تعیین دامنه ISMS (ISMS Scope) در سیستم مدیریت امنیت اطلاعات — ISO/IEC 27001

سیستم مدیریت امنیت اطلاعات (Information Security Management System – ISMS) یک چارچوب استاندارد جهت محافظت، مدیریت و بهبود امنیت اطلاعات در سازمان است. تعیین دامنه یا ISMS Scope اولین و مهم‌ترین مرحله در استقرار استاندارد ISO/IEC 27001 بوده و مشخص می‌کند کدام بخش‌ها، فرآیندها، دارایی‌ها، سیستم‌ها و افراد تحت پوشش کنترل‌های امنیتی خواهند بود تا اصول محرمانگی، یکپارچگی و در دسترس بودن اطلاعات به طور کامل حفظ شود.

اهمیت تعیین دامنه (Importance of Scoping)

تعیین درست دامنه با تمرکز بر مدیریت ریسک‌های امنیت شبکه و اطلاعات، باعث می‌شود سازمان بتواند:

• ریسک‌های واقعی را شناسایی و مدیریت کند (Risk Identification & Mitigation) و از وقوع حوادث امنیتی جلوگیری نماید.
• کنترل‌های مناسب را انتخاب نماید (Control Selection) و از سرمایه‌گذاری بی‌مورد در بخش‌های غیرضروری اجتناب کند.
• هزینه‌های امنیتی را بهینه‌سازی کند (Cost Optimization) و منابع را بر روی دارایی‌های حیاتی متمرکز نماید.
• عملکرد سیستم امنیت اطلاعات را پایدار نگه دارد (ISMS Sustainability) و بهبود مستمر را تضمین نماید.
• مطابقت با الزامات قانونی و مقرراتی را تضمین نماید (Regulatory Compliance) و از جریمه‌ها جلوگیری کند.

مراحل اصلی تعیین دامنه ISMS

1. شناسایی فعالیت‌ها (Identification of Activities)

در این مرحله باید تمام فعالیت‌ها و فرآیندهای عملیاتی، مدیریتی و فنی سازمان شناسایی شوند تا محدوده فرآیندی سیستم مدیریت امنیت اطلاعات مشخص گردد. این شناسایی، مرزهای کاری سیستم را تعیین می‌کند.

چک‌لیست شناسایی فعالیت‌ها

• آیا فرآیندهای کلیدی کسب‌وکار تعیین شده‌اند؟ (Business Processes)
• آیا فرآیندهای IT و مدیریت شبکه شناسایی شده‌اند؟ (IT & Technical Processes)
• آیا فرآیندهای بیرونی (Outsourced Processes) لحاظ شده‌اند؟
• آیا نقش‌ها و مسئولیت‌ها مشخص شده‌اند؟ (Roles & Responsibilities)
• آیا فرآیندهای پشتیبانی (Support Processes) مورد ارزیابی قرار گرفته‌اند؟

2. شناسایی دارایی‌های اطلاعاتی (Information Assets Identification)

دارایی‌های اطلاعاتی (Information Assets) شامل اطلاعات، سخت‌افزار، نرم‌افزار، انسان‌ها، شبکه‌ها و سازوکارهای پشتیبان هستند. شناسایی و طبقه‌بندی این دارایی‌ها بر اساس معیار محرمانگی، یکپارچگی و در دسترس بودن (CIA) برای تعیین میزان حساسیت آن‌ها حیاتی است.

چک‌لیست شناسایی دارایی‌ها

• اطلاعات مشتریان (Customer Data) و طبقه‌بندی آن‌ها از نظر محرمانگی.
• اطلاعات مالی (Financial Data) و اهمیت یکپارچگی آن‌ها.
• سیستم‌ها و سرورها (Servers & Systems) و نیاز به در دسترس بودن بالا.
• کارکنان و پیمانکاران (People & Contractors) به عنوان دارایی انسانی و منبع تهدید.
• شبکه‌ها و تجهیزات ارتباطی (Network Infrastructure) و امنیت شبکه.
• نرم‌افزارهای کاربردی و پایگاه داده‌ها (Applications & Databases) مورد استفاده در دامنه.
• اسناد و اطلاعات کاغذی (Physical Documents) و محل نگهداری آن‌ها.

3. شناسایی تهدیدات و آسیب‌پذیری‌ها (Threats & Vulnerabilities)

تحلیل تهدیدات (Threat Analysis) و آسیب‌پذیری‌ها (Vulnerability Assessment) پایه اصلی مدیریت ریسک امنیت اطلاعات است. این تحلیل‌ها ورودی اصلی برای انتخاب کنترل‌های امنیتی و طراحی ساختار امنیتی شبکه هستند.

