خدمات بخش آموزش
معرفی سیستم مدیریت امنیت اطلاعات
آرامش در کسب و کار، بدون امنيت امکانپذير نيست.
همیشه باید نگران باشید !
نياز روزافزون به استفاده از فناوري هاي نوين در عرصه اطلاعات و ارتباطات، ضرورت استقرار يك نظام مديريت امنيت اطلاعات را بيش از پيش آشكار مينمايد .یک سيستم استاندارد و کارآمد مديريت امنيت اطلاعات (ISMS) ، ضمن مقابله با تهديدات امنيتی، آمادگی سازمان را در مواجه با وقايع امنيتی احتمالی، تضمين می نمايد این استانداردبين المللی جهت طراحی - اجرا – بازنگری و بهبود سيستمهای مديريت امنيت اطلاعات می باشد .
مبانی و الزامات سیستم مدیریت امنیت اطلاعات
پرداختن به مقوله امنیت اطلاعات و ایمن سازی شبکه های کامپیوتری در هر کشور، مستلزم توجه تمامی کاربران صرفنظر از موقعیت شغلی و سنی آنها بوده و می بایست به این مساله در سطح کلان نگاه کرد. وجود ضعف امنیتی در شبکه های کامپیوتری و اطلاعاتی ، عدم آموزش و توجیه صحیح تمامی کاربران ، عدم وجود دستورالعمل های لازم برای پیشگیری از نقایص امنیتی ، عدم وجود سیاست های مشخص و مدون به منظور برخورد مناسب و بموقع با اشکالات امنیتی ، مسایلی را به دنبال خواهد داشت که ضرر آن متوجه تمامی کاربران کامپیوتر در یک کشور شده و عملا زیرساخت اطلاعاتی یک کشور را در معرض آسیب و تهدید جدی قرار می دهد.
در این دوره قصد داریم به بررسی مبانی و اصول اولیه امنیت اطلاعات و ایمن سازی شبکه های کامپیوتری پرداخته و از این رهگذر با مراحل مورد نیاز به منظور حفاظت اطلاعات در مقابل حملات، بیشتر آشنا شویم.
ممیزی سیستم مدیریت امنیت اطلاعات
در دنياي رقابتي امروز اهميت اطلاعات،به عنوان دارايي ارزشمند و ابزار رقابت بر هيچكس پوشيده نمي باشد. از اين رو صيانت و حفاظت از اين دارايي ارزشمند يكي از وظايف ذاتي سيستم مديريت در هر بنگاه اقتصادي و سازمان است. به خصوص با پيشرفت ابزارهاي فناوري اطلاعات و مدل هاي مرسوم در بهره گيري از اطلاعات توليد شده، اين امر از اهميت مضاعفي برخوردار شده است. مسلما بهره گيري از مدل هاي مديريتي در چارچوب استانداردهاي بين المللي ميتواند سازمان را در اين وظيفه خطير ياري دهد.
هدف
آشنایی با روش های ممیزی داخلی سیستم مدیریت امنیت اطلاعات در راستای استقرار موثر و بهبود مستمر در سازمان.
سر ممیزی سیستم مدیریت امنیت اطلاعات
اطلاعات به عنوان يک دارائی مهم و باارزش برای هر سازمان به حساب میآيند و در نتيجه نيازمند ارائه راه کارهای حفاظتی لازم برای نگهداری میباشند.در نتیجه مميزی صحیح تنها راه اطمينان از صحت تدابير سازمان برای محافظت از دارایی های خود است . از این رو مميزان با مسووليتها و چالشهای سنگين و مسایل پیچيده روبرو هستند.
هدف
در این دوره شرکت کنندگان با روند مميزی ایزو 27001 آشنا شده و روشهای انجام مميزی برای (Certification Bodies) را فرا می گيرند.
مدیریت مخاطرات در امنیت اطلاعات
سیستم مدیریت امنیتاطلاعات در واقع قسمتی از سیستم مدیریت کلان سازمان است که بر مبنای دیدگاه مخاطرات کسب و کار بنا شده است (اساس این سیستم، مدیریت مخاطرات میباشد) و به منظور ایجاد، پیادهسازی، اجرا، پایش، بازنگری، نگهداری و بهبود امنیت اطلاعات در سازمان، بکار میرود.
