آشنائی با سیستم مدیریت امنیت اطلاعات
با ارائه اولین استاندارد مدیریت امنیت اطلاعات در سال 1995، نگرشی سیستماتیک نسبت به موضوعات امنیت اطلاعات ایجاد شد. بر اساس این نگرش، تامین امنیت اطلاعات در یک مجموعه سازمانی، به صورت چندباره مقدور نیست و لازم است این امر بصورت مداوم و در یک چرخه ایمن سازی انجام پذیرد. این چرخه شامل مراحل طراحی(plan)، پیاده سازی(do)، ارزیابی (check)و اصلاح (act)می باشد.
برای این منظور لازم است هر سازمان براساس یک متدولوژی مشخص، ضمن تهیه طرح ها و برنامه های امنیتی مورد نیاز، سازمان لازم را جهت ایجاد و تداوم امنیت اطلاعات خود بهوجود آورد.
مدل PDCA در فرایندهای سیستم مدیریت امنیت اطلاعات
امنیت داده ها به چهار مفهوم کلی محرمانگی، تمامیت، اعتبار و سندیت و دسترس پذیری قابل تقسیم است.
محرمانگی :
محرمانگی اطلاعات یعنی حفاظت از اطلاعات در مقابل دسترسی و استفاده غیر مجاز میباشد و تنها توسط افراد مجاز قابل دسترسی میباشد.
تمامیت :
در موضوع امنیت اطلاعات تمامیت به این معناست که داده ها نمیتواند توسط افراد غیر مجاز ساخته تغییر و یا حذف شود.تمامیت همچنین یکپارچگی داده ها که در بخش های مختلف پایگاه داداه ذخیره شده اند را تحت الشعاع قرار می دهد.
اعتبار و سندیت :
اعتبار و سندیت دلالت بر موثق بودن داده ها و نیز اصل بودن آنها دارد به طریقی که اطمینان حاصل شود داده ها کپی یا جعلی نیست.
دسترس پذیری :
دسترس پذیری به این معنی است که داده ها پایگاه های داده و سیستم های حفاظت امنیت در زمان نیاز به اطلاعات در دسترس باشد.
معرفی استاندارد ISMS
استاندارد ISMS برگرفته از Information Security Management System و به معنای سیستم مدیریت امنیت اطلاعات می باشد،این استاندارد قسمتی از سیستم مدیریت کلان ، بنا شده بر دیدگاه مدیریت مخاطرات کسب و کار و به منظور ایجاد پیاده سازی، اجرا، پایش، بازنگری، نگهداری و بهبود امنیت اطلاعات مدون (ISMS) است.
ISMS به مدیران این امکان را میدهد تا بتوانند امنیت سیستم های خود را با به حداقل رساندن مخاطرات تجاری، کنترل نمایند.
سیستم مدیریت امنیت اطلاعات، سیستمی برای پیاده سازی کنترل های امنیتی می باشد که با برقراری زیرساخت های مورد نیاز ایمنی اطلاعات را تضمین می نماید.
صدور گواهینامه اعتباردهی شده بر اساس استاندارد ISO/IEC 27001 این یک استاندارد جدید بین المللی سیستم مدیریت امنیت اطلاعات می باشد، این استاندارد بر اساس استانداردBS7799 و با ساختار مشابه سایر استانداردهای مدیریت طراحی شده است. استاندارد بیانگر الزامات در پایه گذاری، استقرار، اجرا، پایش، بازنگری، نگهداری و بهبود یک سیستم مدیریت امنیت اطلاعات در سازمان میباشد.
مشخصات کلی استاندارد:
· برمبنای فناوری اطلاعات - فنون امنیتی- سیستم مدیریت امنیت اطلاعات و الزامات می باشد.
· این استاندارد بین المللی دارای 11 هدف کنترلی میباشد و هر گروه نیز شامل چندین زیر مجموعه میباشد.گروه های کنترلی عبارتند از :
1-سیاست های امنیتی 2-امنیت سازمان 3-کنترل و طبقه بندی دارایی ها4 -امنیت منابع انسانی 5-امنیت فیزیکی و محیطی 6-مدیریت ارتباطات و عملیت ها 7-کنترل دسترسی ها 8-نگهداری سیستم های اطلاعاتی و اکتساب توسعه 9-مدیریت رویداد امنیت اطلاعات 10-مدیریت پیوسته کسب و کار 11-سازگاری با موارد قانونی.
در مجموع این استاندارد به منظور تخصیص الزامات و تعیین 133 کنترل امنیتی برای کاهش مخاطرات و اطمینان دادن به مشتریان و طرف های ذینفع تدوین شده که مشتمل بر؛ فهرستی جامع از روش های اجرایی و اقدامات امنیت اطلاعات تصدیق شده و توصیه هایی از اقدامات ساختار یافته است.
· سازگاری با سایر سیستم های مدیریتی:
این استاندارد با ISO9001:2000 و ISO 14001 به منظور پشتیبانی از پیاده سازی و اجرای یکپارچه و سازگار با استانداردهای مدیریتی مرتبط، تطبیق داده شده است.
· این استاندارد بین المللی به گونه ای طراحی شده تا یک سازمان قادر باشد سیستم مدیریت امنیت اطلاعاتش را با الزامات سیستم مدیریتی مرتبط، یکپارچه نموده یا تطبیق دهد.
· انواع اطلاعات تحت پوشش سیستم مدیریت امنیت اطلاعات:
- داخلی؛ اطلاعاتی که نمیخواهید رقبای شما از آن مطلع باشند .
- مشتریان /کاربران/تامین کنندگان ؛ اطلاعاتی که آنها تمایل ندارند شما افشا کنید
- اشتراکی؛ اطلاعاتی که لازم است با شرکای تجاری دیگر به اشتراک گذاشته شوند