پیادهسازی ISMS و ITILجهت بهبود سیستمهای اطلاعاتی و خدمات فناوری اطلاعات در مرکز ملّی شمارهگذاری کالا و خدمات ایران
فصلنامه شماره 46(پاییز 1401)- لیلا حسینزاده، میلاد بزمونه
چکیده
در طول سالهای اخیر ماهیت سیستمهای اطلاعاتی به طور عمدهای تغییریافته و تبدیل به بخش بزرگی از فرآیندهای کسبوکار شده است. اطلاعات، به یک دارایی استراتژیکی توسعهیافته و سیستمهای اطلاعاتی به یک ابزار استراتژیکی برای سازمانها و دولتها تبدیل شده است. سیستمهای اطلاعاتی نیز همواره در خطر سرقت یا تغییر اطلاعات و ایجاد وقفه در خدماترسانی هستند.
- مقدمه
بدیهی است که در این شرایط روشهای حفاظت فیزیکی بهتنهایی قادر به تأمین امنیت نخواهند بود؛ لذا سازمانها ناچار به بهکارگیری روشهای جدید حفاظت اطلاعات و کنترل دسترسیها به منابع سازمان شدهاند. بهمنظور حل مسئله امنیت اطلاعات، سازمانها نیازمند بهکارگیری طیف گستردهای از دانش، فناوری و قوانین سازمانی است. ازاینرو طراحی و پیادهسازی سیستم مدیریت امنیت اطلاعات (ISMS[1]) راهکاری جامع برای هر سازمان است.
همچنین امروزه در سازمانها علاوه بر برقراری مداوم امنیت فرایندهای کسبوکار و سیستمهای اطلاعاتی همه چیز بهعنوان یک خدمت در نظر گرفته میشود که میتواند در ارتباط مستقیم و غیرمستقیم با مشتری باشد. بهکارگیری فناوری اطلاعات نیز به مدیریت خدمات در جهت کاهش هزینههای ارائه و بهبود کیفیت خدمات و در نتیجه به موفقیت سازمان در جلب رضایت مشتریان کمک میکند. از طرفی محیط رقابتی کسبوکار و وابستگی شدید به خدمات، باعث شده که سازمانها بر پایه میزان توانایی در ارائه مستمر و دائمی و خدمات، مورد ارزیابی قرار گیرند.
هر سازمانی که باهدف پشتیبانی از فرایندهای کسبوکار، خدمات فناوری اطلاعات را به مشتریانش تحویل میدهد به ساختار مناسبی نیاز دارد. درگذشته، این ساختار بر مبنای کارکردها و تواناییهای فنی بود. اما امروزه این رویکرد دیگر مناسب نیست.
کتابخانه زیرساخت فناوری اطلاعات (ITIL[2]) برای سازمانها یک راه بسیار خوب برای مدیریتکردن، تحویل خدمات و اجرا کردن فعالیتهای فناوری اطلاعات در فرایندها است. ازآنجاییکه یکی از حوزههای مدیریت خدمات، بحث امنیت است و باتوجهبه انتشار بخشنامههای منتشر شده از سوی شورایعالی امنیت فضای تبادل اطلاعات کشور در سالهای گذشته و مصوبهها و بخشنامههای مختلف که پیادهسازی یکی از دیدگاههای فرایندی، موسوم به سیستم مدیریت امنیت اطلاعات به کلیه سازمانهای دولتی توصیه شده است، ضرورت پیادهسازی چنین سیستمهایی بیشازپیش شده است.
درعینحال در چارچوب کتابخانه زیرساخت فناوری اطلاعات مباحثی چون تداوم خدمات فناوری اطلاعات و مدیریت حوادث که نقشی در پشتیبانی تداوم کسبوکار دارد مطرح شده است؛ بنابراین اهمیت مباحث مربوط به مدیریت خدمات فناوری اطلاعات و مدیریت امنیت سیستمهای اطلاعاتی و تداوم خدمات کسبوکار بیشازپیش نمایان میشود. تنها درصورتیکه به این مفاهیم صحیح و منسجم پرداخته شود، در رشد و بقای سازمان تأثیر به سزایی میگذارد.
