خدمات مشاوره:
در این قسمت با بهره گیری از مهندسین مجرب و متخصص و با انجام مشاوره در زمینه های طراحی ، اجرا و استقرار سیستم های مدیریتی و مهندسی روز دنیا، خود را به قصد و نیتمان که همان تعالی و پیشرفت سازمانها است نزدیکتر می کنیم.
فهرست خدماتی که از سوی این شرکت برای ارزیابی، طراحی و استقرار تحت پوشش قرار میگیرند به دو دسته مدیریتی و فنی تقسیم می شوند و عبارتنداز:
سیستمهای مدیریتی:
|
ردیف |
شرح |
توضیحات |
|
1 |
مشاوره در زمینه طراحی و پیاده ساری سیستم مدیریت امنیت اطلاعات (ISMS ) |
مبتنی بر الزاماتISO/IEC 27001 : 2005 |
|
2 |
امکان سنجی(Pre-Assessment ) سیستم مدیریت امنیت اطلاعات(ISMS ) |
|
|
3 |
مهندسی مجدد(BPR ) |
(Business Process Reengineering) |
|
4 |
سیستم مدیریت کیفیت (Quality Management System ) |
(ISO 9001 : 2000) |
|
5 |
مدیریت استراتژیک (Strategic Management ) |
|
|
6 |
سیستمهای مدیریت و سنجش عملکرد و پاداش به کارکنان |
|
خدمات فنی:
|
ردیف |
شرح |
توضیحات |
|
1 |
مشاوره در زمینه طراحی و پیاده سازی کنترل های امنیت اطلاعات (Information Security Techniques )مبتنی بر استاندارد ISO 27002 |
ISO/IEC 17799 : 2005 |
|
2 |
مهندسی مجدد و طراحی سیستمهای تجاری مبتنی بر مهندسی معکوس |
BPR & Business Modeling |
|
3 |
طراحی سیستم های اطلاعاتی بوسیله متدولوژی شیء گرایی(object oriented ) |
Unified Modeling Language(UML)
And RUP Operation procedures |
|
4 |
معماری نرمافزاری و مدلسازی نرمافزاری بوسیله متدولوژی شیءگرایی |
|
|
5 |
طراحی و تدوین برنامه جامع فناوری اطلاعات و ارتباطات |
ICT Master Plan |
|
6 |
طراحی سیستم ردیابی محصول در جریان ساخت (PTS) برای صنایع خودرو سازی |
منطبق بر الزامات ISO/TS 16949 : 2002 |
|
7 |
طراحی و اجرای سیستم ردیابی محصول در جریان ساخت برای صنایع گوناگون تولیدی |
|
|
8 |
تهیه و تنظیم FRP های فنی و تخصصی در حوزه بکارگیری فناوری اطلاعات |
|
|
9 |
مشاوره در زمینه طراحی و ارائه خط مشی امنیت اطلاعات |
(Information Security Policy ) |
|
10 |
مشاوره در زمینه طراحی متدلوژی ارزیابی و مدیریت ریسک
(Risk Assessment Methodology ) |
مبتنی بر الزامات ISO/IEC 27001 : 2005
|
|
11 |
ارزیابی اولیه برای تدوین و اظهار محدوده سیستم، منابع مورد
نیازو دیگر الزامات آغاز پروژه |
( for ISMS Pre Assessment ) |
|
12 |
تدوین استراتژی ها و سیاستهای منابع انسانی |
|
|
13 |
برنامه ریزی و تعیین نیروی انسانی مورد نیاز |
|
|
14 |
طرح طبقه بندی مشاغل و تعیین جدول مزد |
|
ISMS مبتنی بر ISO / IEC 27001 :
آیا تا کنون به فکر محافظت از اطلاعات با ارزش سازمان خود بوده اید؟
آیا تا کنون احساس نموده اید که پاره ای از اطلاعات سازمان دارای ویژگی محرمانگی هستند اما بنا به دلایلی امکان دستیابی به آنها توسط اشخاص حقیقی و حقوقی غیر مجاز میسر است؟
آیا تا کنون احساس نموده اید که پاره ای از اطلاعات سازمان شما دارای ویژگی محرمانگی هستند اما شما قادر به شناسایی جهت محافظت از آنان نیستید؟
آیا تا کنون پیش آمده است که در زمان خاصی نیازمند اطلاعات ویژه ای باشید ولی بنا به دلیلی دسترسی به آن اطلاعات برای شما امکان پذیر نباشد؟
و آیا تا کنون به فکر راه حلی برای گریز از تمامی این مشکلات بوده اید؟
سیستم مدیریت امنیت اطلاعات ابزاری است برای شناسایی، مدیریت و به حداقل رساندن احتمال وقوع تهدیداتی که امروزه سازمانها بواسطه از دست دادن اطلاعات خود با آنها رودرو می باشند. این تهدیدات مشتمل بر : تهدیدات داخلی سازمان، تهدیدات خارجی سازمان، تهدیدات اتفاقی، تهدیدات ناشی از خطاهای عمدی و غیر عمدی است. امروزه سازمانها بسیاری از فرصتهای کسب و کار خود را به لحاظ از دست دادن اطلاعات پر ارزش خود از دست می دهند. هدف اصلی این سیستم برقراری مکانیسمی جهت حفاظت از همین فرصتهاست.
