كمي كه ادامه داشته باشد بهتر از زيادي است كه خسته كننده باشد.                      امام علي عليه السلام

نوشته‌های تازه

آخرین دیدگاه‌ها

    بایگانی

    دسته‌ها

    بایگانی

    ISMS چيست؟

       در ابتدا واژه سیستم را تعریف می کنیم و کلیات موضوع سیستم مدیریت امنیت اطلاعات و اجزاء آن را برای شما شرح خواهیم داد

    .

    تعریف سیستم یا System و استاندارد

       سیستم به معنی مجموعه ای از اجزاء است که برای رسیدن به هدف خاصی در کنار هم جمع شده اند. در واقع سیستم مدیریت امنیت اطلاعات نیز از مجموعه ای از اجزاء تشکیل شده است که برای رسیدن به هدف خاصی که در اینجا برقراری و مدیریت امنیت اطلاعات سازمان یا شرکت شما می باشد در کنار هم جمع شده اند. سیستم مدیریت امنیت یک ساختار استاندارد و تعریف شده است و این بدین معنا می باشد که ما به خودی خود نمی توانیم تعیین کنیم چگونه اطلاعات بایستی امن شوند و یک معیار و پایه و اساس برای اینکار بایستی تعریف شود. تعریف کردن این معیارها بر عهده یک سازمان بین المللی است که استانداردها در آن تهیه و تنظیم می شوند و این سازمان جایی نیست به غیر از سازمان ISO یا International Standardization Organization، این سازمان وظیفه تدوین استاندارد های یکپارچه در دنیا را بر عهده دارد، تا به حال هر استانداردی که شنیده اید در این سازمان تعریف و تدوین شده است، قطعا با ISO 9000 یا استاندارد کیفیت کالا آشنایی دارید ، همین نوع استاندارد برای مدیریت سیستم امنیت اطلاعات با کد ISO 27000 تعریف شده است که در ادامه با آن آشنا خواهید شد.

    .

    ساختار یک استاندارد به چه شکل است ؟

       همه استانداردها ساختاری شبیه به هم دارند اما از نظر محتوایی متفاوت هستند. در همه استانداردهای بین المللی ISO یک سری کنترل وجود دارد که بیانگر معیارهایی است که برای پیاده سازی استانداردها مورد نیاز است، برای مثال یکی از کنترل های سیستم مدیریت امنیت اطلاعات این است که بایستی بر روی امنیت فیزیکی درب های ورود و خروج ساختمان کنترل انجام شود. بنابراین کنترل ها معیار را برای ما تشریح می کنند اما چگونگی انجام شدن آن را تعریف نمی کنند و این یک اصل است. هر استانداردی برای خود دارای یک سری کنترل است که در قالب سرفصل هایی ارائه می شوند. همیشه در تمامی سازمان ها لازم نیست تمامی این معیارها رعایت شود تا بتوانید سیستم مدیریتی خود را پیاده سازی کنید، شما بر حسب سرویس و نیازی که دارید از بین این کنترل ها، آنهایی که در محیط شما قابل استفاده هستند را انتخاب و شروع به پیاده سازی می کنید. اما بعد از اینکه شما از بین کنترل های موجود، آنهایی که مورد نیازتان هستند را انتخاب کردید ، بایستی آنها را بصورت مدون و مرتب تشریح کنید و بر حسب نیاز خودتان آن را بهینه سازی و تدوین کنید. بعد از اینکه تمامی این مراحل انجام شد یک مستند متنی به وجود می آید که به آن خط مشی یا Policy گفته می شود و شما ساختار استاندارد سازمان را بر اساس آن تعریف می کنید. خط مشی امنیت اطلاعات که به بیانیه امنیت اطلاعات نیز معروف است در واقع الگوی اصلی است که شما در حوزه امنیت اطلاعات برای سازمان خود تدوین می کنید تا بر اساس آن امنیت اطلاعات خود را مدیریت کنید. توجه کنید که در این مستند چگونگی برقراری امنیت تشریح نشده است، چگونگی انجام و پیاده سازی امنیت در مستندی جداگانه به نام دستورالعمل امنیت اطلاعات تشریح می شود.

    .

    سیستم مدیریت امنیت اطلاعات ISMS
    مفهوم سیستم مدیریت اطلاعات عبارت است از:
        بخشی از سیستم مدیریت کلی و سراسری در یک سازمان است که بر پایه ی رویکرد مخاطرات کسب و کار قرار داشته و هدف آن پایه گذاری، پیاده سازی، بهره برداری، نظارت، بازبینی، نگهداری و بهبود امنیت اطلاعات است. سیستم مدیریت امنیت اطلاعات در مجموع یک رویکرد نظام مند به مدیریت اطلاعات حساس به منظور محافظت از آن هاست.امنیت اطلاعات چیزی فراتر از نصب یک دیواره ی آتش ساده یا عقد قرارداد با یک شرکت امنیتی است. در چنین رویکردی بسیار مهم است که فعالیت های گوناگون امنیتی را با راهبردی مشترک به منظور تدارک یک سطح بهینه از حفاظت هم راستا کنیم.

