سیستم مدیریت امنیت اطلاعات

سیستم مدیریت امنیت اطلاعات سیستم مدیریت امنیت اطلاعات

هدف نهایی سیستم مدیریت امنیت اطلاعات (ISMS) رسیدن به نقطه ی مشترکی از سه ویژگی محرمانگی، یکپارچگی و در دسترس بودن می باشد.

 

اطلاعات مانند سایر دارایی های مهم هر سازمان، داریی است که برای مدیران آن دارای ارزش بوده و لازم است به صورت مناسبی محافظت شود. سیستم مدیریت امنیت اطلاعت (ISMS) فرآیندی است که بر اساس آن از اطلاعات در مقابل تجاوزات مختلف حفاظت خواهد شد. به نحوی که از ادامه فعالیت با حداقل خسارت و حداکثر کارآیی و بهره وری و بهره برداری از فرصت های عملیاتی، اطمینان حاصل شود. اطلاعات را می توان به شکل های مختلف نگهداری کرد. می توان آن را روی کاغذ نوشت، چاپ کرد، به صورت الکترونیکی ذخیره نمود، به وسیله روش های مرسوم و یا الکترونیکی ارسال یا مخابره کرد، به وسیله فیلم به نمایش در آورد و یا آن را در قالب نوارهای صوتی ارائه نمود. بدون در نظر گرفتن قالب دریافت اطلاعات و روش به اشتراک گذاشتن و ذخیره نمودن آن، لازم است همیشه به نحو قابل قبول و متناسبی حفاظت شود.

»» چرا امنیت اطلاعات و پیاده سازی سیستم مدیریت امنیت اطلاعات (ISMS)  مورد نیاز است؟

اطلاعات، سیستم ها، شبکه ها و رویه های پشتیبانی تصمیم، از دارایی های مهم سازمان می باشند. محرمانه بودن، جامعیت و دقت و در دسترس بودن اطلاعات می تواند تاثیر فراوانی بر سودآوری، کارآیی، رقابت پذیر، قانون پذیری و افق عملیاتی سازمان داشته باشد.

سازمان، سیستم های اطلاعاتی و شبکه های ارتباطی شان به صورت روز افزون هدف تجاوزات امنیتی قرار گرفته اند. این تجاوزات دارای گستردگی فراوانی می باشد. به صورتی که از طریق سوء استفاده افراد از سیستم های رایانه ای، جاسوسی، خرابکاری، وندالیسشم و حتی سیل و آتش سوزی اثرات خود را به سیستم وارد می آورند. خرابی حاصل از حوادث مختلف از قبیل ویروس های کامپیوتری، هک کردن اطلاعات و حملات مبتنی DDOS به صورت روزمره بوجود می آیند و بیشتر و بیشتر می شوند و حتی روز به روز پیچیده تر می گردند.

هرچه وابستگی سازمان به سیستم های اطلاعاتی و سرویس های مبتنی بر ان بیشتر باشد، آسیب پذیری بیشتری در مقابل تجاوزات خواهد داشت. اتصال شبکه های عمومی و اختصاصی و به اشتراک گذاشتن منابع اطلعاتی، باعث افزایش دشواری و پیچیدگی در کنترل دسترسی ها گردیده است.

افزایش روند پردازش غیر متمرکز (توزیع شده) باعث می شود که رویه های کنترل متمرکز قبلی به تدریج کارآئی خود را از دست بدهند. درطراحی بسیاری از سیستم های اطلاعاتی، امنیت اطلاعات در نظر گرفته نشده است. امنیتی که از طریق روش های فنی به دست می آید، غالباً محدود است و لازم است برد ان توسط مدیریت مناسب رویه های از پیش تعریف شده، افزایش یابد.

جهت انتخاب مناسب ترین روش کنترلی، نیاز به دقت فراوان در شناسائی مشخصه های سیستم مورد نظر می باشد. لازم است تمامی افراد سازمان به حداقل استانداردها در مورد رعایت نکات امنیتی واقف باشند و به آن عمل کنند. همچنین ممکن است لازم باشد این آگاهی و همکاری به کلیه ی افراد سازمان هایی که به نحوی در جریان همکاری با سازمان قرار دارند ( مانند پیمانکاران، تهیه کنندگان، … ) سرایت داده شود.

به علاوه ممکن است نیاز به دریافت مشاوره امنیتی از مشاوران خارج از سازمان نیز احساس شود. در صورتیکه رویه های امنیتی در هنگام طراحی سیستم اطلاعاتی در نظر گرفته شود، هزینه ی آن به مراتب کمتر از زمانی خواهد بود که امن کردن یک سیستم موجود، مورد نظر باشد.

»» مزایای استقرار سیستم مدیریت امنیت اطلاعات ISMS

به طور اخص این سیستم جدید ، امکان بنیان ساختار قوی و مستحکم در کیه ی جهات، منجمله مدیریت مخاطرات، طراحی و پیاده سازی ساختار امنیتی و مدیریت امنیت را فراهم ساخته است.

همچنین از مزایای استقرار سیستم مدیریت امنیت اطلاعات (ISMS) می توان به موارد ذیل اشاره کرد :
.::. برتری در رقابت
.::. سود آوری
.::. مطابقت با قوانین
.::. ارائه ی وجه ای مثبت از سازمان
.::. کاهش تهدیدات
.::. محافظت موثر از دارایی های اطلاعاتی
.::. ایجاد سطح حفاظتی مطلوب و متناسب با سازمان
.::. و …

»» مدل سیستم مدیریت امنیت اطلاعات (ISMS)

این استاندارد بین المللی، از مدل فرآیند دمینگ Plan-Do-Check-Act (PDCA) اقتباس می شود که در ساختار پیاده سازی تمام مراحل سیستم مدیریت امنیت اطلاعات (ISMS) کاربرد دارد.

PDCA FARJDPDOTCOM سیستم مدیریت امنیت اطلاعات (ISMS)

»» مراحل انجام کار سیستم مدیریت امنیت اطلاعات (ISMS)

جهت پیاده سازی ُیستم مدیریت امنیت اطلاعات (ISMS) روند کلی چند مرحله ای با در نظر گرفتن موارد زیر :
الف – درک الزامات امنیت اطلاعات سازمان و نیاز به ایجاد خط مشسی و تعریف اهداف امنیت اطلاعات
ب- پیاده سازی و بکارگیری کنترل ها در قالب مدیریت مخاطرات
ج – پایش و بررسی عملکرد صحیح و اثربخشی ISMS
د – بهبود بخشی مستمر بر اساس ارزیابی اهداف

در واقع روند های فوق خط مشی های اصلی پیاده سازی سیستم هستند که مدل PDCA (برنامه، اجرا، بررسی، اقدام) را ایجاد و کادر دپارتمان امنیت شرکت نیز مطابق همین طرح فوق منطبق بر استاندارد بین المللی سیستم را در هر مرحله پیش خواهند برد.

Confidentiality Avalibility Integrity FARJADP سیستم مدیریت امنیت اطلاعات (ISMS)

در واقع هدف نهایی سیستم مدیریت امنیت اطلاعات (ISMS) رسیدن به نقطه ی مشترکی از سه ویژگی

محرمانگی / یکپارچگی / در دسترس بودن

می باشد.

تعداد بازدید از این مقاله : 2068 مرتبه