سیستم مدیریت امنیت اطلاعات
Information Security Management System (ISMS)
اطلاعات یک دارایی است و همانند سایر داراییهای مهم سازمان دارای ارزش بوده و بنا بر این نیازمند حفاظت مناسب است.
حفاظت از اطلاعات از الزامات کسب و کار است و فقط محدود به حوزه IT (فن آوری اطلاعات ) نمی شود بلکه باید در تمام حوزه های یک سازمان به منظور رسیدن به اهداف ذیل انجام شود.
- از دیدگاه مشتریان / سهامداران : به منظور حفظ مشتریان ، جلب رضایت سهامداران
- از دیدگاه بازاریابی : به منظور حصول حاشیه رقابتی در بازارهای محصول یا خدمات
- از دیدگاه قابلیت اعتماد : اثبات به شرکای تجاری در تعهد به امنیت اطلاعات آنها
- از دیدگاه کنترلی : ابزار مدیریتی داخلی برای کنترل و اطمینان
سیستم مدیریت امنیت اطلاعات در واقع قسمتی از سیستم مدیریت کلان سازمان است که بر مبنای دیدگاه مخاطرات کسب و کار بنا شده است (اساس این سیستم، مدیریت مخاطرات میباشد) و به منظور ایجاد، پیادهسازی، اجرا، پایش، بازنگری، نگهداری و بهبود امنیت اطلاعات در سازمان، بکار میرود.
از مهمترین فواید این سیستم، میتوان به موارد ذیل اشاره نمود:
- ابزاری مدیریتی برای کنترل سیستماتیک امنیت اطلاعات.
- کمینه نمودن زیانهای وارده به کسب و کار، ناشی از عدم حفاظت اطلاعات.
- حفظ امنیت اطلاعات سازمان، در تعامل با سایر سازمانها.
- افزایش فرصتهای مرتبط با کسب و کار.
- هموار نمودن زمینههای تداوم کسب و کار.
- فراهمآوری حاشبه رقابتی در بازاریابی، جریان نقدینگی و سودآوری.
- زمینهسازی برای حضور در بازارهای جهانی.
- چارجوبی مناسب در راستای تجارت الکترونیک.
- برآوردهسازی الزامات قانونی در یک سیستم امنیت اطلاعات کنترل شده.
امنیت اطلاعات در سه لایه مطرح میشود:
- امنیت سازمانی
- امنیت سیستم فناوری اطلاعات
- امنیت اجزاء و محصولات امنیتی
استاندارد ISO/IEC 27001:2005 ( سیستم مدیریت امنیت اطلاعات) در یازده قسمت ذیل سازماندهی شده است:
- خط مشی امنیتی
- سازمان امنیت اطلاعات
- مدیریت دارائی
- امنیت منابع انسانی
- امنیت فیزیکی و محیطی
- مدیریت ارتباطات و عملیات
- کنترل دسترسی
- توسعه و نگهداری سیستمهای اطلاعاتی
- مدیریت حوادث امنیت اطلاعات
- مدیریت تداوم کسب و کار
- انطباق با الزامات قانونی
پیاده سازی این پروژه شامل 5 فاز به شرح ذیل می باشد.
1- شناخت سازمان و وضعیت موجود از نظر امنیت اطلاعات و مقایسه آن با استاندارد
2- شناسایی داراییهای شرکت و ارزیابی مخاطرات وارد بر آنها
3- پیاده سازی کنترل ها و الزامات استاندارد جهت پایین آوردن ریسک بر داراییهای اطلاعاتی
4- ممیزی، پایش و مراقبت از سیستم مدیریت امنیت اطلاعات مستقر شده
5- ممیزی جهت صدور گواهینامه استاندارد توسط یکی از موسسات معتبر
یک نظر اضافه کنید
شماره موبایل شما منتشر نخواهد شد.زمینه های مورد نیاز هستند علامت گذاری شده *
امتیاز شما