    .

    فواید استفاده از سیستم مدیریت امنیت اطلاعات ( ISMS ) چیست ؟

        طبیعی است که شما زمانیکه به یک کشور خارجی سفر می کنید یکی از مهمترین معیارها برقرار بودن امنیت در آن کشور است، همین موضوع باعث ترقیب شدن توریست ها برای سفر کردن و سرمایه گذاری در آن کشور می شود. در خصوص سازمان ها هم به همین شکل است، اگر سازمانی بتواند سیستم مدیریت امنیت اطلاعات را به درستی پیاده سازی و مدیریت کند تجارتی دائمی و همراه با ریسک کمتر خواهد داشت، تصور کنید شخصی قصد سرمایه گذاری در یک شرکت را دارد، اگر این شرکت که در کار تولید مواد اولیه رنگ پلاستیک است فرمول ساخت رنگ را به درستی امن نگاه ندارد و رقیبان تجاری آن فرمول را بدست بیاورند این شرکت دچار تهدید و در نهایت ممکن است بازار کار خود را از دست بدهد، بنابراین سیستم مدیریت امنیت اطلاعات ( ISMS) بصورت کلی باعث اطمينان از تداوم تجارت و کاهش صدمات توسط ايمن ساختن اطلاعات و کاهش تهديدها می شود. پیاده سازی سیستم مدیریت امنیت اطلاعات علاوه بر موارد بالا می تواند باعث اطمينان از سازگاري با استانداردهای امنيت اطلاعات و محافظت از داده ها، قابل اطمينان کردن تصميم گيري ها و محک زدن سيستم مديريت امنيت اطلاعات، ايجاد اطمينان نزد مشتريان و شرکاي تجاري، امکان رقابت بهتر با ساير شرکت ها و ايجاد مديريت فعال و پويا در پياده سازي امنيت داده ها و اطلاعات شود.

    .

    سیستم مدیریت امنیت اطلاعات یا ISMS شامل چه مستنداتی است ؟

       همانطور که اشاره کردیم، سیستم مدیریت امنیت اطلاعات به خودی خود یک مستند متنی است که بایستی بر اساس آن سازمان ها ساختار خود را پیاده سازی کنند. در ادامه گفتیم که از بین کنترل های موجود بایستی کنترل های متناسب با سازمان خود را انتخاب کنیم و مستند متنی به عنوان خط مشی امنیت تدوین کنیم. در نهایت پیاده سازی سیستم مدیریت امنیت اطلاعات منجر به تولید چندین مستند متنی می شود که به نوع می توان گفت ISMS دارای کاغذ بازی زیادی است. اما این مستندات چه هستند و چند نوع از این مستندات بایستی در یک ساختار مدیریت امنیتی درست وجود داشته باشد؟ بر اساس استانداردهاي مديريت امنيت اطلاعات و ارتباطات، هر دستگاه یا سازمان بايد مجموعه مستندات مديريت امنيت اطلاعات و ارتباطات را به شرح زير، براي خود تدوين نمايد:
    1- مستند اهداف، راهبردها و سياستهاي امنيتي فضاي تبادل اطلاعات دستگاه ( Security Policy )

    2- مستند طرح تحليل مخاطرات امنيتي فضاي تبادل اطلاعات دستگاه ( Risk Assessment )

    3- مستند طرح امنيت فضاي تبادل اطلاعات دستگاه

    4- مستند طرح مقابله با حوادث امنيتي و ترميم خرابيهاي فضاي تبادل اطلاعات دستگاه ( Disaster Recovery)

    5- مستند برنامة آگاهي رساني امنيتي به پرسنل دستگاه ( Awareness )

    6- مستند برنامة آموزش امنيتي پرسنل تشکيلات تامين امنيت فضاي تبادل اطلاعات دستگاه

    .

    منبع: سايت انجمن تخصصي فناوري اطلاعات ايران

    سه شنبه ۲۶ خرداد ۱۳۹۴آموزش، مقالات و مطالب مدیریتی۸۶۰ بازديد
    کد امنیتی
    CAPTCHA
     برچسبها
     نوشته های مشابه و مرتبط
    قم، بلوار عمارياسر، مجتمع تجاري زمزم، طبقه 4، واحد 258
    تلفن : 37749296(25)98+
    فاكس : 37749177(25)98+
    مدیریت : info@parsasystem.net
    فروش : sales@parsasystem.net
    the logothe logothe logothe logothe logothe logothe logo