مدیریت امنیت اطلاعات در سازمان ها

قبل از هر چیز باید بدانیم Isms مخفف چیست؟ استاندارد ISMS مخفف عبارت Information Security Management System و به معنی سیستم مدیریت امنیت اطلاعات است. سیستم مدیریت امنیت اطلاعات، مجموعه‌ای از سیاست‌ها، اهداف، استراتژی‌ها، مستندات شناخت و ارزیابی مخاطرات، دستورالعمل‌های سیستمی و… است که متناسب با اندازه و زمینه کاری سازمان طراحی و پیاده سازی می‌شود. سیستم ISMS وظیفه تداوم امنیت اطلاعات در سازمان را به عهده دارد.

ISMS استانداردهایی را برای ایمن سازی فضای تبادل اطلاعات در سازمان‌ها ارائه می‌دهد. این استانداردها مجموعه‌ای از دستورالعمل‌ها را شامل می‌شود تا فضای تبادل اطلاعات یک سازمان را با اجرای طرح مخصوص به آن ایمن کند.

استانداردهای مدیریت امنیت فضای تبادل اطلاعات، تعدادی استاندارد امنیتی است که به سازمان‌ها توان اجرای تکنیک‌ها و سیاست‌هایی را می‌دهد تا تعداد حملات موفق در فضای تبادل اطلاعات به حداقل برسد. در واقع این استانداردها یک چارچوب امنیتی کلی و یک سری تکنیک‌های تخصصی برای پیاده سازی «امنیت» در فضای تبادل اطلاعات فراهم می‌کنند.

سیستم مدیریت امنیت اطلاعات شامل چه مستنداتی است؟

 بر اساس استانداردهای سیستم مدیریت امنیت اطلاعات و ارتباطات، هر سازمان باید مجموعه‌ای از این مستندات را برای خود تدوین کند که شامل موارد زیر است.

  • مستند اهداف، راهبردها و سیاست‌های امنیتی فضای تبادل اطلاعات سازمان (Security Policy)
  • مستند طرح امنیت فضای تبادل اطلاعات سازمان
  • مستند برنامه آموزش امنیتی پرسنل تشکیلات تامین امنيت فضاي تبادل اطلاعات دستگاه
  • مستند طرح کاهش مخاطرات امنیتی فضای تبادل اطلاعات دستگاه (Risk Assessment)
  • مستند برنامه آموزش و آگاهی رسانی امنیتی به پرسنل سازمان (Awareness)
  • مستند طرح مقابله با حوادث امنیتی و ترمیم مشکلات و خرابی‌های فضای تبادل اطلاعات دستگاه (Disaster Recovery)

 مزایای استقرار سیستم مدیریت امنیت اطلاعات isms چیست؟

تا اینجا دانستیم سیستم مدیریت امنیت اطلاعات باعث تداوم امنیت و اطمینان و همچنین کاهش تهدیدات و آسیب‌ها توسط ایمن سازی اطلاعات می‌شود. در این بخش مزایای سیستم ISMS را دقیق‌تر بررسی خواهیم کرد.

  • سیستم مدیریت امنیت اطلاعات، از تمام اشکال اطلاعات شامل اطلاعات دیجیتال، اطلاعات نوشته شده در اسناد و اطلاعات موجود در فضای ابری (cloud)، محافظت می‌کند.
  • برای بهره‌برداران سازمان این اطمینان را ایجاد می‌کند که مخاطرات اطلاعاتی به خوبی کنترل و مدیریت می‌شود.
  • سیستم ISMS با استفاده از راهکارهای ارزیابی ریسک (risk assessment)، به کاهش هزینه‌های ناشی از تامین امنیت اطلاعات در سازمان کمک می‌کند.
  • پیاده سازی سیستم مدیریت امنیت اطلاعات، مقاومت سازمان را در برابر انواع تهدیدات سایبری غیرسایبری افزایش می‌دهد.
  • هر چند که استاندارهای سیستم ISMS به وسیله سازمان جهانی استاندارد تهیه و تولید می‌شود، اما فرآیند ممیزی سازمان‌ها و ارائه گواهینامه ISO 27001 توسط نمایندگی‌های بین‌المللی certification bodies (CB) و مورد تایید سازمان ISO صادر می‌شود.
  • استاندارد ISO 27001 به شکلی طراحی شده که با سایر استانداردهای مدیریتی از جمله ISO 9000 و ISO/IEC20000 مطابقت و اشتراکات زیادی دارد.
  • در سیستم مدیریت امنیت اطلاعات، فرآیند ممیزی سازمان‌ها بر اساس قواعد بین المللی انجام می‌شود. به این ترتیب که حسابرس اصلی از شرکتی که نمایندگی ارائه گواهینامه را بر عهده دارد، در محل حضور پیدا کرده و موارد بسیاری را به صورت کاملا سخت گیرانه چک و بازرسی‌های لازم را انجام می‌دهد.
  • وقتی یک سازمان یا شرکت دارای گواهینامه ISO/IEC 27001 باشد، اشخاصی که قصد سرمایه‌گذاری در آن را دارند، مطمئن هستند که خطر کمتری سازمان را تهدید می‌کند. این موضوع، افزایش احساس امنیت، رضایت مشتریان و شرکای تجاری سازمان و در نهایت افزایش سود برای سازمان را به دنبال خواهد داشت.
مطالب مرتبط