چما
چارچوب مدیریت امنیت اطلاعات
ارتقاء سیستم مدیریت امنیت اطلاعات، لازمه پایداری و بقای هر کسب و کار
چرا امنیت برای سازمان ها مهم میباشد
امروزه، سازمانها به تکنولوژی فناوری اطلاعات در انجام فرآیند های کسب و کار خود وابستگی بیشتری نسبت به گذشته پیدا کرده اند. مدیران و کارمندان سازمانها، اطلاعات خود را در قالب داده های الکترونیکی آن هم بطریق مختلف در بستر فناوری اطلاعات ذخیری می کنند. داده ها یا بطور پراکنده در ابزارهای مختلف در رایانه ها ذخیره شده اند و یا در سامانه های نرم افزاری و آن هم بطور متمرکز در سرورها مدیریت می شوند. مهم نیست که اندازه سازمان یا شرکت شما چقدر هست، کوچک یا بزرگ، اطیمنان از امنیت اطلاعات چه برای شما و چه برای مشتریانتان از اهمیت بسیار بالایی برخوردار می باشد. هر گونه خللی در داده ها (افشای محرمانگی داده ها، دستکاری آنها، از بین بردن دسترس پذیری آنها)، می تواند برای سازمانها خساراتی هنگفتی داشته باشد. میزان و نوع این خسارت برای کسب و کارهای مختلف، متفاوت می باشد.
بیشتر
چرا پروژه های ISMS با شکست منجر می شوند
استاندارهای متنوعی جهت استقرار سیستم مدیریت امنیت اطلاعات در دهه های اخیر مطرح شده، که معروفترین آنها عبارتند از PRINCE2, CMMI, P-CMM, PMMM, ISO27001, COSO, SOA, ITIL و COBIT اما بعضی از این استانداردها به دلایل مختلف چندان مورد استقبال سازمان ها قرار نگرفته است. از بین این استاندارد ها، استاندارد ISO از مقبولیت بیشتری در سازمانها برخوردار بوده که دلیل آن نیز راه اندازی آن توسط 25 کشور و استفاده گسترده آن در جهان توسط 163 کشور می باشد. در دو دهه گذشته سازمانهای زیادی در ایران جهت استقرار سیستم مدیریت امنیت اطلاعات سراغ شرکت های امنیتی رفته اند که شاید تعداد این سازمانها بالای هزار باشد. اکثر این سازمانها به دلایل شکست در آموزش، شکست در فهم استاندارد، شکست در حمایت مدیریت ارشد، شکست در فهم توزیع مسئولیت های امنیتی، و شکست در استفاده از ابزارهای حمایتی قادر به ادامه استقرار ISMS نشدند.
رویکرد چابک برای پیاده سازی ISMS
ایده اصلی ما (که چما نام دارد) تغییر نگرش کنونی و ارایه یک مدل چرخشی و افزایشی چابک با تمرکز بر فرآیندهای کسب و کار جهت پیاده سازی ISMS در سازمان ها می باشد. چابکی در متدولوژی چما یعنی:
پیاده سازی ISMS برای هر فرآیند کسب و کار
ارتباط موثر با مدیران ارشد و نیروهای IT
درگیر کردن مشتری در انجام پروژه ISMS
پیاده سازی های سریع و کوچک
کاهش ریسک های شکست پروژه ISMS در چرخه های چابک
سنجش مداوم ISMS در چرخه های کوچک
بیانیه چما
ما در حال پیشنهاد برای راه حلی بهتری در خصوص پیاده سازی سیستم مدیریت امنیت اطلاعات هستیم. این امر از طریق فهم بهتر استانداردهای موجود، در قالب فرآیندهای یکپارچه امنیتی که چما نامیده میشود، و استفاده از پنج ابزار حمایتی حاصل خواهد شد. از اینرو ما تاکید داریم که ارزش های دیگری بایستی جایگزین ارزش های قبلی شود ولی ارزش های قبلی نفی نمی شوند بلکه در مرتبه دوم اهمیت قرار می گیرند. ارزش های جدید بر اساس مطالعات طراحان چما تدوین گردیده و سعی مینماید از شکست پروژه های ISMS جلوگیری کرده و پیاده سازی آن را در سازمان ها تسهیل نماید. ارزش های چما به قرار روبروست:
۱
استفاده از متدولوژی مهندسی
 
به جای متن استاندارد های امنیتی
۲
جذب حمایت مدیران ارشد از آغاز پروژه، از طریق استخراج دغدغه های امنیتی (Fear Story)
 
به جای ارایه گزارش پیشرفت کار به مدیران ارشد و واگرایی تیم امنیتی از اهداف تعیین شده سازمانی
۳
مشارکت مشتری بعنوان بخشی از تیم پیاده سازی ISMS و ارتقاء سطح دانش امنیتی آنها در طول چرخه های چابک
 
به جای تحویل کار به مشتری در انتهای پروژه
۴
استفاده از ابزارهای جامع چندگانه حمایتی
 
به جای تمرکز بر ابزار مدیریت ریسک، به تنهایی
۵
مهیا کردن بستر اولیه پیاده سازی ISMS از طریق سنجش سطح بلوغ امنیتی
 
به جای حمله سریع به انجام کار و شکست های مکرر
۶
ایجاد چرخه های چابک متعدد و تضمین امن سازی تک تک فرآیندهای کسب و کار
 
به جای اجرای چرخه عظیم PDCA و اعطای گواهی نامه به کل پروژه
top