آیا استاندارد BS۷۷۹۹ مورد نیاز شماست؟

● BS۷۷۹۹ یعنی چه؟
BS۷۷۹۹ استانداردی انگلیسی و راهنمایی برای حفاظت اطلاعات و تجهیزات سازمان می باشد.BS۷۷۹۹ در دو قسمت ISO/IEC ۱۷۷۹۹:۲۰۰۰ و BS۷۷۹۹-۲ ۱۹۹۹ آمده است.
بخش اول كدهای استانداردی است كه راهنمای اولیه برای حفاظت دارایی و اطلاعات یك سازمان می باشد كه باید اجرا شود.محدوده این استاندارد صوت،اینترنت ، تلفن ها ، نمابر و . . . را در بر می گیرد.
بخش دوم شرایط استاندارد مدیریتی برای مدیریت و امنیت اطلاعات (ISMS) می باشد. با كمك این بخش به سازمانها پیمودن مراحل مختلف این قالب مدیریتی آموزش داده می شود. این قالب ، افراد ، سیستم IT و پروسه های مختلف را در بر می گیرد.
ISMS یا Information Security Management System برای حصول موارد زیر ایجاد می شود.
▪ دارایی های با ارزش كه نیاز به حفاظت دارند مشخص خواهند شد.
▪ سازمان را برای مدیریت خطرها آماده می كند.
▪ كنترل های مختلف را برای این حفاظت ایجاد می كند.
▪ میزان اطمینان مورد نیاز را مشخص می كند.
كنترل هایی كه در BS۷۷۹۹-۲:۱۹۹۹ لحاظ شده است به قرار زیر است :
۱) سیاست های امنیتی
۲) امنیت سازمان
۳) دسته بندی دارایی های با ارزش و كنترل آنها
۴)امنیت افراد
۵) امنیت فیزیكی و محیط كار
۶) امنیت ارتباطات و مدیریت اجرا
۷) كنترل دسترسی ها
۸) سیستم نگهداری و ارتقاء
۹) نقشه ادامه Bussiness شركت
۱۰ ) سازگاری با موارد قانونی
● چرا BS۷۷۹۹ معروف است ؟
بیشتر صحبتها امروزه در مورد BS۷۷۹۹-۲ است كه در سال ۱۹۹۹ منتشر شده است. دلیل محبوبیت این استاندارد در سالهای اخیر اهمیت بسیارزیادحفاظت اطلاعات می باشد.امروزه دسته بندی و درجه بندی اهمیت دارایی های با ارزش سازمان توسط مدیریت سازمان مشخص می شود. هر چقدر این دسته بندی و اطلاعات كامل تر باشند پیشبرد اهداف امنیتی یك سازمان آسان تر صورت خواهد پذیرفت. همانطور كه می دانید “Knowledge is power”.
BS۷۷۹۹-۲ یكی از معدود روشهایی است كه اطلاعات و امنیت آنها را با جزئیات كامل بیان می كند. در واقع چگونگی مدیریت امنیت اطلاعات توسط BS۷۷۹۹ بیان شده است.
▪ سازگاری !
سازگاری با BS۷۷۹۹ سازمان را مجبور می سازد سیستم امنیت اطلاعات را اجرا نموده و مستند نماید همچنین بندهای كنترلی مختلف در آن سازمان اجرا خواهند شد.
▪ گواهینامه !
گواهینامه BS۷۷۹۹ در صورت مستند بودن كلیه موارد امنیتی یك سازمان و همچنین به اجرا درآمدن صحیح آنها به سازمان تعلق می گیرد. در واقع پیاده سازی كلیه كنترلهای BS۷۷۹۹ شرط دریافت گواهینامه می باشد.
قبل از تطابق و حركت در مسیر داشتن این استاندارد موارد زیر مدنظر هستند.
۱) دانستن وسعت و گستردگی كنترلهای مختلف استاندارد
۲) مشخص كردن كنترلهای وابسته به سازمان
۳) سنجیدن فوائد استاندارد با توجه به هزینه ها و زمان
۴) نیازمندیهای قانونی
۵) نیازمندیهای تنظیمی
۶) ساختار سازمان
ممكن است در این ارزیابی اولیه خیلی از سازمانها به این نتیجه برسند كه نیاز برای اجرای كامل استاندارد وجود ندارد و تنها به استاندارد سازی بخشی از سازمان اكتفا نمایند.
