[size=2]در این مقاله پیرامون ISMS که مخفف عبارت Information security management system می باشد توضیحاتی را عنوان خواهیم نمود. ISMS همان طور که از نامش پیداست، یک سیستم مدیریتی مختص به امنیت اطلاعات می باشد که برخاسته از آیین نامه ISO/IEC 27002 جهت مدیریت امنیت اطلاعات است و توسط سازمان بین المللی استانداردسازی یا همان International Organization for Standardization در سال 2000 انتشار یافته است. در ادامه اطلاعات کامل تری  را خواهید یافت.

[size=2]مقدمه‌ای بر سیستم مدیریت امنیت اطلاعات


* محرمانگی: اطمینان از اینکه منابع فقط برای افراد مجاز سازمان در دسترس می‌باشند.
* یکپارچگی: تامین دقت لازم و کامل بودن منابع و داده‌ها و روش های پرداز ش آن‌ها
* دسترس پذیری: اطمینان از این که افراد مجاز در تمامی زمان‌های تعیین شده، به منابع و داده‌ها و سرمایه‌های موجود دسترسی داشته باشند. ISO/IEC 27001 یک استاندارد بین المللی شناخته شده برای مدیریت امنیت اطلاعات است؛ این استاندارد به طور مستقیم از استاندارد مدیریت امنیت اطلاعات (BS 7799) متعلق به موسسه استاندارد انگلستان گرفته شده است. ISO/IEC 27001 یک استاندارد سطح بالا است که برای سیستم‌های تجاری گوناگون  قابل پیاده‌سازی می باشد. در واقع  ویژگی های این استاندارد سبب می شود که در سازمان‌های مختلف و در زمینه های کاربردی مختلف قابل پیاده سازی باشد. ISO/IEC 27001 منابع و داده‌های هر سازمان را به عنوان سرمایه‌های آن سازمان در نظر می گیرد. هدف سیستم مدیریت امنیت اطلاعات حفاظت از این سرمایه‌هاست تا با این کار بتوان استمرار کسب و کار را تضمین نمود، آسیب پذیری آن را به حداقل رسانیده، بازگشت سرمایه را به بالا ترین مرز ممکن خود نزدیک کرد. طبق تعریف ISO/IEC 27001، امنیت اطلاعات به منظور تضمین سه اصل زیر مورد نیاز می‌باشد:

[size=2]مزایای استاندارد ISO/IEC 27001:2005
امنیت اطلاعات می ‌تواند نیازهای تجارت را در سه ضلعی محرمانگی، یکپارچگی و دسترس‌پذیری بر طرف سازد. در سیستم مدیریت امنیت اطلاعات،‌ بر خلاف سیستم‌های سنتی، به منظور تشخیص و جلوگیری از مواجهه با چالش‌های امنیتی و بازیابی داده‌های آسیب دیده به حالت اولیه خود، بهترین الگوها و مناسب ترین راهنمایی ‌ها پس از انجام ارزیابی ‌های مختلف در دسترس می ‌باشند. ISO/IEC 27001 مبنایی را برای ایمن سازی سرمایه‌های سازمانی و روش‌هایی را برای مدیریت فرایند امنیت اطلاعات ارایه می ‌نماید.

* برخورداری از یک متدولوژی سازمان یافته بین المللی برای مدیریت امنیت اطلاعات
* داشتن فرایندهای مشخص برای ارزیابی، اجرا، نگهداری و مدیریت امنیت اطلاعات
* برخورداری از مجموعه سیاست ها، استانداردها، روال‌ها و رهنمون‌های مناسب ISO/IEC 27001 برای سازمان‌ها مزایای زیر را به ارمغان می آورد:

[size=2]اجزای تشکیل

[size=2]دهنده استاندارد ISO/IEC 27001:2005
سرمایه‌های سازمانی به طور روزمره با تهدید‌های متعددی مواجه هستند و این در حالی است که سازمان‌ها روز به روز به سرمایه‌های خود وابسته تر می ‌شوند. بیشتر سیستم های اطلاعاتی به خودی خود ایمن نیستند و اعمال راه حل های تکنیکی فقط بخشی از یک راه حل کلی امنیت اطلاعات می باشد. راه اندازی تجهیزات امنیت اطلاعات بسیار ضروری است، اما برای انجام چنین کاری، هر سازمانی باید در ابتدا محیط‌های تهدید‌آمیز خود را شناسایی نمایند. این محیط‌ها دامنه طراحی و پیاده‌سازی سیستم مدیریت امنیت اطلاعات قلمداد می ‌شوند.
با شناسایی دامنه های مخاطرات امنیتی، برای کاهش موجبات این مخاطرات می توان کنترل های مناسبی را طراحی نمود. ISO/IEC 27001 دارای کنترل های امنیتی در 11 دامنه بسیار جامع می باشد که این 11 دامنه مبنای ارزیابی مخاطرات امنیتی و گسترش امنیت در نظر گرفته می ‌شوند. دامنه‌های مذکور عبارتند از:

2. ساختار امنیت اطلاعات: Organization of Information Security
3. مدیریت سرمایه: Asset Management
4. امنیت منابع انسانی: Human Resource Security
5. امنیت فیزیکی و محیطی: Physical & Environmental Security
6. مدیریت ارتباطات و عملیات: Communications & Operations Management
7. کنترل‌های دسترسی: Access Controls
8. ایجاد، پیاده‌سازی و نگهداری سیستم‌های اطلاعاتی: Information System Acquisition, Development and Maintenance
9. مدیریت بحران امنیت اطلاعات:  Information Security Incident Management
10. مدیریت تداوم کسب و کار: Business Continuity Management
11. تطابق: Compliance 1. سیاست های امنیتی Security Policy :

[size=2]ISO/IEC 27001-BS 7799 مجموعه دامنه هایی را بدست می دهد که در مدیریت امنیت هر سازمان مورد نیاز می‌باشند. ممیزی عبارت است از نگرشی مدیریت شده به ضعف‌های این نواحی که می ‌تواند بر محرمانگی، یکپارچگی و قابلیت دسترسی سیستم های تکنولوژی اطلاعات تاثیرگذار باشد. ISO/IEC 27001  اظهار می دارد  که در هر ناحیه، ممیز باید اوضاع کنونی را با توجه به معیار ها یا استاندارد های امنیتی -که می توانند سازمان را به بهترین نحو محافظت کنند-  ارزیابی نماید.

[size=2]استاندارد ISO/IEC 27001:2005 و یک روش پردازش برای مدیریت داده‌ها

یک روش پردازش، کاربران خود را برای اهمیت دادن به نکات زیر ترغیب می ‌نماید:
* درک نیازهای امنیت داده ای در تجارت و نیاز به ایجاد سیاست ها و اهدافی برای امنیت داده ها
* اجرا و اعمال کنترل هایی در متن مدیریت تمامی مخاطرات امنیتی تجاری یک سازمان
* نظارت و بازبینی کارایی و تاثیر ISMS
* بهینه سازی پیوسته بر اساس معیارهای موردنظر.
این استاندارد از یک مدل شناخته شده تحت عنوان مدل Plan-Do-Check-Act یا PDCA به عنوان یک اصل پذیرفته شده استفاده می ‌نماید. این مدل بایستی به تمامی فرایند‌های سیستم مدیریت امنیت اطلاعات اعمال گردد. شکل زیر نشان می  دهد که ISMS چگونه نیازها و انتظارات امنیت داده‌های سازمان را به عنوان ورودی گرفته و با انجام عملیات و فرایند‌های لازم خروجی ‌های مورد نیاز امنیت اطلاعات (مانند امنیت داده‌های مدیریت شده) را فراهم می آورد. ISO/IEC 27001 یک روش پردازشی برای ایجاد، اجرا، اعمال، نظارت، نگهداری و  بهینه‌سازی کارایی سیستم مدیریت امنیت اطلاعات یک سازمان را ترویج می‌دهد. هر سازمانی برای اینکه درست کار کند، بایستی فعالیت‌های زیادی را تعریف و مدیریت نماید. هر فعالیتی که برای تبدیل ورودی ‌ها به خروجی ‌ها با استفاده از منابع سازمان مدیریت گردد می ‌تواند یک فرایند در نظر گرفته شود. به کار بردن مجموعه‌ای از فرایند‌ها در یک سازمان همراه با شناسایی و فعل و انفعالات  و مدیریت آن‌ها می ‌تواند یک “روش پردازش” تلقی گردد.

منبع: RemisCo

IT-Zine.com