چک‌لیست تحلیل ریسک

• تهدیدات انسانی (Human Threats) مانند خطای کاربر یا حملات مهندسی اجتماعی.
• تهدیدات فنی (Technical Threats) مانند بدافزار، نقص‌های نرم‌افزاری یا حملات DDOS به زیرساخت شبکه.
• تهدیدات محیطی (Environmental Threats) مانند آتش‌سوزی یا بلایای طبیعی.
• ضعف در کنترل‌های امنیتی (Weak Controls) فنی و مدیریتی.
• میزان احتمال و تاثیر (Likelihood & Impact) بر محرمانگی، یکپارچگی و در دسترس بودن.
• سطح ریسک پذیرفته شده توسط سازمان (Acceptable Risk Level) که فراتر از آن نیاز به اقدامات کنترلی است.

4. شناسایی الزامات قانونی (Legal and Regulatory Requirements)

این مرحله شامل بررسی قوانین کشور، مقررات صنعت، الزامات حریم خصوصی (Privacy Requirements) و تعهدات قراردادی (Contractual Obligations) است که سازمان ملزم به رعایت آن‌هاست و بر دامنه تأثیر مستقیم دارند.

چک‌لیست الزامات قانونی

• قوانین ملی حفاظت از داده‌ها (Data Protection Laws) و حریم خصوصی.
• الزامات مشتریان (Customer Agreements) در خصوص نحوه پردازش داده‌های آن‌ها.
• مقررات صنعت (Industry Regulations) مانند الزامات بانکی، بهداشتی یا الزامات امنیت شبکه زیرساخت‌های حیاتی.
• حقوق مالکیت فکری (Intellectual Property) برای محافظت از داده‌های محرمانه.
• الزامات بایگانی و نگهداری اسناد (Record Retention Requirements).

5. تعیین نیازمندی‌های مشتری و ذینفعان (Customer & Stakeholder Requirements)

نیازهای امنیتی مشتریان و شرکای تجاری باید دقیقاً مشخص و در دامنه لحاظ شود. همچنین انتظارات سایر ذینفعان داخلی و خارجی (مانند سهامداران و تأمین‌کنندگان) که بر امنیت اطلاعات تأثیر می‌گذارند، بررسی می‌گردد.

چک‌لیست نیازمندی‌های ذینفعان

• نیازمندی‌های امنیت اطلاعات (Security Requirements) از طرف مشتریان و شرکای تجاری.
• سطح دسترسی مجاز (Access Levels) مورد نیاز برای ذینفعان به اطلاعات محدوده.
• الزامات پردازش داده (Data Processing Requirements) و محل نگهداری آن‌ها.
• الزامات گزارش‌دهی امنیتی (Security Reporting Obligations) در صورت بروز حادثه.

6. تعیین محدوده فیزیکی و جغرافیایی (Physical & Geographical Scope)

دامنه ISMS باید شامل محل‌ها، دفاتر، دیتاسنترها، تجهیزات و شبکه‌هایی باشد که اطلاعات در آنها ذخیره، پردازش یا انتقال داده می‌شود. این محدوده مرزهای فیزیکی و منطقی (شبکه) دامنه را مشخص می‌کند.

چک‌لیست محدوده فیزیکی

• دفاتر سازمان (Offices) در تمامی آدرس‌ها و تأمین امنیت فیزیکی آن‌ها.
• دیتاسنترها (Data Centers) و اتاق‌های سرور، به عنوان قلب زیرساخت‌ها.
• سایت‌های عملیاتی (Operational Sites) مانند کارخانه‌ها یا شعب.
• شبکه‌های داخلی/خارجی (Internal/External Networks) و نقاط اتصال حیاتی.
• تجهیزات قابل حمل (Mobile Devices) و دورکاری (Teleworking) و نحوه تأمین امنیت در آن‌ها.
• زیرساخت‌های ابری مورد استفاده (Cloud Infrastructure) و محل ذخیره‌سازی داده‌ها.

بیانیه انطباق (Statement of Applicability - SoA)

بیانیه انطباق یا SoA سندی است که پس از ارزیابی ریسک و تعیین دامنه، لیست نهایی کنترل‌های امنیتی انتخاب‌شده از Annex A استاندارد ISO/IEC 27001 را تعیین می‌کند. این سند، کنترل‌های انتخاب شده برای مدیریت ریسک‌های شناسایی شده در دامنه را مستند می‌سازد.

سند SoA شامل:

• کنترل‌های انتخاب‌شده از Annex A و سایر کنترل‌های مورد نیاز بر اساس تحلیل ریسک.
• دلیل انتخاب هر کنترل (Control Justification) و ارتباط آن با کاهش ریسک‌های CIA.
• کنترل‌های حذف‌شده (Exclusions) و دلیل حذف آن‌ها با توجیه مدیریتی.
• وضعیت اجرای کنترل‌ها (Implemented / Planned) و تاریخ هدف برای پیاده‌سازی.
• ارجاع به مستندات مرتبط (References to documentation) برای نحوه اجرای کنترل.

