سیستم مدیریت امنیت اطلاعات یا ISO/IEC 27001 چیست؟
سیستم استاندارد ISO27001 به سازمانها و شرکتها کمک می کند تا دارایی ها و اطلاعات خود را به صورت ایمن نگهداری و اطلاعاتی مانند اطلاعات مالی، مالکیت معنوی، اطلاعات کارکنان و یا اطلاعات طبقه بندی مهم دیگر را مدیریت نمایند.
این استاندارد بین المللی تحت تأثیر نیازها و اهداف سازمان، نیازهای امنیتی، فرآیندهای سازمانی و اندازه و ساختار سازمان با ایجاد و اجرای الزامات لازم جهت اجرا و نگهداری، بهبود مستمر مدیریت امنیت اطلاعات را فراهم می نماید. تصویب ایجاد و پیاده سازی این سیستم یک تصمیم استراتژیک برای سازمان خواهد بود.
انتظار می رود عوامل تاثیرگذار بر تدوین این استاندارد به صورت دوره ای و در طول زمان دائما در حال تغییر و سازمان نیاز به مراقبت در اجرای این سیستم به صورت دايمی داشته باشد. سیستم مدیریت امنیت اطلاعات، با استفاده از فرایند مدیریت ریسک، محرمانه بودن، یکپارچگی و دسترسی اطلاعات را حفظ می کند و اعتماد به نفس را برای طرفین ذینفع ایجاد می نماید.
این موضوع مهم است که سیستم مدیریت امنیت اطلاعات بخشی از فرایندهای سازمان و ساختار مدیریت کلی است و امنیت اطلاعات در طراحی فرایندها، سیستم های اطلاعاتی و کنترل ها مورد توجه قرار گرفته می گیرد.
سیستم مدیریت امنیت اطلاعات به خودی خود یک مستند متنی بوده که بایستی بر اساس آن سازمان ها ساختار خود را پیاده سازی نمایند. از بین کنترل های موجود بایستی کنترل های متناسب با سازمان خود را انتخاب کنیم و مستند متنی به عنوان خط مشی امنیت تدوین نماییم. در نهایت پیاده سازی سیستم مدیریت امنیت اطلاعات منجر به تولید چندین مستند متنی می گردد که به نوعی می توان گفت ISMS دارای کاغذ بازی زیادی است. اما این مستندات چه بوده و چند نوع از این مستندات بایستی در یک ساختار مدیریت امنیتی درست موجود باشد ؟ بر اساس استانداردهاي مديريت امنيت اطلاعات و ارتباطات، هر دستگاه یا سازمان بايد مجموعه مستندات مديريت امنيت اطلاعات و ارتباطات را به شرح زير، براي خود ایجاد کند:
- مستند اهداف، راهبردها و سياستهاي امنيتي فضاي تبادل اطلاعات دستگاه ( Security Policy )
- مستند طرح تحليل مخاطرات امنيتي فضاي تبادل اطلاعات دستگاه ( Risk Assessment )
- مستند طرح امنيت فضاي تبادل اطلاعات دستگاه
- مستند طرح مقابله با حوادث امنيتي و ترميم خرابيهاي فضاي تبادل اطلاعات دستگاه ( Disaster Recovery)
- مستند برنامة آگاهي رساني امنيتي به پرسنل دستگاه ( Awareness )
- مستند برنامة آموزش امنيتي پرسنل تشکيلات تامين امنيت فضاي تبادل اطلاعات دستگاه
مراحل پیاده سازی
فایده پیاده سازی ISMS
اگر سازمانی بتواند سیستم مدیریت امنیت اطلاعات را به درستی پیاده سازی و مدیریت نماید، تجارتی دائمی و همراه با ریسک کمتر خواهد داشت.
فرض کنید شخصی قصد سرمایه گذاری در یک شرکت داشته ، اگر این شرکت که در کار تولید سس خاص همبرگرهای شرکت مک دونالد است فرمول ساخت سس را به درستی ایمن نگاه ندارد و رقیبان تجاری آن فرمول را بدست بیاورند این شرکت دچار تهدید و در نهایت ممکن خواهد بود بازار کار خود را از دست بدهد، بنابراین سیستم مدیریت امنیت اطلاعات ( ISMS) بصورت کلی باعث اطمينان از تداوم تجارت و کاهش صدمات توسط ايمن ساختن اطلاعات و کاهش تهديدها می گردد.
این سیستم علاوه بر موارد بالا می تواند باعث اطمينان از سازگاري با استانداردهای امنيت اطلاعات و محافظت از داده ها ، قابل اطمينان کردن تصميم گيري ها و محک زدن سيستم مديريت امنيت اطلاعات ، ايجاد اطمينان نزد مشتريان و شرکاي تجاري ،امکان رقابت بهتر با ساير شرکت ها و ايجاد مديريت فعال و پويا در پياده سازي امنيت داده ها و اطلاعات شود.
جهت پیاده سازی سیستم های امنیتی خود می توانید با ما در ارتباط باشید. [mks_button size=”large” title=”سیستم امنیت” style=”rounded” url=”https://www.greenweb.ir/solutions/security/” target=”_blank” bg_color=”#903de2″ txt_color=”#FFFFFF” icon=”fa-user” icon_type=”fa” nofollow=”0″]
خیلی خیلی مقاله ارزشمند هست. با تشکر از شما