امروزه امنیت اطلاعات، بزرگترین چالش در عصر فناوری اطلاعات محسوب می شود و حفاظت از اطلاعات در مقابل دسترسی غیر مجاز، تغییرات، خرابکاری و افشاء، امری ضروری و اجتناب ناپذیر به شمار مي رود. از اين رو، امنیت دارایی های اطلاعاتی، برای تمامي سازمان ها امری حیاتی بوده و مستلزم یک مدیریت اثربخش می باشد.
فراهم آوری صحت و تمامیت اطلاعات، به گونه ای که در زمان مناسب، اطلاعات در دسترس افراد مجازي قرار بگيرد که نیازمند آن می باشند، عاملی است که منجر به اثربخشی کسب و کار می گردد. امنیت اطلاعات شامل سه بُعد مهم است:
- 1. محرمانگی (Confidentiality)
- 2. یکپارچگی (Integrity)
- 3. دسترس پذیری (Availability)
استاندارد ISO/IEC 27001 زمینه مناسبی را برای طراحی و استقرار سیستم مدیریت امنیت اطلاعات و ارزیابی آن در سازمان ها و بهره گیری از منافع این رویکرد، فراهم آورده است. سیستم مدیریت برحسب امنیت اطلاعات، به یک سازمان این امکان را می دهد تا موارد زير را ایجاد نماید:
- * رضایت نیازمندی های امنیتی مشتریان و سایر ذینفعان
- * بهبود طرح ها و فعالیت های سازمان
- * تأمین اهداف امنیت اطلاعات سازمان
- * تطابق با آيین نامه ها و قوانین و مقررات مربوط به کار
- * مدیریت دارایی های اطلاعاتی در یک روش سازمان یافته که به بهبود مستمر و تعدیل با اهداف سازمانی کنونی کمک می کند.
لذا ضروري است كه سیستم مدیریت امنیت اطلاعات (ISMS )، با توجه به نیازها و الزامات هر سازمان و منطبق با رویه ها و استانداردهای ISO/IEC 27001 و ISO/IEC 27002 طبق فازهای زير، طراحی و پیاده سازی شود:
- 1. ارزیابی و شناخت اولیه (Gap Analysis)
در فاز ارزیابی و شناخت اولیه، میزان انطباق سازمان با الزامات و کنترل های استاندارد ISO/IEC 27001 مورد بررسی قرار می گیرد. این مرحله، کمک شایانی به تعیین دامنه (scope) پیاده سازی سیستم و فاز طراحی خواهد نمود. فعالیت هایی که در این مرحله اجرا می شود، عبارتند از:
- * شناسایی وضعیت موجود و ارزیابی میزان انطباق سازمان با الزامات و کنترل های استاندارد ISO/IEC 27001
- * مستندسازی و تهیه گزارش از وضعیت موجود
- * تعیین دامنه (scope) پیاده سازی سیستم مدیریت امنیت اطلاعات
- * تهیه و تدوین خط مشی امنیت اطلاعات
- * کمک به سازماندهی و تشکیل کمیته راهبری امنیت در سازمان
- 2. آگاه سازی و آموزش (Awareness & Training)
در این مرحله، تمامي افراد درگیر در فرآیند پیاده سازی سیستم مدیریت امنیت اطلاعات، آموزش دیده و با مفاهیم و الزامات ISMS آشنا می شوند.
- 3. طراحی ISMS (Planning & Design)
به منظور موفقیت در پیاده سازیISMS ، می بایست این سیستم را مطابق با الزامات استاندارد و نیازمندی های سازمان طراحی نمود. فعالیت هایی که در این مرحله اجرا می شود، عبارتند از:
- * تهیه لیست دارایی های واقع در دامنه
- * طبقه بندی و ارزش گذاری دارایی های اطلاعاتی
- * تعیین و تدوین متدولوژی ارزیابی مخاطرات
- * تدوین خط مشی ها، دستورالعمل ها و روش های اجرایی مورد نیاز سیستم
- * تدوین طرح تداوم کسب و کار (BCP)
- * تدوین طرح برطرف سازی مخاطرات (RTP)
- * تدوین بیانیه کاربست پذیري (SOA)
- 4. پیاده سازی ISMS (Implementation )
در این مرحله، کنترل ها، طرح ها و سیاست های امنیتی تهیه شده در فاز قبلی، پیاده سازی می شود.
- 5. ممیزی داخلی و همراهی تا صدور گواهینامه بین المللی (Internal & External Audit)
پس از پیاده سازی و استقرار کامل سیستم مدیریت امنیت اطلاعات در سازمان، سرممیزان انتخاب شده توسط سازمان، با پیش ممیزی سیستم پیاده سازی شده قبل از ممیزی نهایی، موارد انحرافی و عدم انطباق ها را شناسایی می کنند و با ارايه اقدامات اصلاحی و پیشگیرانه مناسب به منظور رفع عدم انطباق های شناسایی شده، سازمان را تا اخذ گواهینامه بین المللی ISO/IEC 27001 همراهی می نمایند.
مزایای پیاده سازی ISMS در یک سازمان
- * امنیت اطلاعات و دارایی های اطلاعاتی
- * حفظ محرمانگی و در دسترس بودن اطلاعات
- * حفظ اطلاعات از بروز تهدیدات، آسیب پذیری ها و مخاطرات در حد امکان
- * آمادگی برای مواجه با حوادثی كه امنیت اطلاعات را به مخاطره انداخته اند.
- * ایجاد اطمینان بیشتر برای مدیران، كاركنان، مشتریان و سایر ذینفعان سازمان در مورد امنیت اطلاعات
- * بازگشت هزینه صرف شده برای پیاده سازی ISMS در بلند مدت
- * کاهش هزینه های ترمیم خسارات ناشی از کمبود و نقص موازین امنیتی
- * شناسایی، ارزیابی و حفاظت از دارایی های مهم سازمان همچون: پرسنل کلیدی، دانش پرسنل، اطلاعات سازمان و وجه و اعتبار سازمان
- * اطمینان از تداوم کسب و کار و كاهش صدمات از طریق ایمن ساختن اطلاعات و كاهش تهدیدها
- * امكان رقابت بهتر با سایر سازمان ها