ინფორმაციული უსაფრთხოების მართვის სისტემის საჭიროება

დღევანდელ დინამიურ სამყაროში სულ უფრო იზრდება ორგანიზაციების ინფორმაციაზე დამოკიდებულება, შესაბამისად, ინფორმაციისადმი ინტერესი და მოთხოვნებიც. ინფორმაციის დამუშავების პროცესებს მეტი სიზუსტე და სანდოობა მოეთხოვება, და, შედეგად, ორგანიზაციები თანმიმდევრულად და ეტაპობრივად დგებიან კონკრეტული მართვის მოდელებისა თუ პრაქტიკების საკუთარ საჭიროებაზე მორგებისა და დანერგვის რეალობის წინაშე. ბიზნეს პარტნიორებიც მეტი მონდომებით თანამშრომლობენ ისეთ ორგანიზაციებთან, რომლებიც ხედავენ ინფორმაციის სწორი და სანდო დამუშავების საჭიროებას და ითვალისწინებენ მას საკუთარ საქმიანობაში.

ინფორმაციული უსაფრთხოების მართვის სისტემა რეკომენდებულია ისეთი ორგანიზაციებისათვის, რომელთა საქმიანობაშიც შედის ინფორმაციის დამუშავება ან რომელთა საბოლოო პროდუქტს შეადგენს ინფორმაცია და ინფორმაციული სერვისები. რისკების სწორი შეფასებით და მოპყრობით, როლების და პასუხისმგებლობების განსაზღვრით ორგანიზაცია ოპტიმალურად მართავს საკუთარ რესურსს, რის შედეგადაც იყენებს გამოთავისუფლებულ რესურსს უფრო მნიშვნელოვან აქტივობებში. შედაგად, ორგანიზაცია საკუთარ მიზანს უფრო სწრაფად და ნაკლები დანახარჯით აღწევს. ზუსტად ამაში გამოიხატება ინფორმაციული უსაფრთხოების მართვის სისტემის დანერგვის უპირატესობა სხვა მიდგომებისგან განსხვავებით.

ინფორმაციული უსაფრთხოების მართვის სისტემის დახმარებით სარგებლის მიღება შეუძლია ნებისმიერ ორგანიზაციას მიუხედავად მისი სამართლებრივი ფორმისა (კერძო, საჯარო), ზომისა, საქმიანობისადა პროცესების სირთულისა.

სსიპ მონაცემთა გაცვლის სააგენტო და საკანონმდებლო ბაზა

ინფორმაციული უსაფრთხოების განვითარებას ემსახურება საქართველოს კანონი ინფორმაციული უსაფრთხოების შესახებ[i], რომლის მიხედვითაც ინფორმაციული უსაფრთხოების მართვის სისტემის დანერგვა სავალდებულოა ქვეყნის ფარგლებში განსაზღვრული მნიშვნელოვანი ორგანიზაციებისთვის - კრიტიკული ინფორმაციული სისტემის სუბიექტებისთვის[ii]. სხვა ორგანიზაციებისთვის კანონი ინფორმაციული უსაფრთხოების შესახებ წარმოადგენს სარეკომენდაციო ხასიათის სახელმძღვანელოს, რომლის გამოყენებაც მას შეუძლია ორგანიზაციული მართვის გასაუმჯობესებლად. კანონის მოთხოვნები ეფუძნება სტანდარტს მგს 27001:2011, რომელიც წარმოადგენსISO 27001:2005-ის ლოკალიზებულ ვერსიას.იგეგმება კანონის ცვლილება სტანდარტის განახლებული ვერსიით -ISO 27001:2013.

სსიპ მონაცემთა გაცვლის სააგენტოს ინფორმაციული უსაფრთხოებისა და პოლიტიკის სამმართველოს მიზანია საქართველოში და მის ფარგლებს გარეთ ინფორმაციული უსაფრთხოების მართვის სისტემის დანერგვა და დანერგვის ხელშეწყობა, რაც გულისხმობს რიგი აქტივობების განხორციელებას ორგანიზაციების შესაძლებლობების ზრდისა და განვითარებისთვის.

კომპეტენცია

ჩვენი გუნდის გამოცდილება აღიარებულია როგორც ქვეყნის ფარგლებში, ისევე საზღვარგარეთაც, ხოლო კომპეტენციას ადასტურებს ისეთი სერტიფიკატები როგორიცაა:

·ISACA CISM, CISA, CRISC, CGEIT

·BSI 27001 Lead Implementer/Lead Auditor,

·BSI9001 Lead Implementer/Lead Auditor,

·BSI22301 Lead Implementer/Lead Auditor

ჩვენი სერვისები

1.ინფორმაციული უსაფრთხოების შესახებ კანონის მოთხოვნების ხელშეწყობა

·კრიტიკული ინფორმაციული სისტემის სუბიექტებში, ასევე საჯაროდა კერძო სექტორში არსებულ ორგანიზაციებში ხელმძღვანელობის ცნობიერების ამაღლება (ტრენინგები, კონსულტაციები);

·კრიტიკული ინფორმაციული სისტემის სუბიექტებში, ასევე საჯაროდა კერძო სექტორში ინფორმაციული უსაფრთხოების მართვის სისტემასთან დაკავშირებული დოკუმენტაციის შემუშავება, მიმოხილვა, რეკომენდაციების გაცემა, მონიტორინგი და განვითარება.

2.ორგანიზაციებში მართვის სისტემების დანერგვა

· ISO27001 - ინფორმაციული უსაფრთხოება;

· ISO9001 - ხარისხის მართვა;

· ISO22301 - საქმიანობის (ბიზნეს) უწყვეტობა.

3.აუდიტი

·კრიტიკული ინფორმაციული სისტემის სუბიექტებში, ასევე საჯაროდა კერძო სექტორში ინფორმაციული უსაფრთხოების შესახებ კანონთან და კანონქვემდებარე აქტებთან შესაბამისობის აუდიტი;

·მართვის სისტემების აუდიტიISO9001,ISO27001,ISO22301სტანდარტის მოთხოვნებთან შესაბამისობაზე.

4.ინფორმაციული უსაფრთხოების შესახებ კანონზე და ISO 27001, ISO 19011 დაISO 31000 სტანდარტებზე დაფუძნებულიტრენინგების ჩატარება

·ინფორმაციული უსაფრთხოების მართვის სისტემა:შესავალი,დანერგვადააუდიტი - 5 დღე(დარგობრივი თანამშრომლები: ინფორმაციული უსაფრთხოების მენეჯერი);

·ინფორმაციულიუსაფრთხოებისმართვის სისტემის აუდიტი - 3 დღე (დარგობრივი თანამშრომლები: იუმს აუდიტორი);

·ინფორმაციული უსაფრთხოების რისკებისმართვა - 2 დღე (დარგობრივი თანამშრომლები: საკვანძო პერსონალი, გადაწყვეტილების მიმღები პირები, მენეჯერები).

შენიშვნა: ტრენინგები უფასოა კრიტიკული ინფორმაციული სისტემის სუბიექტების დარგობრივი თანამშრომლებისთვის (იხ. ტრენინგების გვერდი)

[i]
კანონი ინფორმაციული უსაფრთხოების შესახებ -https://matsne.gov.ge/ka/document/view/1679424

[ii]კრიტიკული ინფორმაციული სისტემის სუბიექტები -https://matsne.gov.ge/ka/document/view/2333175