سیستم مدیریت امنیت اطلاعات

فضای کسب و کار امروز بیش از هر دوره زمانی دیگری پیچیده و نامشخص است. ارتباط متقابل بین سازمان‌ها با سرعت نگران کننده‌ای در حال افزایش است. رویکرد واحدی برای سیستم‌های مدیریت وجود ندارد. به همین دلیل، در مورد نگرانی‌های امنیتی مربوط به تداوم کسب و کار، سیستم مدیریت امنیت اطلاعات (ISMS)  رویکردی مشاوره‌ای را در پیش گرفته است. تا مسائل پیچیده سازمان که معمولاً جریان کار، بهره‌وری و امنیت کلی را تحت تاثیر قرار می‌دهد، را مدیریت کند.

یک سیستم مدیریت امنیت اطلاعات (Information Security Management System) چارچوبی از سیاست‌ها و کنترل‌هایی است که امنیت و خطرات را به‌طور منظم و در کل سازمان شما، مدیریت می‌کند.

یک سیستم مدیریت امنیت اطلاعات سیاست‌ها، روش‌ها، فرآیندها و ابزارهایی را برای اطمینان از امنیت اطلاعات پایدار در شرکت‌ها و سازمان‌های دولتی و خصوصی تعریف می‌نماید، که شامل معرفی رویه‌های خاص و اجرای اقدامات سازمانی و فنی است که می‌بایست به طور مداوم کنترل، نظارت و بهبود یابد. در مورد مراحل مورد نیاز جهت بهبود وضعیت فعلی سازمان مشاوره می‌دهد. این نوع رویکردهای عملی معمولاً منجر به افزایش آگاهی از طرف سازمان هنگام اجرای پروتکل‌های جدید، کنترل‌های جدید و رویه‌های جدید می‌گردد.

هدف این است که فراتر از بخش فناوری اطلاعات، از سطح مناسب حفاظت از محرمانه بودن، در دسترس بودن و یکپارچگی اطلاعات در کل سازمان یا دامنه تعریف شده اطمینان حاصل کنیم.

بنابراین، ISMS زمینه را برای پیاده‌سازی سیستمی امنیت اطلاعات در یک شرکت و انطباق با استانداردهای امنیتی فراهم می‌نماید. تهدیدهای بالقوه مربوط به امنیت اطلاعات شناسایی، تجزیه و تحلیل و آن‌ها را قابل کنترل می‌کند.

سیستم مدیریت امنیت اطلاعات (ISMS) یک رویکرد سیستمی برای مدیریت ریسک مربوط به دارایی‌های اطلاعاتی سازمان شما فراهم می‌نماید. این اطمینان را می‌دهد که شما اقدامات (کنترل) های لازم را برای کاهش خطرات موجود در دارایی‌های خود در نظر گرفته‌اید تا تأثیر تهدیدات و حوادث خارجی / داخلی را کاهش دهید.

این کنترل‌های امنیتی می‌توانند از استانداردهای امنیتی مشترک پیروی کنند یا بیشتر و به‌صورت تخصصی‌تر، بر روی صنعت شما متمرکز شوند.  در این سیستم متناسب با نیاز از استانداردهای زیر بهره برداری می شود.

استانداردهاي ISO 27000 از برجسته ترين استانداردها و راهنماهاي فني در زمينه مديريت امنيت اطلاعات و ارتباطات محسوب مي گردند. خانواده استانداردهای مدیریت امنیت اطلاعات شامل استانداردهای بین المللی زیر می ‏شوند که با عنوان کلی فناوری اطلاعات – تکنیک ‏های امنیتی معرفی می ‏شوند:

  • ISO27000  : مقدمه و مروری بر استانداردهای خانواده ISMS به همراه تعریف واژگان رایج مورد استفاده.
  • ISO27001  : ارائه الزامات استاندارد به منظور احراز صلاحیت سازمان‏ ها جهت اخذ گواهینامه.
  • ISO27002 : مجموعه‏ ای از تجربیات موفق در زمینه ISMS و راهنمای تمرین اجرای  ISMS
  • ISO27003 : راهنمای پیاده‏سازی ISMS
  • ISO27004 :  استاندارد اندازه‏ گیری و تعیین سطح مدیریت امنیت اطلاعات.
  • ISO27005  : استاندارد مدیریت ریسک در امنیت اطلاعات.
  • ISO27006  : راهنمای مراحل دریافت گواهینامه.
  • ISO27007  : راهنمای بازرسی و نظارت بر ISMS
  • ISO27011 : راهنمایی پیاده سازی ISMS در صنعت مخابرات.
  • ISO27031 : خط مشی آماده‌ سازی تکنولوژی اطلاعات و مخابرات برای ادامه کسب و کار
  • ISO27035 :  مدیریت حوادث امنیتی
  • ISO27799 : راهنمای پیاده سازی ISMS در حوزه سلامت.

تدوین: بهنوش سعیدی

برنامه تداوم کسب و کار در امنیت اطلاعات

سازمان ها در برابر موارد اضطراری، بلایا و خطرات طبیعی یا ایجاد شده توسط انسان آسیب پذیر هستند. با درک اینکه نمی ‏توان از همه حوادث جلوگیری به عمل آورد و ممکن است برخی خطرات قابل پذیرش تشخیص داده شود، برنامه ‏ریزی مناسب جهت نگهداری یا بازیابی سرویس‏ ها هنگامی که یک اتفاق غیر منتظره یا غیر قابل اجتناب باعث اختلال در عملکرد عادی می شود، ضروری است.

