در این مقاله پیرامون ISMS که مخفف عبارت Information security management system می باشد توضیحاتی را عنوان خواهیم نمود. ISMS همان طور که از نامش پیداست، یک سیستم مدیریتی مختص به امنیت اطلاعات می باشد که برخاسته از آیین نامه ISO/IEC 27002 جهت مدیریت امنیت اطلاعات است و توسط سازمان بین المللی استانداردسازی یا همان International Organization for Standardization در سال 2000 انتشار یافته است.
در ادامه اطلاعات کامل تری را خواهید یافت.
مقدمهای بر سیستم مدیریت امنیت اطلاعات
* محرمانگی: اطمینان از اینکه منابع فقط برای افراد مجاز سازمان در دسترس میباشند.
* یکپارچگی: تامین دقت لازم و کامل بودن منابع و دادهها و روش های پرداز ش آنها
* دسترس پذیری: اطمینان از این که افراد مجاز در تمامی زمانهای تعیین شده، به منابع و دادهها و سرمایههای موجود دسترسی داشته باشند.
ISO/IEC 27001 یک استاندارد بین المللی شناخته شده برای مدیریت امنیت اطلاعات است؛ این استاندارد به طور مستقیم از استاندارد مدیریت امنیت اطلاعات (BS 7799) متعلق به موسسه استاندارد انگلستان گرفته شده است.
ISO/IEC 27001 یک استاندارد سطح بالا است که برای سیستمهای تجاری گوناگون قابل پیادهسازی می باشد. در واقع ویژگی های این استاندارد سبب می شود که در سازمانهای مختلف و در زمینه های کاربردی مختلف قابل پیاده سازی باشد.
ISO/IEC 27001 منابع و دادههای هر سازمان را به عنوان سرمایههای آن سازمان در نظر می گیرد. هدف سیستم مدیریت امنیت اطلاعات حفاظت از این سرمایه هاست تا با این کار بتوان استمرار کسب و کار را تضمین نمود، آسیب پذیری آن را به حداقل رسانیده، بازگشت سرمایه را به بالا ترین مرز ممکن خود نزدیک کرد.
طبق تعریف ISO/IEC 27001، امنیت اطلاعات به منظور تضمین سه اصل زیر مورد نیاز میباشد:
مزایای استاندارد ISO/IEC 27001:2005
امنیت اطلاعات می تواند نیازهای تجارت را در سه ضلعی محرمانگی، یکپارچگی و دسترسپذیری بر طرف سازد. در سیستم مدیریت امنیت اطلاعات، بر خلاف سیستمهای سنتی، به منظور تشخیص و جلوگیری از مواجهه با چالشهای امنیتی و بازیابی دادههای آسیب دیده به حالت اولیه خود، بهترین الگوها و مناسب ترین راهنمایی ها پس از انجام ارزیابی های مختلف در دسترس می باشند. ISO/IEC 27001 مبنایی را برای ایمن سازی سرمایههای سازمانی و روشهایی را برای مدیریت فرایند امنیت اطلاعات ارایه می نماید.
* برخورداری از یک متدولوژی سازمان یافته بین المللی برای مدیریت امنیت اطلاعات
* داشتن فرایندهای مشخص برای ارزیابی، اجرا، نگهداری و مدیریت امنیت اطلاعات
* برخورداری از مجموعه سیاست ها، استانداردها، روالها و رهنمونهای مناسب[/SIZE] ISO/IEC 27001 برای سازمانها مزایای زیر را به ارمغان می آورد:
اجزای تشکیل دهنده استاندارد ISO/IEC 27001:2005
سرمایههای سازمانی به طور روزمره با تهدیدهای متعددی مواجه هستند و این در حالی است که سازمانها روز به روز به سرمایههای خود وابسته تر می شوند. بیشتر سیستم های اطلاعاتی به خودی خود ایمن نیستند و اعمال راه حل های تکنیکی فقط بخشی از یک راه حل کلی امنیت اطلاعات می باشد.
