در سازمانهایی که تمایل به پیادهسازی این استاندارد توسط کارشناسان خود دارند، میپردازیم.
فاز صفر: فرهنگسازی و برگزاری آموزشهای مورد نیاز
یکی از مهمترین مواردی که هم در ایجاد امنیت اطلاعات و هم در تداوم آن، نقش مؤثری را ایفا میکند، آموزش و آگاهیرسانی مناسب و مؤثر در راستای آشناشدن پرسنل، پیمانکاران و اشخاص ثالث سازمان در قبال حقوق، وظایف، مسئولیتها و پاسخگوبودن آنها در برنامه امنیت اطلاعات سازمان میباشد. بخش قابل توجهی از اجرای موفق و بهینه سیاستهای امنیت اطلاعات سازمان، بستگی به اجرای درست و بهینه برنامه آموزشی و فرهنگسازی سازمان دارد.
هدف از انجام این مرحله، ارتقاء سطح دانش و مهارتهای مورد نیاز کارکنان سازمان در حوزه ISMS میباشد. در برگزاری آموزشها علاوه بر رعایت سرفصلهای استاندارد، باید موردکاویها و مسائل و مشکلات روز سازمان نیز تجزیه و تحلیل گردد.
از فوايد اين آموزشها اين است که پرسنل سازمان و تيم امنيت شبکه و اطلاعات قادر خواهند بود تا کليه فعاليتهاي مربوط به مديريت سيستم امنيت شبکه و اطلاعات را انجام دهد.
فاز اول: شناسایی وضعیت موجود و تحلیل کاستیها
در ابتدا يک شناخت اوليه توسط بررسی و بازبینی مستندات سازمان به عمل خواهد آمد. هم چنین در اين مرحله با استفاده از چك لیستها، اطلاعاتي در سطوح كلی درباره وضعيت فناوري اطلاعات در سازمان و همچنين وضعيت شبكه فعلي كسب ميگردد. به طور كلي در مراحل مختلف اين فاز به توصيف وضع موجود سازمان در حوزه فناوري اطلاعات و فعاليتهاي آن پرداخته میشود. بازبینی ارزيابي اوليه از ميزان امنيت شبكه و اطلاعات جاري سازمان که شامل موارد ذيل میباشد:
بازبینی ساختار كلي شبكه
بازبینی ساختار سايت مركزي
بازبینی ارتباط شبكه داخلي با شبكههاي خارجي
بازبینی گروه بندي كاربران
بازبینی ساختار IP در شبكه
بازبینی وضعيت سرورها و وظايف آنها در شبكه و ديگر تجهيزات موجود در شبكه
به طور كلي ميتوان گفت كه اين بازبینی در حوزههاي ذيل صورت ميگيرد:
سطح شبكه
سطح سيستم
سطح برنامه كاربردي
سطح بستر ارتباطي
سطح Connections
سطح رمزنگاري