سیستم مدیریت امنیت اطلاعات

سیستم مدیریت امنیت اطلاعات

فضای کسب و کار امروز بیش از هر دوره زمانی دیگری پیچیده و نامشخص است. ارتباط متقابل بین سازمان‌ها با سرعت نگران کننده‌ای در حال افزایش است. رویکرد واحدی برای سیستم‌های مدیریت وجود ندارد. به همین دلیل، در مورد نگرانی‌های امنیتی مربوط به تداوم کسب و کار، سیستم مدیریت امنیت اطلاعات (ISMS)  رویکردی مشاوره‌ای را در پیش گرفته است. تا مسائل پیچیده سازمان که معمولاً جریان کار، بهره‌وری و امنیت کلی را تحت تاثیر قرار می‌دهد، را مدیریت کند.

یک سیستم مدیریت امنیت اطلاعات (Information Security Management System) چارچوبی از سیاست‌ها و کنترل‌هایی است که امنیت و خطرات را به‌طور منظم و در کل سازمان شما، مدیریت می‌کند.

یک سیستم مدیریت امنیت اطلاعات سیاست‌ها، روش‌ها، فرآیندها و ابزارهایی را برای اطمینان از امنیت اطلاعات پایدار در شرکت‌ها و سازمان‌های دولتی و خصوصی تعریف می‌نماید، که شامل معرفی رویه‌های خاص و اجرای اقدامات سازمانی و فنی است که می‌بایست به طور مداوم کنترل، نظارت و بهبود یابد. در مورد مراحل مورد نیاز جهت بهبود وضعیت فعلی سازمان مشاوره می‌دهد. این نوع رویکردهای عملی معمولاً منجر به افزایش آگاهی از طرف سازمان هنگام اجرای پروتکل‌های جدید، کنترل‌های جدید و رویه‌های جدید می‌گردد.

هدف این است که فراتر از بخش فناوری اطلاعات، از سطح مناسب حفاظت از محرمانه بودن، در دسترس بودن و یکپارچگی اطلاعات در کل سازمان یا دامنه تعریف شده اطمینان حاصل کنیم.

بنابراین، ISMS زمینه را برای پیاده‌سازی سیستمی امنیت اطلاعات در یک شرکت و انطباق با استانداردهای امنیتی فراهم می‌نماید. تهدیدهای بالقوه مربوط به امنیت اطلاعات شناسایی، تجزیه و تحلیل و آن‌ها را قابل کنترل می‌کند.

سیستم مدیریت امنیت اطلاعات (ISMS) یک رویکرد سیستمی برای مدیریت ریسک مربوط به دارایی‌های اطلاعاتی سازمان شما فراهم می‌نماید. این اطمینان را می‌دهد که شما اقدامات (کنترل) های لازم را برای کاهش خطرات موجود در دارایی‌های خود در نظر گرفته‌اید تا تأثیر تهدیدات و حوادث خارجی / داخلی را کاهش دهید.

این کنترل‌های امنیتی می‌توانند از استانداردهای امنیتی مشترک پیروی کنند یا بیشتر و به‌صورت تخصصی‌تر، بر روی صنعت شما متمرکز شوند.  در این سیستم متناسب با نیاز از استانداردهای زیر بهره برداری می شود.

استانداردهاي ISO 27000 از برجسته ترين استانداردها و راهنماهاي فني در زمينه مديريت امنيت اطلاعات و ارتباطات محسوب مي گردند. خانواده استانداردهای مدیریت امنیت اطلاعات شامل استانداردهای بین المللی زیر می ‏شوند که با عنوان کلی فناوری اطلاعات – تکنیک ‏های امنیتی معرفی می ‏شوند:

  • ISO27000  : مقدمه و مروری بر استانداردهای خانواده ISMS به همراه تعریف واژگان رایج مورد استفاده.
  • ISO27001  : ارائه الزامات استاندارد به منظور احراز صلاحیت سازمان‏ ها جهت اخذ گواهینامه.
  • ISO27002 : مجموعه‏ ای از تجربیات موفق در زمینه ISMS و راهنمای تمرین اجرای  ISMS
  • ISO27003 : راهنمای پیاده‏سازی ISMS
  • ISO27004 :  استاندارد اندازه‏ گیری و تعیین سطح مدیریت امنیت اطلاعات.
  • ISO27005  : استاندارد مدیریت ریسک در امنیت اطلاعات.
  • ISO27006  : راهنمای مراحل دریافت گواهینامه.
  • ISO27007  : راهنمای بازرسی و نظارت بر ISMS
  • ISO27011 : راهنمایی پیاده سازی ISMS در صنعت مخابرات.
  • ISO27031 : خط مشی آماده‌ سازی تکنولوژی اطلاعات و مخابرات برای ادامه کسب و کار
  • ISO27035 :  مدیریت حوادث امنیتی
  • ISO27799 : راهنمای پیاده سازی ISMS در حوزه سلامت.

تدوین: بهنوش سعیدی