ازمهمترین فواید این سیستم:
کمینه نمودن زیانهای وارده به کسب و کار، ناشی از عدم حفاظت اطلاعات
حفظ امنیت اطلاعات سازمان
افزایش فرصتهای مرتبط با کسب وکار
هموار نمودن زمینههای تداوم کسبو کار
فراهمآوری حاشبه رقابتی دربازاریابی و سودآوری
زمینهسازی برای حضور دربازارهای جهانی
چارجوبی مناسب در راستای تجارت الکترونیک.
معرفی مدیریت تداوم کسب و کار
در شرایط کسب و کارکنونی و با پیشترفت ها و تحولات جهانی فرآیند تداوم کسب و کار خود را به عنوان یک موضوع مهم در تمامی سازمان هامطرح کرده و مدیریت این فرآیند به عنوان یک بخش ضروری در تمام قسمت های کسب وکار شناخته می شود.
توانایی یک سازمان برای نگهداشت و استمرار فعالیت های محوری وحیاتی خود پس از بروز یک حادثه و همچنین سرعت بازیابی سازمان به حالت عادی، می توانند عاملهای اساسی موفقیت و یا شکست یک سازمان را تعیین نمایند. با این توضیح، احتیاج به یک استاندارد مناسب بر اساس مدیریت تداوم کسب و کار شدیدا انتظار می رفت.
در این زمینه استاندارد BS25999 منتشر شده توسط موسسه استاندار انگلستان (BSI) به عنوان یک چارچوب مناسب برای مدیریت تداوم کسب و کار انتخاب شده است.
مبانی مدیریت تداوم کسب و کار
تمامي فعاليت ها ي كسبو كار به نوعي با خطر انقطاع در ارتباط خواهند بود، مواردي همچون اختلالات تكنولوژيكي، سيل، انقطاع تجهيزات و حملات تروريستي از آن جمله مي باشند. استمرار عملیات در زمان انقطاع حاصله از یک فاجعه ی عظیم و یا حتی حوادث کوچک، یک نیاز اساسی و بنیادی برای سازمان می باشد. این استاندارد به عنوان اولین استاندارد مدیریت تداوم کسب و کار، با ایجاد یک سیستم مدیریت تداوم کسب و کار مناسب سعی می نماید تا سازمان حتی در سخت ترین شرایط پیش بینی نشده به فعالیت های خود ادامه دهد و بدین ترتیب ریسک حاصله از انقطاع را کاهش داده ، از رفاه و امنيت كاركنان و اعتبار سازمان حمایت کرده و توانايي هدايت و استمرار فعاليت هاي اصلي را فراهم آورد.
ويژگيهاي استاندارد BS25999 :
قابل فهم بودن و روانی زبان استاندارد؛
امکان پیاده سازی و زیرساخت های موجود در سازمان های ایرانی؛
اعتبار، گستردگی و مقبولیت جهانی استاندارد؛
سر ممیزی مدیریت تداوم کسب و کار
BS25999 استانداردی ملموس و کاربردی به منظور حفظ تداوم کسب و کار در هنگام بروز موقعیت های غیر قابل پیش بینی و مخاطره برانگیز می باشد. پیاده سازی سیستم مدیریت تداوم کسب و کار، زیر ساختی مناسب جهت بررسی، طراحی، پیاده سازی و مدیریت چهارچوب تداوم کسب و کار را در سازمان ارائه داده و با توجه به عملیات ممیزی که در پی پیاده سازی هر استانداردی قابل انجام است به سازمان، گواهی نامهBS25999 توسطBSI اعطا شده و چهارچوبی برای بهبود مداوم وتوانایی به نمایش گذاردن این قابلیت به ذینفعان ایجاد می گردد که بر اساس بهترین تجارب بین المللی بنا گردیده است.