- سیستم مدیریت امنیت اطلاعات (ISMS)
سیستم مدیریت امنیت اطلاعات (ISMS) استانداردهایی را برای ایمنسازی فضای تبادل اطلاعات و سیستمهای اطلاعاتی در سازمانها ارائه میدهد.
باتوجهبه هدف قراردادن شرکتهای مجهز به شبکههای بزرگتر به جهت ارزش بالای اطلاعات کسبوکار و پیچیده بودن حملات سایبری، مهاجمان تلاش میکنند تا به عمق شبکه و اطلاعات آن نفوذ و دسترسی پیدا کنند؛ بنابراین یک الزام امنیتی مهم این است که متخصصین و مدیران شبکه دارای یک دانش مشترک برای به اشتراک گذاشتن امنیت اطلاعات باشند تا بهسرعت به یکدیگر کمک کنند و به تهدیدات جدید پاسخ دهند.
مرکز ملّی شمارهگذاری کالا و خدمات ایران با استفاده از این استانداردها توانسته است فضای تبادل اطلاعات سازمان را با اجرای یک طرح مخصوص مرکز ایمن نماید. سیستم مدیریت امنیت اطلاعات مرکز ملّی شمارهگذاری کالا و خدمات ایران، با بهکارگیری یک فرایند مدیریت از مخاطرات (تهدیدات سایبری و غیر سایبری)، محرمانگی، صحت و دسترسپذیری اطلاعات محافظت میکند و به طرفهای ذینفع این اطمینان را میدهد که مخاطرات، به میزان کافی مدیریت میشوند. توجه داشته باشید که سیستم مدیریت امنیت اطلاعات با فرایندهای سازمان و ساختار مدیریتی کلان، یکپارچه بوده و بخشی از آنها است و همچنین امنیت اطلاعات در طراحی، فرایندها، سیستمهای اطلاعاتی و کنترل لحاظ میشود.
مرکز ملّی شمارهگذاری کالا و خدمات ایران از استانداردی برای ایجاد امنیت اطلاعات سازمانی استفاده میکند که شامل حوزههای خط و مشی، مدیریت دارایی، امنیت منابع انسانی، امنیت فیزیکی و محیطی، امنیت عملیات، امنیت ارتباطات، کنترل دسترسی، رمزنگاری، ارتباط با تأمینکنندگان، اکتساب، توسعه و نگهداری سیستمهای اطلاعاتی، مدیریت حوادث امنیت اطلاعات، مدیریت تداوم کسبوکار و انطباق که جنبههای گوناگون مدیریتی، عملیاتی و فنی را پوشش میدهد.
مرکز ملّی شمارهگذاری کالا و خدمات ایران با استفاده از گامهای حیاتی زیر برای پیادهسازی سیستم مدیریت امنیت اطلاعات استفاده کرده است:
- ایجاد مقدمات استقرار ISMS
- شناخت زمینه سازمان
- تعیین محدوده و دامنه کاربرد ISMS
- انطباق سنجی
- تدوین بیانیه خطمشی امنیت اطلاعات
- سازماندهی امنیت اطلاعات در سازمان
- شناسایی فرصتها و ریسکهای پروژه ISMS
- شناسایی و مدیریت داراییهای اطلاعاتی
- تدوین متدولوژی مدیریت ریسک امنیت اطلاعات
- شناسایی ریسکهای امنیت اطلاعات
- ارزیابی و تحلیل ریسکهای امنیت اطلاعات
- مقابله با ریسکهای امنیت اطلاعات
- تدوین بیانیه کاربردپذیری
- تعیین اهداف امنیت اطلاعات
- تدوین خطمشیها، رویهها و دستورالعملهای امنیت اطلاعات
- آموزش و آگاهیرسانی امنیت اطلاعات
- اجرا و عملیاتیسازی سیستم
- اندازهگیری عملکرد
- ممیزی داخلی
- انجام بازنگری مدیریتی
- اجرای اقدامات اصلاحی
- کتابخانه زیرساخت فناوری اطلاعات (ITIL)
کتابخانه زیرساخت فناوری اطلاعات (ITIL) رویکردی نظاممند برای عرضه خدمات فناوری اطلاعات ارائه میدهد. برخی از منافع آن عبارتاند از: زیرساخت قابل پیشبینیتر، وضوح نقشها و مسئولیتها، کاهش وقفه در سیستم خدمت بهبود هماهنگی میان تیمهای کاری، خدمات بینقص و مستقیم، فرآیندهای ثابت و مستند شده در سازمان، ثبت مدام وقایع، بهبود سودآوری و بهرهوری، کاهش هزینهها و بهبود رضایت مشتری که مدیران میتوانند با استفاده از این چارچوبها بهترین روش را برای تغییرات داخلی و مدیریت یا تمرکز نیازهای مشتریان و کارمندان اعمال کنند.