بخشی از مزایای سیستم مدیریت امنیت اطلاعات ISO 27001 :
هرچند که اصلی ترین مزیت این سیستم حفاظت از سرمایه های سازمانی است اما می توان پاره ای از مزایای این سیستم را اینگونه برشمرد:
1- بهبود در برنامه ریزیهای امنیتی.
2- بهبود امنیت در سراسر سازمان.
3- تشریح دقیق الزامات سازمان جهت حفظ اطلاعات با ارزش.
4- دستیابی به مدیریت امنیت اطلاعات اثربخش.
5- به حداقل رساندن تهدیدات در ارتباط با شرکاء سازمان.
6- بهبود امنیت در تجارت الکترونیک.
7- کاهش مسئولیت های انسانی در حفظ امنیت اطلاعات، بواسطه کنترل های سیستماتیک.
خدمات در زمینه isms :
اهمیت دوچندان سیستم مدیریت امنیت اطلاعات (ISMS )در دنیای امروز امری غیر قابل انکار می باشد، بخصوص که با پیشرفت علم و تکنولوژی در کشور ما، نیاز مبرم سازمانها به این سیستم کاملا مشهود می باشد.
از این رو ما خود را موظف دانستیم تا بیشتر تمرکز و توان خود را در ارائه تمام و کمال این سیستم صرف کنیم.و وسعت سازمانها نیز ما را بر آن داشته تا خدمات خود را به صورت جزئی تر و به تبع شفافتر نیز ارائه نماییم.
طبق بخشنامه شماره 13711-86/م/38505 مورخ 10/8/1386 معاون اول محترم رئيس جمهور، کليه دستگاههاي دولتي و غيردولتي موظف به تهيه طرح سيستم مديريت امنيت اطلاعات (ISMS ) شدند.
|
فهرست خدمات در زمینه ISMS :
1..مشاوره در زمینه طراحی و پیاده ساری سیستم مدیریت امنیت اطلاعات (ISMS ) مبتنی بر الزاماتISO/IEC 27001 : 2005
(در این خدمت کلیه مراحل از تالیف و تدوین تا دریافت گواهینامهISO 27000 از جمله ارزیابی اولیه، طراحی ، استقرار و پیاده سازی و ممیزیهای داخلی و .... به صورت یک پروسه کاری منسجم توسط این شرکت انجام می شود.)