پیاده‌سازی و مدیریت دامنه ISMS (Implementation & Management)

1. تعیین اهداف امنیتی (Security Objectives)

اهداف باید قابل اندازه‌گیری (Measurable)، مرتبط با امنیت اطلاعات، و همراستا با استراتژی‌های کلی کسب‌وکار باشند. این اهداف باید به وضوح سطح مطلوب محرمانگی، یکپارچگی و در دسترس بودن را در دامنه مشخص کنند.

2. ایجاد سیاست‌های امنیتی (Security Policies)

سیاست‌ها باید شامل اصول و قوانین اساسی برای حوزه‌های مختلف امنیت مانند مدیریت دسترسی، رمزنگاری، مدیریت دارایی، کنترل تغییرات، امنیت شبکه، و مدیریت رویدادها باشد.

3. آموزش و آگاهی‌سازی امنیتی (Security Awareness Training)

کارکنان باید تهدیدات، روش‌های حمله، سیاست‌ها و مسئولیت‌های خود را بشناسند تا تبدیل به اولین خط دفاعی سازمان شوند و فرهنگ امنیت اطلاعات در کل دامنه نهادینه شود.

4. آزمون‌های امنیتی (Security Testing)

اجرای دوره‌ای و برنامه‌ریزی‌شده آزمون‌های امنیتی برای ارزیابی کارایی کنترل‌های پیاده‌سازی‌شده و سنجش امنیت شبکه در برابر تهدیدات ضروری است.

چک‌لیست آزمون‌ها

• تست نفوذ (Penetration Testing) برای شناسایی آسیب‌پذیری‌های قابل بهره‌برداری در شبکه و سامانه‌ها.
• اسکن آسیب‌پذیری‌ها (Vulnerability Scanning) به صورت منظم.
• تست‌های مدیریتی و فرآیندی مانند تست‌های کنترل دسترسی و بازبینی سیاست‌ها.
• تست Disaster Recovery و تداوم کسب‌وکار (Business Continuity Testing) برای تضمین در دسترس بودن.
• شبیه‌سازی حملات فیشینگ و مهندسی اجتماعی برای ارزیابی آگاهی کارکنان.

5. مانیتورینگ و پایش امنیت (Security Monitoring)

شامل جمع‌آوری، تحلیل و گزارش‌دهی رویدادهای امنیتی از طریق ابزارهایی مانند لاگ‌مانیترینگ، مراکز عملیات امنیت (SOC)، و سیستم‌های مدیریت رویداد و اطلاعات امنیتی (SIEM) است تا هرگونه نقض محرمانگی، یکپارچگی و در دسترس بودن به سرعت شناسایی شود.

6. بهبود مستمر ISMS — Continual Improvement

ISMS یک چرخه مداوم (بر اساس مدل PDCA - Plan-Do-Check-Act) است که برای حفظ اثربخشی باید به طور منظم بازبینی و بهبود یابد تا با تغییرات محیط کسب‌وکار و تهدیدات جدید سازگار شود.

• بازبینی کنترل‌ها (Control Review) بر اساس نتایج مانیتورینگ و آزمون‌ها.
• ارزیابی چرخه PDCA (Plan-Do-Check-Act) به عنوان ستون فقرات مدیریت سیستم.
• به‌روزرسانی SoA و مستندات ISMS بر اساس نیازهای جدید.
• ممیزی داخلی (Internal Audit) و بازبینی مدیریت (Management Review) برای سنجش انطباق.

مزایای استقرار ISMS و تعیین دامنه صحیح

تعیین دامنه دقیق و استقرار موفق ISMS مزایای رقابتی، عملیاتی و قانونی مهمی برای سازمان به ارمغان می‌آورد و چارچوب مدیریتی قوی برای امنیت فراهم می‌کند.

• افزایش اعتماد مشتریان (Customer Trust) و شرکای تجاری.
• کاهش ریسک‌های امنیتی (Risk Reduction) و حوادث امنیتی با تمرکز بر مدیریت ریسک.
• بهبود عملکرد سازمان (Operational Excellence) از طریق فرآیندهای امنیتی مدون.
• پیشگیری از حملات سایبری (Cyber Attack Prevention) و کاهش خسارات ناشی از آن‌ها.
• آمادگی برای ممیزی ISO 27001 و دریافت گواهینامه.
• رعایت کامل الزامات قانونی و قراردادی (Legal & Contractual Compliance).

ورود به صفحه انگلیسی