برنامه ریزی تداوم کسب و کار شامل شناسایی آسیب‏ پذیری‏ها، اولویت‏ها، وابستگی‏ها و اقدامات برای توسعه برنامه‏ها جهت تسهیل تداوم و بهبودی قبل، حین و بعد از چنین اختلالی است.

برنامه‏های جامع تداوم کسب و کار برای اطمینان از تداوم عملیات در شرایط غیر عادی طراحی و اجرا می شوند. این برنامه‏ها آمادگی سازمان‏ها را برای بهبود سریع در مواجهه با حوادث یا شرایط ناگوار افزایش می دهد و تأثیر چنین شرایطی را به حداقل می رساند، همچنین  ابزاری را برای تسهیل عملکرد در حین و پس از موارد اضطراری فراهم می‏نماید.

روند توسعه معمولاً بر اساس یک چارچوب واحد انجام می شود و افراد کلیدی را در مناطق عملکردی درگیر می‏نماید. برنامه‎ها بر اساس ارزیابی ریسک و تجزیه و تحلیل تأثیرات کسب و کاری است و شامل فرایندی برای نگهداری منظم، از جمله آموزش، آزمایش/ تمرین و به روزرسانی است. علاوه بر این، امنیت اطلاعات و حریم خصوصی باید در برنامه‎ها ادغام شود. موارد زیر نمونه‏هایی از حوادثی که برنامه‏های تداوم تجارت را فعال می‎کند است:

  • سیل، آتش‏سوزی گسترده، کولاک، گردباد، طوفان، سونامی، زمین لرزه، بیماری‏های همه‏گیر، قطعی برق برای مدت زمان طولانی، طوفان‏های یخی یا گل و لای که منجر به تخلیه و غیرقابل دسترس بودن منابع مهم می شود.
  • فعالیت جنایی یا حادثه تروریستی ممکن است برای مدت زمان طولانی بر یک منطقه جغرافیایی گسترده تأثیر بگذارد.
  • یک حادثه همه‏گیر، هسته‏ای، شیمیایی یا بیولوژیکی ممکن است تحرک و دسترسی افراد را برای مدت زمان طولانی محدود کند.
  • حملات سایبری که می توانند منجر به ازبین رفتن اطلاعات، نشت اطلاعات، از دسترس خارج شدن سرویس و خدشه دارشدن اعتبار فرد و سازمان می‌شوند.
  • اتفاقات ناگزیر مربوط به فناوری اطلاعات مثل از بین رفتن تجهیزات ذخیره سازی که منجر به از دست رفتن اطلاعات سازمان می گردد.

برای شروع تدوین برنامه تداوم کسب و کار از مراحل زیر استفاده کنید.

۱٫ از رهبری سازمان تعهد و اقتدار بگیرید. پشتیبانی سطح بالا برای ساخت تیم‏های متقابل کاربردی که برای تهیه و استقرار برنامه مورد نیاز است، ضروری است.

۲٫ یک تیم برنامه‏ریزی برای هر واحد تجاری ایجاد کنید.

۳- ارزیابی ریسک را در هر واحد انجام دهید.

۴٫ منابع حیاتی را شناسایی کنید:

الف. افراد- کلیه کارکنان پشتیبانی را شناسایی کرده و یک زنجیره جانشینی را برای پرسنل اصلی ایجاد کنید.

ب. اماکن– ساختمان‏های کلیدی را شناسایی کرده و مکان‏های دیگری را برای کارگران و تجهیزات برنامه‏ریزی کنید.

ج. سیستم‏ها- برای اولویت‏بندی سیستم‏ها از نظر اهمیت، تجزیه و تحلیل تأثیر تجاری را انجام دهید.

د. سایر- سایر دارایی‏های مهم مورد نیاز برای فعالیت‏های عادی تجاری را شناسایی کنید.

۵- استراتژی‏های تداوم و بازیابی را در هر واحد تعیین کنید.

۶٫ به دانشجویان، اساتید و کارمندان آموزش دهید که در صورت بروز یک فاجعه چه کاری انجام دهند.

۷٫ تست، مانور، (آزمایش روش‏های بازیابی سیستم) انجام دهید و سناریوها را ایجاد کنید و آن‏ها را با تمرینات شبیه‏سازی کنید.

۸- یک برنامه ارتباطی ایجاد کنید.

۹٫ برنامه تداوم تجارت را سالانه مرور کنید.

یک سازمان کاملاً آماده باید طرحی تهیه کند که کلیه خدمات کلیدی و مدیریت، تحویل و پشتیبانی آن‏ها را مورد رسیدگی قرار دهد. سازمان باید در حال تدوین یا شروع طرح، شامل تعهدات، رویه‏ها ، فناوری‏ها، منابع، روش‏ها و ارتباطات ضروری برای برنامه‏ریزی توسعه، پشتیبانی و استقرار باشد.

تدوین: بهنوش سعیدی