2.مشاوره در زمینه طراحی و ارائه خط مشی امنیت اطلاعات (Information Security Policy )
3.مشاوره در زمینه طراحی متدلوژی ارزیابی و مدیریت ریسک (Risk Assessment Methodology )مبتنی بر الزامات ISO/IEC 27001 : 2005
4.مشاوره در زمینه طراحی و پیاده سازی کنترل های امنیت اطلاعات (Information Security Techniques ) مبتنی بر ISO 17799:2005
5.ارزیابی اولیه برای تدوین و اظهار محدوده سیستم، منابع مورد
نیازو دیگر الزامات آغاز پروژه ( Pre Assessment )
6.بازرسی و ممیزی داخلی سیستم مدیریت امنیت اطلاعات مبتنی
بر استاندارد ISO/IEC 27001 : 2005 و با استفاده از تکنیکهای
استاندارد ISO 27006 : 2007
7. بازرسی کنترلهای مدیریت امنیت اطلاعات مبتنی بر استاندارد ISO 17799 : 2005
ارزیابی اولیه (Pre-Assessment) :
هدف:
هدف از انجام فرآیند ارزیابی اولیه (Pre-Assessment) در خصوص اجرای سیستم مدیریت امنیت اطلاعات مبتنی بر استاندارد ISO 27001 :2005 ، امکانسنجی اجرای سیستم با هدف تعیین مؤثرترین، اثربخش ترین و امکان پذیر ترین محدوده اجرای سیستم و نیز طیف سرمایه ها و تکنولوژی های مستقر در محدوده سیستم می باشد.
منابع:
منابع بکارگرفته شده در حین اجرای پروژه ارزیابی اولیه عموماً استاندارد های منتشر شده از سوی سازمان بین المللی استاندارد سازی (ISO) مشتمل بر شمارگان ISO/IEC 27001 : 2005 و ISO/IEC 17799 : 2005 و ISO/IEC TR 13335-3 و دیگر استانداردهای مکمل می باشد.
تشریح فرآیند:
فرآیند ارزیابی اولیه (Pre-Assessment) با بررسی تأثیرات مثبت سیستم مدیریت امنیت اطلاعات بر کسب و کار سازمان آغاز گردیده و منجر به تدوین اهداف استقرار سیستم می گردد. در ادامه با ارزیابی سازمان در 3 حوزه : تکنولوژی، فرهنگ و مناطق بحرانی به تدوین چشم انداز بلند مدت استقرار سیستم در سازمان و توسعه آن به دیگر شرکای تجاری می پردازد. ضمن آنکه در این برنامه، محدوده مورد نظر برای شروع کار و آغاز پروژه نیز مشخص می گردد. این فرآیند شامل اسنادی فنی (Technical Doc.) خواهد بود که بخشی از آن پس از آغاز پروژه به عنوان مدارک و مستندات اصلی سیستم نیز مورد استفاده قرار خواهد گرفت.
از دیگر دستاوردهای ارزیابی اولیه می توان به لیست سرمایه (Asset List) اولیه اشاره نمود که سرمایه های اطلاعاتی پراهمیت و تکنولوژی های کلیه سازمان که در محدوده واقع شده اند، در این جدول قرار می گیرد. همانگونه که می دانید احراز سرمایه ها در محدوده از اهمیت فراوانی برخوردار است چراکه کنارگذاشتن سرمایه های کلیدی اثربخشی سیستم را کاهش داده و نیز حضور سرمایه های غیر ضروری در محدوده می تواند زمان و هزینه اجرای پروژه را افزایش داده بدون آنکه تأثیر محسوسی روی اثربخشی سیستم داشته باشند.
از دیگر خروجی های حائز اهمیت در Pre-Assessment تخمین سطح امنیت مورد نظر و نیز متدولوژی ارزیابی مورد انتظار سازمان می باشد. هرچند این 2 عامل در حین اجرای پروژه نهایی تدوین و اجرا می گردند ولی این پیشبینی به سازمان کمک می نمایند حدود سرمایه گذاری مورد نیاز برای رسیدن به سطح امنیت دلخواه خود را برآورد نماید.
Business Modeling :
در کنار کلیه سیستم های موجود در سازمان شاید بتوان مهمترین سیستم را سیستم کاری یا تجاری سازمان دانست (Business System) . پیش از هرچیزی با فاکتورهای یک سیستم تجاری موفق آشنا شویم:
· یک سیستم تجاری موفق باید دارای ساختاری برای بهبود مستمر فرآیندهای درونی سیستم باشد. (Business Continual Improvement Framework) .
· یک سیستم تجاری موفق باید در راستای اهداف و استراتژی های سازمانی بوده و به نحوی آرایش یابد تا فرآیندها و فعالیتهای سازمانی پشتیبان استراتژی های تجاری باشند.
