سیستم مدیریت امنیت اطلاعات (ISMS)

امروزه امنیت اطلاعات، بزرگترین چالش در عصر فناوری اطلاعات محسوب می شود و حفاظت از اطلاعات در مقابل دسترسی غیر مجاز، تغییرات، خرابکاری و افشاء، امری ضروری و اجتناب ناپذیر به شمار مي رود. از اين رو، امنیت دارایی های اطلاعاتی، برای تمامي سازمان ها امری حیاتی بوده و مستلزم یک مدیریت اثربخش می باشد.

فراهم آوری صحت و تمامیت اطلاعات، به گونه ای که در زمان مناسب، اطلاعات در دسترس افراد مجازي قرار بگيرد که نیازمند آن می باشند، عاملی است که منجر به اثربخشی کسب و کار می گردد. امنیت اطلاعات شامل سه بُعد مهم است:

1. محرمانگی  (Confidentiality)
2. یکپارچگی  (Integrity)
3. دسترس پذیری  (Availability)

استاندارد ISO/IEC 27001 زمینه مناسبی را برای طراحی و استقرار سیستم مدیریت امنیت اطلاعات و ارزیابی آن در سازمان ها و بهره گیری از منافع این رویکرد، فراهم آورده است. سیستم مدیریت برحسب امنیت اطلاعات، به یک سازمان این امکان را می دهد تا موارد زير را ایجاد نماید:

• رضایت نیازمندی های امنیتی مشتریان و سایر ذینفعان
• بهبود طرح ها و فعالیت های سازمان
• تأمین اهداف امنیت اطلاعات سازمان
• تطابق با آيین نامه ها و قوانین و مقررات مربوط به کار
• مدیریت دارایی های اطلاعاتی در یک روش سازمان یافته که به بهبود مستمر و تعدیل با اهداف سازمانی کنونی کمک می کند.

لذا ضروري است كه سیستم مدیریت امنیت اطلاعات (ISMS)، با توجه به نیازها و الزامات هر سازمان و منطبق با رویه ها و استانداردهای ISO/IEC 27001 و ISO/IEC 27002  طبق فازهای زير، طراحی و پیاده سازی شود:

1. 1.         ارزیابی و شناخت اولیه (Gap Analysis):

در فاز ارزیابی و شناخت اولیه، میزان انطباق سازمان با الزامات و کنترل های استاندارد ISO/IEC 27001  مورد بررسی قرار می گیرد. این مرحله، کمک شایانی به تعیین دامنه (scope) پیاده سازی سیستم و فاز طراحی خواهد نمود. فعالیت هایی که در این مرحله اجرا می شود، عبارتند از:

• شناسایی وضعیت موجود و ارزیابی میزان انطباق سازمان با الزامات و کنترل های استاندارد  ISO/IEC 27001
• مستندسازی و تهیه گزارش از وضعیت موجود
• تعیین دامنه (scope) پیاده سازی سیستم مدیریت امنیت اطلاعات
• تهیه و تدوین خط مشی امنیت اطلاعات
• کمک به سازماندهی و تشکیل کمیته راهبری امنیت در سازمان

1. 2.         آگاه سازی و آموزش (Awareness & Training):

در این مرحله، تمامي افراد درگیر در فرآیند پیاده سازی سیستم مدیریت امنیت اطلاعات، آموزش دیده و با مفاهیم و الزامات ISMS آشنا می شوند.

1. 3.         طراحی  ISMS (Planning & Design):

به منظور موفقیت در پیاده سازیISMS ، می بایست این سیستم را مطابق با الزامات استاندارد و نیازمندی های سازمان طراحی نمود. فعالیت هایی که در این مرحله اجرا می شود، عبارتند از:

• تهیه لیست دارایی های واقع در دامنه
• طبقه بندی و ارزش گذاری دارایی های اطلاعاتی
• تعیین و تدوین متدولوژی ارزیابی مخاطرات
• تدوین خط مشی ها، دستورالعمل ها و روش های اجرایی مورد نیاز سیستم
• تدوین طرح تداوم کسب و کار  (BCP)
• تدوین طرح برطرف سازی مخاطرات  (RTP)
• تدوین بیانیه کاربست پذیري (SOA)

1. 4.         پیاده سازی  ISMS(Implementation):

در این مرحله، کنترل ها، طرح ها و سیاست های امنیتی تهیه شده در فاز قبلی، پیاده سازی می شود.

1. 5.         ممیزی داخلی و همراهی تا صدور گواهینامه بین المللی (Internal & External Audit):

پس از پیاده سازی و استقرار کامل سیستم مدیریت امنیت اطلاعات در سازمان، سرممیزان انتخاب شده توسط سازمان، با پیش ممیزی سیستم پیاده سازی شده قبل از ممیزی نهایی، موارد انحرافی و عدم انطباق ها را شناسایی می کنند و با ارايه اقدامات اصلاحی و پیشگیرانه مناسب به منظور رفع عدم انطباق های شناسایی شده، سازمان را تا اخذ گواهینامه بین المللی ISO/IEC 27001  همراهی می نمایند.

مزایای پیاده سازی ISMS در یک سازمان:

• امنیت اطلاعات و دارایی های اطلاعاتی
• حفظ محرمانگی و در دسترس بودن اطلاعات
• حفظ اطلاعات از بروز تهدیدات، آسیب پذیری ها و مخاطرات در حد امکان
• آمادگی برای مواجه با حوادثی كه امنیت اطلاعات را به مخاطره انداخته اند.
• ایجاد اطمینان بیشتر برای مدیران، كاركنان، مشتریان و سایر ذینفعان سازمان در مورد امنیت اطلاعات
• بازگشت هزینه صرف شده برای پیاده سازی ISMS در بلند مدت
• کاهش هزینه های ترمیم خسارات ناشی از کمبود و نقص موازین امنیتی
• شناسایی، ارزیابی و حفاظت از دارایی های مهم سازمان همچون: پرسنل کلیدی، دانش پرسنل، اطلاعات سازمان و وجه و اعتبار سازمان
• اطمینان از تداوم کسب و کار و كاهش صدمات از طریق ایمن ساختن اطلاعات و كاهش تهدیدها
• امكان رقابت بهتر با سایر سازمان ها