سیستم مدیریت امنیت اطلاعات

  • معرفی
  • پیاده سازی
  • استاندارد

تبیین شفاف راهکارهای امن سازی به منظور مدیریت مخاطره‌های امنیت اطلاعات سازمان‌ها در چارچوب مجموعه مخاطره‌های کسب و کار و با عنوان ارزیابی، راهبری و پشتیبانی امنیت فناوری اطلاعات درون سازمانی و برون سازمانی در یک سطح توافق شده.

رشد و گسترش روزافزون فناوری اطلاعات، انقلابی را در ابعاد مختلف زندگی انسان‌ها و عملکرد سازمان‌ها ایجاد کرده است. این فناوری روش‌های کارکرد و نگرش افراد، سازمان‌ها و دولت‌ها را دگرگون ساخته و باعث ایجاد تحول در انجام امور، به وی‍‍ژه ارائه خدمات مختلف به مشتریان شده‌است. امروزه ارائه سرویس و داشتن توانایی پاسخگویی به انتظارها، یکی از نیازمندی‌های کسب و کار مطمئن است و به همین دلیل در سازمان‌ها، داشتن شبکه‌ای قوی، مؤثر و امن بسیار مهم است. کسب آمادگی کافی جهت مقابله یا اتخاذ تصمیمات مناسب در مقابل حوادث فیزیکی، جرائم سایبری، اختلالات ناشی از تغییرات و غیره در هر دو لایه زیرساخت و کاربرد فناوری اطلاعات، رهیافتی اجتناب‌ناپذیر برای تضمین پایایی کسب و کار می‌باشد. لذا امن‌سازی شبکه و سیستم‌های اطلاعاتی به یکی از مسائل مهم پیش رو و دغدغه‌های عمده مدیران فناوری اطلاعات سازمان‌ها تبدیل شده است.

مهمترین اقدام در راستای امن‌‏سازی یک سازمان، ایجاد یک چارچوب قدرتمند جهت مدیریت اقدامات امنیتی است. باید اذعان داشت که فرآیند ‌امن‏‌سازی سازمان بدون لحاظ نمودن مسائل مدیریت امنیت و بسط و گسترش آن در سطح همة بخش‌های حساس و استراتژیک سازمان میسر نیست. سیستم مدیریت امنیت اطلاعات با انتخاب کنترل‏‌های امنیتی کافی و متناسب، محافظت از دارایی‌‏های اطلاعاتی را تضمین می‌‏نماید و به این ترتیب به طرفین ذینفع اطمینان خاطر داده می‌‏شود‏. در این راستا راه‌حل‌های امنیتی استاندارد به تمامی سخت‌افزارها، نرم‌افزارها، ارتباطات و بسترهای آنها اعمال می‌شود تا سازمان را در جهت نیل به موفقیت در سایة داشتن محیطی امن یاری کند.

سیستم مدیریت امنیت اطلاعات (ISMS) با هدف تبیین شفاف راهکارهای امن‌سازی به منظور مدیریت مخاطره‌های امنیت اطلاعات سازمان‏‌ها در چارچوب مجموعه مخاطره‌های کسب‌و‌کار و با عنوان ارزیابی، راهبری و پشتیبانی امنیت فناوری اطلاعات درون‏‌سازمانی و برون‏‌سازمانی در یک سطح توافق شده مطرح شده است. البته باید در نظر داشت که مراحل طراحی و پیاده‌سازی سیستم لزوماً پشت سر هم نبوده و می‌تواند همپوشانی داشته باشد.