استفاده از تفکر کتابخانه زیرساخت فناوری اطلاعات در مرکز ملّی شمارهگذاری کالا و خدمات ایران باعث شده است منابع فناوری اطلاعات بهصورت بهینه و کارآمد و از نظر مالی بهصورت معتبر استفاده شود. بهطورکلی میتوان بیان کرد که کتابخانه زیرساخت فناوری اطلاعات مجموعهای از تجربههای موفق و بهترین افکار، الگوها و روشها در زمینه مدیریت خدمات فناوری اطلاعات است که در سازمان مرکز ملّی شمارهگذاری کالا و خدمات ایران گردش فرآیندهای کسبوکار را مشخص میکند. کتابخانه زیرساخت فناوری اطلاعات را میتوان یک خط کش دانست که مفاهیم تجربه شده را مستند کرده و با زبان واحد بیان میکند. بهعبارتدیگر کتابخانه زیرساخت فناوری اطلاعات، مجموعهای از مفاهیم و قوانین برای مدیریت فناوری اطلاعات است. هدف اولیه آن رسیدن به یک سیستم مدیریت خدمات برای شرکتهای فعال در زمینه فناوری اطلاعات و رضایت مشتری بود. گامهایی که در مرکز ملّی شمارهگذاری کالا و خدمات ایران برای استقرار ITIL صورتگرفته است به شرح زیر میباشد:
- تعریف پروژه ITIL و اقدامات اولیه
- تعریف ساختار خدمات فناوری اطلاعات
- انتخاب نقشها و مسئولیتهای موردنظر از ITIL و صاحبان آن نقشها در سازمان
- تحلیل وضعیت جاری فرآیندها و ارزیابی بر اساس ITIL
- تعریف وضعیت مطلوب
- تعریف ارتباطات سرویسها
- تدوین رویه کنترل فرآیندهای ITIL
- تعریف جریان فرآیندهای ITIL
- تأمین نرمافزاری کاربردی
- استقرار فرآیندهای ITIL و آموزش
- نتیجهگیری
پیادهسازی سیستم مدیریت امنیت اطلاعات و کتابخانه زیرساخت فناوری اطلاعات بر ارتقا سیستمهای اطلاعاتی و خدمات فناوری اطلاعات دارای تأثیر مستقیم و مثبت میباشد و همچنین پنج عامل سازمانی، انسانی، مدیریت پروژه، مدیریتی و فرآیندی بر اجرای موفق کتابخانه زیرساخت فناوری اطلاعات تأثیر مستقیم دارد و ناهمخوانی ساختار سازمانی با نیازهای سیستم مدیریت امنیت اطلاعات، برخوردار نبودن از کمیته راهبری شایسته و بیثباتی مدیریت ارشد سازمان مهمترین موانع پیادهسازی سیستم مدیریت امنیت اطلاعات میباشد.
- منابع
- وبسایت پایگاه مرکز اطلاعات علمی جهاد دانشگاهی
- وبسایت رایان سامانه گستر