هدف اصلی استاندارد مذکور، ارائه ی مفاهیم پایه ای جهت درک، ایجاد و پیاده سازی تداوم کسب و کار در یک سازمان و کسب نوعی اطمینان از روابط سازمان با مشتریانش و دیگر سازمان ها می باشد. این استاندارد سازمان را قادر می سازد تا با روشی یکپارچه و از پیش تعیین شده، قابلیت مدیریت تداوم کسب و کار را در درون خود مورد ارزیابی و اندازه گیری قرار دهد.احتیاجات و الزامات مشخص شده در این استاندارد انگلیسی بصورت عام می باشد و انتظار می رود که بدون توجه به نوع، اندازه و طبیعت کسب و کار، در تمامی سازمان ها قابل اجرا باشد.
معرفی استاندارد خدمات فناوری اطلاعات مطابق باISO\IEC 20000:2005
اطلاعات عامل دانایی ، دانایی کلید توانایی و توانایی دروازه موفقیت است
بزرگترين چالش شركت ها و سازمان هاي سرويس دهنده خدمات فن آوري اطلاعات، صرف كمترين هزينه ممكن و ارائه بهترين كيفيت مي باشد . اين امر در بخش هاي مختلف سازمان نمود پيدا مي كند كه از آن جمله مي توان به مواردي چون افزايش بهره وري نيروي انساني، استفاده بهينه از ظرفيت هاي موجود و ايجاد امكانات و ظرفيت هاي جديد منطبق بر نياز واقعي كسب و كار اشاره نمود. در اختيار داشتن تكنولوژي پيشرفته و نيروي انساني متخصص به تنهايي كارگشا نبوده و مساله بسيار مهمي به نام روال هاي مديريت سرويس مطرح مي گردد كه در واقع حلقه مرتبط كننده تكنولوژي و افراد مي باشد.
استاندارد ISO 20000 اولین استاندارد مستقل در زمینه مدیریت خدمات فن آوری اطلاعات IT است که سازمان جهانی استاندارد ISO آن را منتشر نموده است.
مبانی استاندارد خدمات فناوری اطلاعات مطابق باISO\IEC 20000:2005
در دو دهه اخير فعاليت هاي بسياري در زمينه مديريت سرويس های امنیت اطلاعات در دنيا صورت گرفته است . در این میان ابتكار سازمان OGCI انگلستان، با گذشت حدود 20 سال از اولين تلاش ها، ITIL را به عنوان استاندارد پذيرفته شده در دنيا معرفی کرده است.
ITIL يك روش يا توصيه پيشنهاد شده توسط يك سازمان يا موسسه نيست، بلكه مجموعه اي از بهترين تجربيات شركت هاي بزرگ دنيا طي سالهاي گوناگون در مديريت سرويس هاي IT مي باشد. اين استاندارد در دنيا با استقبال بسياري مواجه شده است و آمار هاي معتبر نشان دهنده تمايل شركت ها و سازمان هاي مختلف در ارائه سرويس هاي ITIL در مديريت سرويس هاي IT مي باشند.
معرفی سیستم مدیریت امنیت اطلاعات (مدل بلوغ SSE/CM(
چنانچه يك سازمان مهارتهاي بيشتري را در جهت بهبود فرایندها كسب نماید، ميتواند بالغتر گردد!
مدل بلوغ SSE-CMM نقاط مرجعي براي سازمان مهيا ميكند تا خود را در برابر راهكارهاي برتر مطابق يك دستورالعمل ويژه يا چند دستورالعمل ارزيابي نمايد، همچنین این مدل فرایند گرا به پیشرفت سازمانها براي رسيدن به سطوح بلوغ بيشتر، بادرنظر گرفتن راهکارهای امنیتی كمك ميكند.
مبانی و الزامات (مدل بلوغ SSE/CM (
منظور ازیک سازمان بالغ ، صرفا تحصیلات و دانش کارکنان سازمان نمی باشد، بلکه مجموعهای همچون انگیزه ،علاقهمندی، دانش و مهارت، سابقه، اطلاعات و دهها مولفه دیگر موجب می شود تاسازمان بالغ گردد وبه اصطلاح فرایندها ی موجود بهبود یافته وبلوغ سازمانی پیاده سازی شده است.