لازم به توضیح است که منظور از طراحی و پیاده‌سازی سیستم مدیریت امنیت اطلاعات ایجاد بستری جهت ایجاد هماهنگی بین کلیه پرسنل حوزۀ پروژه به منظور حرکت در جهت امنیت اطلاعات در سازمان می‌باشد و این امر محقق نمی‌شود مگر با مشارکت و همراهی کلیه کارشناسان و پشتیبانی مدیران ارشد سازمان و لذا تمامی مراحل طراحی و پیاده‌‏سازی هر پروژه توسط مشاوران سیستم و با مشارکت و همراهی کارشناسان و مدیران سازمان امکان‏‌پذیر خواهد بود. به تعبیری ضمانت اثر بخش بودن سیستم وابسته به این درجۀ موفقیت سازمانی در ایجاد و تداوم مثبت این مشارکت می‌باشد. چرا که طبعاً سیستم مدیریت امنیت اطلاعات یک سازمان پس از اتمام پروژه و خروج مشاور از سازمان همچنان با رویکرد بهبود مستمر تداوم خواهد یافت.

لازم به ذکر است که کلیۀ مراحل استقرار سیستم مدیریت امنیت اطلاعات مبتنی بر استاندارد ISO/IEC 27001:2013 بوده و بدین جهت منطبق با چرخۀ دمینگ (PDCA) می‏‌باشد. چرخۀ دمینگ پیشبرد یک فرایند را در چهار فاز طراحی (Plan)، اجرا (Do)، بررسی (Check) و اقدام (Act) تبیین می‏‌کند که با توجه به تعریف این چرخه به طور مداوم در گردش بوده و در واقع رخ دادن مکرر این فازها است که موجب بهبود مستمر سیستم خواهد شد. با این رویکرد می‏‌توان روند استقرار سیستم مدیریت امنیت اطلاعات را در این چهار مرحله تبیین کرد:

الف) شناخت الزامات امنیت اطلاعات و تبیین فرآیندهای این حوزه‏؛

ب) پیاده‏‌سازی و بهره‌‏برداری از فرآیندهای تبیین شده در قلمرو سیستم مدیریت امنیت اطلاعات سازمان‏؛

پ) پایش و بازنگری اجرا و اثربخشی سیستم مدیریت امنیت اطلاعات؛

ت) بهبود مستمر بر اساس اندازه‏‌گیری هدف‏.

می‏توان این طور بیان نمود که گام‏های فوق که همان مراحل اجرای پروژه می‏باشند در واقع مسیر تحقق الزامات استاندارد ISO/IEC 27001:2013 هستند که از دو دستۀ کلی بندهای اصلی و بندهای کنترلی تشکیل می‏شود.

بندهای اصلی:

این بندها در بر دارندۀ الزامات غالباً سیستمی استاندارد می‏باشند که ویژگی مهم آن‏ها این است که برای هیچ سازمانی عدم انطباق با این دسته از الزامات تحت هیچ شرایطی پذیرفته نیست و در واقع بندهای اصلی استاندارد استثناپذیر نیستند. این الزامات شامل 7 بند کلی می‏باشند که در ساختار استاندارد از شمارۀ 4 الی 10 شماره‏گذاری شده‏اند.

بندهای کنترلی:

این بندها دارای جزئیات فنی بیشتری بوده و در سه حوزۀ اجرایی، فیزیکی و منطقی ورود می‏کنند. این بندها نیز به مانند بندهای اصلی الزام آور بوده و سازمان‏ها مکلف خواهند بود وضعیت جاری و سازمانی خود را با مضامین مربوطه انطباق دهند. تفاوتی که در اینجا وجود دارد این است که تحت شرایط خاص و وجود توجیهات قابل قبول برخی از بندهای کنترلی می‏توانند برای سازمان به دلیل کاربرد ناپذیر بودن استثنا شوند. به عنوان مثال ممکن است سازمانی در حیطۀ فرایندهای داخلی خود و دامنۀ سیستم ISMS هیچ فعالیتی در زمینۀ تجارت الکترونیک نداشته باشد. در این صورت مسلم است که الزامات مربوط به مبحث تجارت الکترونیک نیز برای این سازمان موضوعیت نداشته و با توجیه کاربرد ناپذیری استثنا می‏گردند. این دسته از الزامات دارای 14 حوزۀ کلی و 114 بند کنترلی است که از A5 تا A18 شماره گذاری شده‏اند.

 تهران         021 22876300         Info[at]AmnGostar-Co[dot]Ir