● چه مواردی جهت این سازگاری لازم هستند؟
اولین قدم برای رسیدن به این مهم برقراری و نگهداری مستندات ISMS می باشد.
۱) دارایی های با ارزش حفاظت شوند
۲) سازمان به سمت مدیریت خطرات پیش برود
۳) كنترلهای موجود در استاندارد لحاظ شود
۴) درجه امنیت مورد نیاز سازمان تعیین شود
سازگاری با BS۷۷۹۹ اجرای شش مرحله را طلب می كند.
▪ سیاست های امنیت اطلاعات سازمان مشخص می شود.
▪ ناحیه اجرای استاندارد مشخص می شود. سازمان مشخص می كند كدام كنترل ها برای سازمان ضروری می باشند . حاصل این كنترل های انتخاب شده به نیازمندیهای سازمان، دارایی های نیازمند به ایمنی ،مكان و تكنولوژی بستگی دارد.
▪ ارزیابی خطرات : هدف از این ارزیابی مشخص كردن تهدیدها و مخاطرات دارایی ها می باشد. نتیحه این ارزیابی درجه خطر را مشخص می نماید.
▪ مدیریت خطرها می باشد. محدوده مدیریت خطر توسط سیاستهای امنیتی اطلاعات و همچنین میزان امنیت مورد نیاز سازمان مشخص خواهد شد.
▪ انتخاب كنترل ها در بند ۴ استاندارد BS۷۷۹۹ لحاظ شده است كه باید اجرا شوند.
▪ امكان پذیری اجرا مدنظر قرار گیرد
یك سازمان نیاز به مستند كردن كنترلهای انتخاب شده دارد. بعضی از این كنترلها به دلیل ماهیت سازمان نیاز به اجرا ندارند كه باید مشخص شوند.
● شش مرحله اصلی در BS۷۷۹۹
▪ آیا باید گواهینامه گرفت ؟
تصمیم گیری در این مورد كاملا خصوصی است و به موارد زیر و میزان اهمیت امنیت در یك سازمان بستگی دارد.
۱) محدوده امنیتی مشخص شود
۲) مستندات و اجرا با كنترلهای مصوب در استاندارد سازگاری داشته باشد.
۳) استثنا ها مشخص و توجیه منطقی شوند.
بعد از این مراحل می توان برای دریافت گواهینامه BS۷۷۹۹ اقدام كرد لذا نیاز به حضور ارزیاب و كارشناسان BS۷۷۹۹ پیدا خواهد شد.اجرای پیش نیازها پروسه پرزحمت و مداومی را طلب می كند كه باید با دقت و كاملا دقیق اجرا شود. برای اجرا این پیش نیازها نیاز به مرور دوره ای توسط ارزیاب های BS۷۷۹۹ می باشد كه در صورت اخذ گواهینامه BS۷۷۹۹ این بازدید توسط ارزیابان BS۷۷۹۹ هر سه سال تكرار خواهد شد.در آخر ، نتایج اخذ این مدرك و مفید بودن آن در پیشبرد اهداف سازمان باید كاملا مدنظر قرار گیرد.البته اعتباری كه یك سازمان در نتیجه اخذ این مدرك خواهد گرفت باید مورد توجه قرارگیرد.تفكر اینكه اخذ این گواهینامه ۱۰۰% اطلاعات شما را امن می كند كاملا اشتباه است و تنها شما قادر شده اید خطرات را تا حد زیادی پیش بینی كرده ، قانونمند نموده و خنثی نمایید.
● چه مواردی برای اخذ گواهینامه مورد نیاز است؟
برای دریافت این گواهینامه كلیه سازگاریها با بندهای استاندارد صورت پذیرد همچنین نیاز به بازدیدهای دوره ای توسط ارزیابهای BS۷۷۹۹ می باشد. پس از محقق شدن كلیه مراحل و ارزیابی های مختلف و سازگاری كامل، شخص گواهینامه دهنده ازشركت معتبر BSI جهت بازدید نهایی و اعطای گواهینامه مراجعه خواهد كرد.در صورت عدم تطابق بیش از یك كنترل مهم اعطای گواهینامه به آینده و بازدید بعدی منوط خواهد شد.
● نتیجه:
BS۷۷۹۹-۲ استانداردی مدیریتی برای حفاظت از اطلاعات و دارایی های با اهمیت یك سازمان می باشد و اگر سازمان شما نیازمند امنیت اطلاعات است BS۷۷۹۹ نظر شما را تامین خواهد كرد.