سیستم مدیریت امنیت اطلاعات یا ISO/IEC 27001 چیست؟
سیستم استاندارد ISO27001 به سازمانها و شرکتها کمک می کند تا دارایی ها و اطلاعات خود را به صورت ایمن نگهداری و اطلاعاتی مانند اطلاعات مالی، مالکیت معنوی، اطلاعات کارکنان و یا اطلاعات طبقه بندی مهم دیگر را مدیریت نمایند.
این استاندارد بین المللی تحت تأثیر نیازها و اهداف سازمان، نیازهای امنیتی، فرآیندهای سازمانی و اندازه و ساختار سازمان با ایجاد و اجرای الزامات لازم جهت اجرا و نگهداری، بهبود مستمر مدیریت امنیت اطلاعات را فراهم می نماید. تصویب ایجاد و پیاده سازی این سیستم یک تصمیم استراتژیک برای سازمان خواهد بود.
انتظار می رود عوامل تاثیرگذار بر تدوین این استاندارد به صورت دوره ای و در طول زمان دائما در حال تغییر و سازمان نیاز به مراقبت در اجرای این سیستم به صورت دایمی داشته باشد. سیستم مدیریت امنیت اطلاعات، با استفاده از فرایند مدیریت ریسک، محرمانه بودن، یکپارچگی و دسترسی اطلاعات را حفظ می کند و اعتماد به نفس را برای طرفین ذینفع ایجاد می نماید.
این موضوع مهم است که سیستم مدیریت امنیت اطلاعات بخشی از فرایندهای سازمان و ساختار مدیریت کلی است و امنیت اطلاعات در طراحی فرایندها، سیستم های اطلاعاتی و کنترل ها مورد توجه قرار گرفته می گیرد.
سیستم مدیریت امنیت اطلاعات به خودی خود یک مستند متنی بوده که بایستی بر اساس آن سازمان ها ساختار خود را پیاده سازی نمایند. از بین کنترل های موجود بایستی کنترل های متناسب با سازمان خود را انتخاب کنیم و مستند متنی به عنوان خط مشی امنیت تدوین نماییم. در نهایت پیاده سازی سیستم مدیریت امنیت اطلاعات منجر به تولید چندین مستند متنی می گردد که به نوعی می توان گفت ISMS دارای کاغذ بازی زیادی است. اما این مستندات چه بوده و چند نوع از این مستندات بایستی در یک ساختار مدیریت امنیتی درست موجود باشد ؟ بر اساس استانداردهای مدیریت امنیت اطلاعات و ارتباطات، هر دستگاه یا سازمان باید مجموعه مستندات مدیریت امنیت اطلاعات و ارتباطات را به شرح زیر، برای خود ایجاد کند:
- مستند اهداف، راهبردها و سیاستهای امنیتی فضای تبادل اطلاعات دستگاه ( Security Policy )
- مستند طرح تحلیل مخاطرات امنیتی فضای تبادل اطلاعات دستگاه ( Risk Assessment )
- مستند طرح امنیت فضای تبادل اطلاعات دستگاه
- مستند طرح مقابله با حوادث امنیتی و ترمیم خرابیهای فضای تبادل اطلاعات دستگاه ( Disaster Recovery)
- مستند برنامه آگاهی رسانی امنیتی به پرسنل دستگاه ( Awareness )
- مستند برنامه آموزش امنیتی پرسنل تشکیلات تامین امنیت فضای تبادل اطلاعات دستگاه
مراحل پیاده سازی
فایده پیاده سازی ISMS
اگر سازمانی بتواند سیستم مدیریت امنیت اطلاعات را به درستی پیاده سازی و مدیریت نماید، تجارتی دائمی و همراه با ریسک کمتر خواهد داشت.
فرض کنید شخصی قصد سرمایه گذاری در یک شرکت داشته ، اگر این شرکت که در کار تولید سس خاص همبرگرهای شرکت مک دونالد است فرمول ساخت سس را به درستی ایمن نگاه ندارد و رقیبان تجاری آن فرمول را بدست بیاورند این شرکت دچار تهدید و در نهایت ممکن خواهد بود بازار کار خود را از دست بدهد، بنابراین سیستم مدیریت امنیت اطلاعات ( ISMS) بصورت کلی باعث اطمینان از تداوم تجارت و کاهش صدمات توسط ایمن ساختن اطلاعات و کاهش تهدیدها می گردد.
این سیستم علاوه بر موارد بالا می تواند باعث اطمینان از سازگاری با استانداردهای امنیت اطلاعات و محافظت از داده ها ، قابل اطمینان کردن تصمیم گیری ها و محک زدن سیستم مدیریت امنیت اطلاعات ، ایجاد اطمینان نزد مشتریان و شرکای تجاری ،امکان رقابت بهتر با سایر شرکت ها و ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات شود.
جهت پیاده سازی سیستم های امنیتی خود می توانید با ما در ارتباط باشید. سیستم امنیت
خیلی خیلی مقاله ارزشمند هست. با تشکر از شما