سیستم مدیریت امنیت اطلاعات (ISMS)

رشد و گسترش روزافزون فناوری اطلاعات، انقلابی را در ابعاد مختلف زندگی انسان‌ها و عملکرد سازمان‌ها ایجاد کرده است. این فناوری روش‌های کارکرد و نگرش افراد، سازمان‌ها و دولت‌ها را دگرگون ساخته و باعث ایجاد تحول در انجام امور، به وی‍‍ژه ارائه خدمات مختلف به مشتریان شده‌است. امروزه ارائه سرویس و داشتن توانایی پاسخگویی به انتظارها، یکی از نیازمندی‌های کسب و کار مطمئن است و به همین دلیل در سازمان‌ها، داشتن شبکه‌ای قوی، مؤثر و امن بسیار مهم است. کسب آمادگی کافی جهت مقابله یا اتخاذ تصمیمات مناسب در مقابل حوادث فیزیکی، جرائم سایبری، اختلالات ناشی از تغییرات و غیره در هر دو لایه زیرساخت و کاربرد فناوری اطلاعات، رهیافتی اجتناب‌ناپذیر برای تضمین پایایی کسب و کار می‌باشد. لذا امن‌سازی شبکه و سیستم‌های اطلاعاتی به یکی از مسائل مهم پیش رو و دغدغه‌های عمده مدیران فناوری اطلاعات سازمان‌ها تبدیل شده است.
مهمترین اقدام در راستای امن‌‏سازی یک سازمان، ایجاد یک چارچوب قدرتمند جهت مدیریت اقدامات امنیتی است. باید اذعان داشت که فرآیند ‌امن‏‌سازی سازمان بدون لحاظ نمودن مسائل مدیریت امنیت و بسط و گسترش آن در سطح همه بخش‌های حساس و استراتژیک سازمان میسر نیست. سیستم مدیریت امنیت اطلاعات با انتخاب کنترل‏‌های امنیتی کافی و متناسب، محافظت از دارایی‌‏های اطلاعاتی را تضمین می‌‏نماید و به این ترتیب به طرفین ذینفع اطمینان خاطر داده می‌‏شود‏. به این ترتیب راه‌حل‌های امنیتی استاندارد به تمامی سخت‌افزارها، نرم‌افزارها، ارتباطات و بسترهای آنها اعمال می‌شود تا سازمان را در جهت نیل به موفقیت در سایه داشتن محیطی امن یاری کند.
سیستم مدیریت امنیت اطلاعات (ISMS) با هدف تبیین شفاف راهکارهای امن‌سازی به منظور مدیریت مخاطره‌های امنیت اطلاعات سازمان‏‌ها در چارچوب مجموعه مخاطره‌های کسب‌و‌کار و با عنوان ارزیابی، راهبری و پشتیبانی امنیت فناوری اطلاعات درون‏‌سازمانی و برون‏‌سازمانی در یک سطح توافق شده مطرح شده است که مراحل طراحی و پیاده‌سازی سیستم لزوماً پشت سر هم نبوده و می‌تواند همپوشانی داشته باشد.
لازم به توضیح است که منظور از طراحی و پیاده‌سازی سیستم مدیریت امنیت اطلاعات ایجاد بستری جهت ایجاد هماهنگی بین کلیه پرسنل حوزۀ پروژه به منظور حرکت در جهت امنیت اطلاعات در سازمان می‌باشد و این امر محقق نمی‌شود مگر با مشارکت و همراهی کلیه کارشناسان و پشتیبانی مدیران ارشد سازمان و لذا تمامی مراحل طراحی و پیاده‌‏سازی هر پروژه توسط مشاوران سیستم و با مشارکت و همراهی کارشناسان و مدیران سازمان امکان‏‌پذیر خواهد بود و در حقیقت ضمانت اثر بخش بودن سیستم وابسته به این مشارکت می‌باشد. چرا که طبعاً سیستم مدیریت امنیت اطلاعات یک سازمان پس از اتمام پروژه و خروج مشاور از سازمان همچنان با رویکرد بهبود مستمر تداوم خواهد یافت.
لازم به ذکر است که کلیۀ مراحل استقرار سیستم مدیریت امنیت اطلاعات مبتنی بر استاندارد ISO/IEC 27001:2005 بوده و بدین جهت منطبق با چرخۀ دمینگ (PDCA) می‏‌باشد. چرخۀ دمینگ پیشبرد یک فرایند را در چهار فاز طراحی (Plan)، اجرا (Do)، بررسی (Check) و اقدام (Act) تبیین می‏‌کند که با توجه به تعریف این چرخه به طور مداوم در حرکت بوده و بارها و بارها این فازها تکرار می‏‌شوند و موجب بهبود مستمر سیستم خواهد شد. با این رویکرد می‏‌توان روند استقرار سیستم مدیریت امنیت اطلاعات را در این چهار مرحله تبیین کرد:
الف) شناخت الزامات امنیت اطلاعات و نیاز به سیاست‏‌گذاری و هدف‏‌گذاری برای امنیت اطلاعات‏.
ب) پیاده‏‌سازی و بهره‌‏برداری از موارد کنترلی به منظور مدیریت مخاطره‌های امنیت اطلاعات یک سازمان در چارچوب مجموعه مخاطره‌‏های کسب‌و‌کار سازمان‏.
پ) پایش و بازنگری اجرا و اثربخشی سیستم مدیریت امنیت اطلاعات.
ت) بهبود مستمر بر اساس اندازه‏‌گیری هدف‏.