راه اندازی تجهیزات امنیت اطلاعات بسیار ضروری است، اما برای انجام چنین کاری، هر سازمانی باید در ابتدا محیطهای تهدیدآمیز خود را شناسایی نمایند. این محیطها دامنه طراحی و پیادهسازی سیستم مدیریت امنیت اطلاعات قلمداد می شوند.
با شناسایی دامنه های مخاطرات امنیتی، برای کاهش موجبات این مخاطرات می توان کنترل های مناسبی را طراحی نمود. ISO/IEC 27001 دارای کنترل های امنیتی در 11 دامنه بسیار جامع می باشد که این 11 دامنه مبنای ارزیابی مخاطرات امنیتی و گسترش امنیت در نظر گرفته می شوند. دامنههای مذکور عبارتند از:
2. ساختار امنیت اطلاعات: Organization of Information Security
3. مدیریت سرمایه: Asset Management
4. امنیت منابع انسانی: Human Resource Security
5. امنیت فیزیکی و محیطی: Physical & Environmental Security
6. مدیریت ارتباطات و عملیات: Communications & Operations Management
7. کنترلهای دسترسی: Access Controls
8. ایجاد، پیادهسازی و نگهداری سیستمهای اطلاعاتی: Information System Acquisition, Development and Maintenance
9. مدیریت بحران امنیت اطلاعات: Information Security Incident Management
10. مدیریت تداوم کسب و کار: Business Continuity Management
11. تطابق: Compliance 1. سیاست های امنیتی Security Policy :
ISO/IEC 27001-BS 7799 مجموعه دامنه هایی را بدست می دهد که در مدیریت امنیت هر سازمان مورد نیاز میباشند. ممیزی عبارت است از نگرشی مدیریت شده به ضعفهای این نواحی که می تواند بر محرمانگی، یکپارچگی و قابلیت دسترسی سیستم های تکنولوژی اطلاعات تاثیرگذار باشد. ISO/IEC 27001 اظهار می دارد که در هر ناحیه، ممیز باید اوضاع کنونی را با توجه به معیار ها یا استاندارد های امنیتی -که می توانند سازمان را به بهترین نحو محافظت کنند- ارزیابی نماید.
استاندارد ISO/IEC 27001:2005 و یک روش پردازش برای مدیریت دادهها
یک روش پردازش، کاربران خود را برای اهمیت دادن به نکات زیر ترغیب می نماید:
* درک نیازهای امنیت داده ای در تجارت و نیاز به ایجاد سیاست ها و اهدافی برای امنیت داده ها
* اجرا و اعمال کنترل هایی در متن مدیریت تمامی مخاطرات امنیتی تجاری یک سازمان
* نظارت و بازبینی کارایی و تاثیر ISMS
* بهینه سازی پیوسته بر اساس معیارهای موردنظر.
این استاندارد از یک مدل شناخته شده تحت عنوان مدل Plan-Do-Check-Act یا PDCA به عنوان یک اصل پذیرفته شده استفاده می نماید. این مدل بایستی به تمامی فرایندهای سیستم مدیریت امنیت اطلاعات اعمال گردد. شکل زیر نشان می دهد که ISMS چگونه نیازها و انتظارات امنیت دادههای سازمان را به عنوان ورودی گرفته با انجام عملیات و فرایندهای لازم خروجی های مورد نیاز امنیت اطلاعات (مانند امنیت دادههای مدیریت شده) را فراهم می آورد.
ISO/IEC 27001 یک روش پردازشی برای ایجاد، اجرا، اعمال، نظارت، نگهداری و بهینهسازی کارایی سیستم مدیریت امنیت اطلاعات یک سازمان را ترویج میدهد. هر سازمانی برای اینکه درست کار کند، بایستی فعالیتهای زیادی را تعریف و مدیریت نماید. هر فعالیتی که برای تبدیل ورودی ها به خروجی ها با استفاده از منابع سازمان مدیریت گردد می تواند یک فرایند در نظر گرفته شود. به کار بردن مجموعهای از فرایندها در یک سازمان همراه با شناسایی و فعل و انفعالات و مدیریت آنها می تواند یک “روش پردازش” تلقی گردد
