سیستم مدیریت امنیت اطلاعات

 سیستم مدیریت امنیت اطلاعات

Information Security Management System (ISMS)

  اطلاعات یک دارایی است و همانند سایر داراییهای مهم سازمان دارای ارزش بوده و بنا بر این نیازمند حفاظت مناسب است.

 حفاظت از اطلاعات از الزامات کسب و کار است و فقط محدود به حوزه IT (فن آوری اطلاعات ) نمی شود بلکه باید در تمام حوزه های یک سازمان به منظور رسیدن به اهداف ذیل انجام شود.

• از دیدگاه مشتریان / سهامداران : به منظور حفظ مشتریان ، جلب رضایت سهامداران
• از دیدگاه بازاریابی : به منظور حصول حاشیه رقابتی در بازارهای محصول یا خدمات
• از دیدگاه قابلیت اعتماد : اثبات به شرکای تجاری در تعهد به امنیت اطلاعات آنها
• از دیدگاه کنترلی : ابزار مدیریتی داخلی برای کنترل و اطمینان

سیستم مدیریت امنیت اطلاعات در واقع قسمتی از سیستم مدیریت کلان سازمان است که بر مبنای دیدگاه مخاطرات کسب و کار بنا شده است (اساس این سیستم، مدیریت مخاطرات می‌باشد) و به منظور ایجاد، پیاده‌سازی، اجرا، پایش، بازنگری، نگهداری و بهبود امنیت اطلاعات در سازمان، بکار می‌رود.

از مهم‌ترین فواید این سیستم، می‌توان به موارد ذیل اشاره نمود:

• ابزاری مدیریتی برای کنترل سیستماتیک امنیت اطلاعات.
• کمینه نمودن زیان‌های وارده به کسب و کار، ناشی از عدم حفاظت اطلاعات.
• حفظ امنیت اطلاعات سازمان، در تعامل با سایر سازمان‌ها.
• افزایش فرصت‌های مرتبط با کسب و کار.
• هموار نمودن زمینه‌های تداوم کسب و کار.
• فراهم‌آوری حاشبه رقابتی در بازاریابی، جریان نقدینگی و سودآوری.
• زمینه‌سازی برای حضور در بازارهای جهانی.
• چارجوبی مناسب در راستای تجارت الکترونیک.
• برآورده‌سازی الزامات قانونی در یک سیستم امنیت اطلاعات کنترل شده.

امنیت اطلاعات در سه لایه مطرح می‌شود:

• امنیت سازمانی
• امنیت سیستم فناوری اطلاعات
• امنیت اجزاء و محصولات امنیتی

استاندارد ISO/IEC 27001:2005 ( سیستم مدیریت امنیت اطلاعات) در یازده قسمت ذیل سازمان‌دهی شده است:

• خط مشی امنیتی
• سازمان امنیت اطلاعات
• مدیریت دارائی‌
• امنیت منابع انسانی
• امنیت فیزیکی و محیطی
• مدیریت ارتباطات و عملیات
• کنترل دسترسی
• توسعه و نگهداری سیستم‌های اطلاعاتی
• مدیریت حوادث امنیت اطلاعات
• مدیریت تداوم کسب و کار
• انطباق با الزامات قانونی

 پیاده سازی این پروژه شامل 5 فاز به شرح ذیل می باشد.

1- شناخت سازمان و وضعیت موجود از نظر امنیت اطلاعات و مقایسه آن با استاندارد

2- شناسایی داراییهای شرکت و ارزیابی مخاطرات وارد بر آنها

3- پیاده سازی کنترل ها و الزامات استاندارد جهت پایین آوردن ریسک بر داراییهای اطلاعاتی

4- ممیزی، پایش و مراقبت از سیستم مدیریت امنیت اطلاعات مستقر شده

5- ممیزی جهت صدور گواهینامه استاندارد توسط یکی از موسسات معتبر