سیستم مدیریت امنیت اطلاعات
Information Security Management System (ISMS)
اطلاعات یک دارایی است و همانند سایر داراییهای مهم سازمان دارای ارزش بوده و بنا بر این نیازمند حفاظت مناسب است.
حفاظت از اطلاعات از الزامات کسب و کار است و فقط محدود به حوزه IT (فن آوری اطلاعات ) نمی شود بلکه باید در تمام حوزه های یک سازمان به منظور رسیدن به اهداف ذیل انجام شود.
-
از دیدگاه مشتریان / سهامداران : به منظور حفظ مشتریان ، جلب رضایت سهامداران
-
از دیدگاه بازاریابی : به منظور حصول حاشیه رقابتی در بازارهای محصول یا خدمات
-
از دیدگاه قابلیت اعتماد : اثبات به شرکای تجاری در تعهد به امنیت اطلاعات آنها
-
از دیدگاه کنترلی : ابزار مدیریتی داخلی برای کنترل و اطمینان
سیستم مدیریت امنیت اطلاعات در واقع قسمتی از سیستم مدیریت کلان سازمان است که بر مبنای دیدگاه مخاطرات کسب و کار بنا شده است (اساس این سیستم، مدیریت مخاطرات میباشد) و به منظور ایجاد، پیادهسازی، اجرا، پایش، بازنگری، نگهداری و بهبود امنیت اطلاعات در سازمان، بکار میرود.
از مهمترین فواید این سیستم، میتوان به موارد ذیل اشاره نمود:
-
ابزاری مدیریتی برای کنترل سیستماتیک امنیت اطلاعات.
-
کمینه نمودن زیانهای وارده به کسب و کار، ناشی از عدم حفاظت اطلاعات.
-
حفظ امنیت اطلاعات سازمان، در تعامل با سایر سازمانها.
-
افزایش فرصتهای مرتبط با کسب و کار.
-
هموار نمودن زمینههای تداوم کسب و کار.
-
فراهمآوری حاشبه رقابتی در بازاریابی، جریان نقدینگی و سودآوری.
- زمینهسازی برای حضور در بازارهای جهانی.
- چارجوبی مناسب در راستای تجارت الکترونیک.
- برآوردهسازی الزامات قانونی در یک سیستم امنیت اطلاعات کنترل شده.
امنیت اطلاعات در سه لایه مطرح میشود:
-
امنیت سازمانی
-
امنیت سیستم فناوری اطلاعات
-
امنیت اجزاء و محصولات امنیتی
استاندارد ISO/IEC 27001:2005 ( سیستم مدیریت امنیت اطلاعات) در یازده قسمت ذیل سازماندهی شده است:
-
خط مشی امنیتی
-
سازمان امنیت اطلاعات
-
مدیریت دارائی
-
امنیت منابع انسانی
-
امنیت فیزیکی و محیطی
-
مدیریت ارتباطات و عملیات
-
کنترل دسترسی
-
توسعه و نگهداری سیستمهای اطلاعاتی
-
مدیریت حوادث امنیت اطلاعات
-
مدیریت تداوم کسب و کار
-
انطباق با الزامات قانونی
پیاده سازی این پروژه شامل 5 فاز به شرح ذیل می باشد.
1- شناخت سازمان و وضعیت موجود از نظر امنیت اطلاعات و مقایسه آن با استاندارد
2- شناسایی داراییهای شرکت و ارزیابی مخاطرات وارد بر آنها
3- پیاده سازی کنترل ها و الزامات استاندارد جهت پایین آوردن ریسک بر داراییهای اطلاعاتی
4- ممیزی، پایش و مراقبت از سیستم مدیریت امنیت اطلاعات مستقر شده
5- ممیزی جهت صدور گواهینامه استاندارد توسط یکی از موسسات معتبر
تاریخ بروزرسانی: 1390/9/13
تعداد بازدید: 4342
