رویههای سازمانی نظارت دارد و تنها بر بخشهای انفورماتیک تکیه نمینماید. از دربهای ورود تا نحوه برخورد مدیریت در این استاندارد مورد توجه قرار میگیرند و سازمانی که برای اخذ این استاندارد اقدام مینماید، باید آمادگیهای لازم برای تغییرات انبوه را در خود داشته باشد. (البته موج سازان انفورماتیک میتواند در دورههای آموزشی و مشاورهای این آمادگیها را در سازمان شما ایجاد نماید.)
اخذ ISMS
فرآیند کلی اخذ استاندارد به شرح زیر است:
مشاوره و تشخیص درست نیاز (تیم موج سازان یا تیمهای تخصصی دیگر)
بسترسازی و ایجاد آمادگی سازمانی-مدیریتی (تیم موج سازان یا تیمهای تخصصی دیگر)
مطالعه سازمانی و تهیه اسناد ISMS (تیم موج سازان و/یا تیمهای دیگر)
اعمال مستندات تهیه شده در سازمان (مدیریت سازمان)
درخواست از مراجع بینالمللی جهت بررسی سازمان و اخذ استاندارد
لازم به ذکر است که برخی از سازمانهای دارای فعالیتهای حساس، از قدم پنجم صرفنظر مینمایند و تنها رسیدن به حد عالی ISMS برای آنان کفایت میکند واحتیاجی به دریافت گواهینامه بینالمللی استاندارد ندارند.
تذکر: بسیاری از سازمانها، پس از دریافت مستندات و اسناد ISMS در مرحله سوم متوقف میشوند و امکان اجرا آنرا ندارند. این سازمانها هزینه گزافی صرف تهیه اسناد مینمایند و پس از مدتی اسناد تهیه شده از اعتبار ساقط میشود. رفع این مشکل با اجرای درست مرحله دوم است که بسیاری از شرکتهای امنیتی آنرا فراموش کردهاند.
مراحل اول و دوم توسط متخصصینی که دارای مدرک ISMS Foundation و دانش فنی مورد نظر هستند قابل انجام است. مرحله سوم تنها توسط متخصصینی که ISMS Auditor هستند قابل انجام خواهد بود. موج سازان با داشتن تیم مجربی از هر دو دسته تجربه دلچسبی را در کسب این استاندارد برای شما فراهم میکند.
هزینه ISMS
هزینه ISMS بیشتر در ابعاد مدیریتی-انسانی مفهوم دارد، اما در این قسمت به بررسی هزینههای مالی مراحل یک تا سه اجرای ISMS در سازمان میپردازیم.
مشاوره ابتدایی ISMS توسط تیم موج سازان به رایگان در اختیار سازمان مخاطب قرار خواهد گرفت. مشاوره تخصصی و تشخیص نیاز نیز با مبلغ ساعتی مشخص موج سازان انجام میگردد.
بسترسازی و ایجاد آمادگی طی قراردادی در سازمان قابل انجام است. معمولا این مرحله با فاز سوم یکجا قرارداد میشود و برای سازمانهای معمولی و بزرگ (با حدود ۵۰۰ نفر پرسنل) هزینه تقریبی ۳ میلیارد ریال را در بر خواهد گرفت. پس از اجرای این فاز مستندات تخصصی و مدیریتی در چندین زونکن تحویل سازمان خواهد شد.
بسیار مهم است که فاز اجرا پس از آن انجام شود و موج سازان در این راستا نیز میتواند قرارداد مشاوره و همکاری با سازمان مربوطه امضا نماید. در صورت داشتن هرگونه سوال با info@opsnit.com تماس حاصل نمایید.
لازم به ذکر است که ISO 27000 یک استاندارد نیست، بلکه ۱۴ استاندارد است و تا ISO 27015 ادامه دارد.