· یک سیستم تجاری موفق باید نقشها و مسئولیتهای سازمانی را به نحوی شفاف و قابل وصول بیان نماید. (Clear Roles and Responsibilities)
· یک سیستم تجاری موفق باید موجودیت های تجاری سازمان (Business Entities) را به دقت شناسایی نموده و مسیر گردش آنها را بطور کامل پوشش دهد.
· یک سیستم تجاری موفق باید ساختار استاتیکی از چارت سازمانی و ساختار داینامیکی از فرآیندهای سازمانی ارائه نماید. (Static view of the organization chart and dynamic view of organization processes)
· یک سیستم تجاری مناسب باید دارای شاخصهایی پارامتریک برای اندازهگیری و ارزیابی عملکرد سیستم و نیز میزان تحقق اهداف و استراتژی های تجاری باشد.
حال برای تحقق این اهداف نیازمند راهنمایی هستیم تا قدم به قدم مسیر شکل گیری این سیستم را میسر سازد.
مدلسازی تجاری (Business Modeling) همان راهنمایی است که بواسطه ان میتوان به سیستم تجاری (Business System) مورد نظر خود دستیافت. در حقیقت در یک مدلسازی تجاری مراحل شکلگیری یک سیستم تجاری از طراحی و مستند سازی اهدف و استراتژی های تجاری تا مدلسازی از فرآیندها و فعالیتهای سازمانی و تدوین دقیق نقشها و مسئولیتهای سازمانی وجود داشته که هر یک در زمان مناسب خود ایجاد می گردد. ضمن آنکه بارز ترین ویژگی چنین سیستمی انعطاف پذیری قابل قبول در مقابل تغییرات است. همانگونه که میدانیم در عصری به سرمیبریم که دامنه تغییرات گسترده و بازه زمانی بوجود آمدن تغییرات کوتاه است، لذا میپذیرد تا سیستم های تجاری به عنوان رکن حیاتی سیستم های موجود در سازمان بتواند در مقابل تغییرات موجود انعطاف لازم را از خود نشان داده و با پذیرش تغییرات در کوتاه ترین زمان ممکن، خود را به شرایط نرمال بازگرداند.
طراحی و استقرار سیستم های اطلاعاتی (Information System Design and Development) :
نقش و تأثیر بسزای اطلاعات در مقوله مدیریت، منجر به آن گشته است تا اهمیت سیستم های اطلاعاتی بیش از پیش نمود پیدا نماید. نقش اطلاعات به عنوان اصلی ترین رکن تصمیمگیری از یکسو و تغییرات سازمانی و تنوع و پیچیدگی اطلاعات از سوی دیگر، منجربه تولد نسل نوینی از سیستم های اطلاعاتی شده است که مهمترین تمایزات این نسل را میتوان شامل موارد ذیل دانست:
1. انعطاف پذیری در برابر تغییرات سازمانی.
2. نگاهی منتقدانه به فرآیندهای سازمانی و ارائه راهحلهایی برای بهبود فرآیندها.
3. ساده سازی مسیر گردش اطلاعات در سازمان و در عین حال پوشش دادن تمامی عناصر اطلاعاتی مورد نیاز.
4. روشی نوین برای مدلسازی از فرآیندهای اطلاعاتی و مستند سازی آن.
5. مدیریت اثر بخش بواسطه دراختیار داشتن المانهای پارامتریک سیستم اطلاعاتی برای مدیریان.
متدولوژی مورد نظربرای طراحی سیستم اطلاعاتی، متدولوژی شیء گرایی (Object Oriented) بوده که با روش اجرایی RUP اجرا و مدیریت می گردد.
مراحل طراحی سیستم اطلاعاتی در 3 فاز و به شرح ذیل می باشد:
- Business Modeling
- Information System Modeling
- Software Modeling
هدف از ارائه این خدمت، ارزیابی، استاندارد سازی و طراحی مجدد ساختار سیستم های اطلاعاتی سازمانهاست. نتیجه نهایی این سرویس ایجاد ساختاری از سیستم های اطلاعاتی است که:
1- در راستای دیدگاه ، مأموریت ، استراتژی ها و اهداف سازمانی است.
2- منطبق بر فرآیندهای عملیاتی سازمانی و هم راستا با فرآیندهای کسب و کار سازمان است.
3- منطبق بر نوین ترین اصول مهندسی فناوری اطلاعات و در سطوح جهانی است.
4- با توجه به شرایط محیطی و فرهنگی امکان بومی سازی برای سازمانهای ایرانی را دارا می باشد.
5- منتج به مهندسی مجدد فرآیندهای اطلاعاتی (IPR) و نیز فرآیندهای عملیاتی اشتباه سازمان است.
ICT Master Plan :
بیانیه ایست که رویکرد سازمان را در حوزه فناوری اطلاعات و ارتباطات معین می سازد. این رویکرد در نهایت منجر به تدوین برنامه های اجرائی و مدیریتی سازمان در بازه های زمانی کوتاه مدت ، میان مدت و بلند مدت خواهد بود که مسیر کلی بکارگیری این فناوری را مشخص می سازد.
تدوین این بیانه ای کار مشترکی از تخصصهای مشتمل بر مدیریت، مهندسی صنایع، فناوری اطلاعات، مهندسی شبکه، مهندسی نرم افزار و سخت افزار و نیز امنیت اطلاعات می باشد. آنچه در این بیانه ای تدوین می گردد به طور سرفصل شامل موارد ذیل است:
1- تدوین استراتژی های کلان سازمان در حوزه فناوری اطلاعات و ارتباطات در راستای استراتژی عمومی سازمان
2- تدوین درخت اهداف سازمان در حوزه ICT در قالب اهداف بلند مدت، میان مدت و کوتاه مدت
3- ترسیم وضعیت کنونی سازمان در تمامی زیر حوزه های ICT
4- تدوین وضعیت ایده آل برای بکارگیری ICT در بازه های مورد تایید با توجه به Best Practice های محلی و بین المللی
5- تدوین راهکارها و مسیر انتقال از وضعیت فعلی به وضعیت ایده آل
6- تدوین برنامه های اجرائی مورد نیاز برای رسیدن به وضعیت ایده آل در قالب پروژه های اجرائی
7- ترسیم چشم انداز کامل سازمان در زیر حوزه های اصلی ICT که شامل:
· سیستمهای اطلاعاتی الکترونیک
· بسترهای سخت افزاری مورد نیاز
· بسترهای ارتباطی و پروتکل های مورد نیاز
· سطح امنیت مورد نیاز و راهکارهای دستیابی به آن
خواهد بود.
در انتها این بیانیه شاخصی برای هر فعالیت و هر نوع سرمایه گذاری در سازمان در خصوص فناوری اطلاعات و ارتباطات خواهد بود. امروزه بیش 87% سازمانهای و کمپانی های موفق دنیا سرمایه گذاری های خود در حوزه فناوری اطلاعات و ارتباطات را صرفاً در قالب بیانیه ICT Master Plan اجرا می نمایند. این در حالیست که 92.2% شرکت های موفق جهانی در قاره آسیا، اروپا و آمریکا این بیانیه را تدوین نموده و یا در حال بروز رسانی آن می باشند.
خدمات بازرسی:
خدمات بازرسی این شرکت شامل ممیزی و ارزیابی سطح اثربخشی سیستمها، شناسایی نقصهای فنی و نیز شناسایی عدم انطباقها در حوزه الزامات استانداردها می باشد در خصوص سیستمهای ذیل ارائه میگردد:
|
ردیف |
شرح |
توضیحات |
|
1 |
ارائه خدمات ممیزی داخلی سیستم مدیریت امنیت اطلاعات |
مبتنی بر استاندارد ISO/IEC 27001 : 2005 |
|
2 |
ارائه خدمات بازرسی داخلی کنترلهای امنتیتی اطلاعات |
مبتنی بر استاندارد ISO 17799 : 2005 |
|
3 |
ارائه خدمات بازرسی فنی در خصوص ارزیابی سیستم های اطلاعاتی الکترونیک |
(Electronic Information System) |
|
4 |
ارائه خدمات بازرسی و ارزیابی اثربخشی سیستم ردیابی محصول در جریان ساخت |
مبتنی بر الزامات استاندارد ISO/TS 16949 : 2002 برای صنایع خودروسازی |
|
5 |
ممیزی سیستم های مدیریت منابع انسانی |
|