همه چیز درباره سیستم مدیریت امنیت اطلاعات (ISMS)

همه چیز درباره سیستم مدیریت امنیت اطلاعات (ISMS)

همه می‌دانیم که داده‌ها و اطلاعات یک سازمان، این روزها سرمایه‌ای بسیار مهم و با ارزش محسوب می‌شود. این را هم می‌دانیم که اطلاعات باید کاملا حفاظت شوند و به شکل کنترل شده در معرض استفاده مخاطبان قرار گیرند. برای این منظور رویکردی با عنوان سیستم مدیریت امنیت اطلاعات یا ISMS مطرح شد که شما با استفاده از آن می‌توانید امنیت اطلاعات سازمان خود را مدیریت کنید. در این مقاله قصد داریم استاندارد ISMS را به طور مفصل معرفی و بررسی کنیم.

سیستم مدیریت امنیت اطلاعات ISMS چیست؟

قبل از هر چیز باید بدانیم Isms مخفف چیست؟ استاندارد ISMS مخفف عبارت Information Security Management System و به معنی سیستم مدیریت امنیت اطلاعات است. سیستم مدیریت امنیت اطلاعات، مجموعه‌ای از سیاست‌ها، اهداف، استراتژی‌ها، مستندات شناخت و ارزیابی مخاطرات، دستورالعمل‌های سیستمی و… است که متناسب با اندازه و زمینه کاری سازمان طراحی و پیاده سازی می‌شود. سیستم ISMS وظیفه تداوم امنیت اطلاعات در سازمان را به عهده دارد.

ISMS استانداردهایی را برای ایمن سازی فضای تبادل اطلاعات در سازمان‌ها ارائه می‌دهد. این استانداردها مجموعه‌ای از دستورالعمل‌ها را شامل می‌شود تا فضای تبادل اطلاعات یک سازمان را با اجرای طرح مخصوص به آن ایمن کند.

استانداردهای مدیریت امنیت فضای تبادل اطلاعات، تعدادی استاندارد امنیتی است که به سازمان‌ها توان اجرای تکنیک‌ها و سیاست‌هایی را می‌دهد تا تعداد حملات موفق در فضای تبادل اطلاعات به حداقل برسد. در واقع این استانداردها یک چارچوب امنیتی کلی و یک سری تکنیک‌های تخصصی برای پیاده سازی «امنیت» در فضای تبادل اطلاعات فراهم می‌کنند.

مراحل پیاده سازی سیستم مدیریت امنیت اطلاعات چگونه است؟

مراحل پیاده سازی سیستم مدیریت امنیت اطلاعات isms  به 5 مرحله تقسیم می‌شود که در ادامه به معرفی این مراحل به همراه زیرمجموعه‌های آن خواهیم پرداخت.

فاز صفر: آموزش ISMS

از مهم‌ترین مواردی که در ایجاد و تداوم امنیت اطلاعات نقش موثری دارد، آموزش و آگاهی رسانی مناسب و کارآمد در راستای آشنایی و پاسخگویی پرسنل و پیمانکاران در قبال حقوق، وظایف، مسئولیت‌ها و… در برنامه امنیت اطلاعات سازمان است. هدف این مرحله آموزش و ارتقای سطح دانش و مهارت‌های مورد نیاز کارکنان سازمان در حوزه ISMS است. با این آموزش‌ها پرسنل سازمان و تیم امنیت شبکه و اطلاعات می‌توانند کلیه فعالیت‌های مربوط به مدیریت سیستم امنیت شبکه و اطلاعات را به خوبی انجام دهند.

فاز اول: شناسایی وضعیت موجود و کاهش نقاط ضعف

با بررسی و بازبینی مستندات سازمان، نوعی شناخت اولیه از سازمان صورت می‌گیرد. همچنین با استفاده از چک لیست‌ها، یک سری اطلاعات کلی در مورد وضعیت فناری اطلاعات در سازمان و شرایط فعلی شبکه به دست خواهد آمد. می‌توانیم بگوییم به طور کلی در فاز اول به توصیف وضعیت موجود سازمان در حوزه فناوری اطلاعات و فعالیت‌های مرتبط با آن پرداخته می‌شود. بازبینی و ارزیابی اولیه از میزان امنیت شبکه و اطلاعات سازمان در حوزه‌های زیر صورت می‌گیرد:

  • سطح شبکه
  • سطح سیستم
  • سطح برنامه‌های کاربردی
  • سطح بستر ارتباطی
  • سطح Connections
  • سطح رمز نگاری

فاز دوم: طراحی و تطبیق ISMS در قلمرو سیستم

در این مرحله دارایی‌ها بر اساس استاندارد، شناسایی و ارزش گذاری می‌شوند. سپس فرآیندهای سازمان برای گذار از وضعیت موجود به وضعیت مطلوب طراحی و اجرا خواهد شد. به این ترتیب، به کاهش شکاف و حرکت به سمت وضع مطلوب اقدام می‌شود.

فاز سوم: پیاده‌سازی و اجرای ISMS در زمینه موضوع قرارداد

بر اساس SOA تهیه شده در مرحله قبل، در این فاز دستورالعمل‌ها، رویه‌ها و پروژه‌های امن سازی بر اساس اواویت ابلغ شده و اجرا می‌شوند. در فاز سوم در صورت نیاز به خرید تجهیزاتی مانند انواع نرم افزار، سخت افزار، سیستم‌های پایش، پیکربندی تجهیزات و… زیر نظر سازمان تصمیم گیری شده و معمولا توسط شخص ثالث انجام می‌شود.

فاز چهارم: ممیزی، پایش و بهبود ISMS در زمینه موضوع قرارداد

پس از پیاده سازی سیستم، به فاز چهارم وارد می‌شویم. در این مرحله با توجه به چک لیست‌ها و مستندات مربوط به ممیزی استاندارد و همچنین توانمندی‌های تیم امنیت سازمان، کلیه فعالیت‌های صورت گرفته در پروژه بازبینی و بررسی می‌شوند. به این ترتیب اگر مشکل یا انحرافی نسبت به اهداف مطلوب و استاندارد وجود داشت، می‌توان به سرعت آن را برطرف کرد. بعد از بازبینی و برطرف کردن مشکلات، سازمان آماده دریافت گواهینامه بین‌المللی استاندارد ISO 27001 خواهد بود.

فاز پنجم: ممیزی توسط شرکت‌های صدور گواهینامه‌

همان طور که در مرحله قبل بیان کردیم، پس از پایان ممیزی داخلی و برطرف کردن نقطه ضعف‌ها و مشکلات موجود، سازمان می‌تواند گواهینامه بین‌المللی استاندارد ISO 27001 را دریافت کند. در این مرحله اگر مدیران سازمان تمایل داشته باشند، پس از مقایسه شرکت‌های صدور گواهینامه معتبر، از یک مرکز برای صدور گواهینامه دعوت خواهد شد.

سیستم مدیریت امنیت اطلاعات شامل چه مستنداتی است؟

اما مستندات ISMS شامل چه مواردی هستند و چند نوع از این مستندات باید در یک ساختار درست امنیتی وجود داشته باشد. بر اساس استانداردهای سیستم مدیریت امنیت اطلاعات و ارتباطات، هر سازمان باید مجموعه‌ای از این مستندات را برای خود تدوین کند که شامل موارد زیر است.

  • مستند اهداف، راهبردها و سیاست‌های امنیتی فضای تبادل اطلاعات سازمان (Security Policy)
  • مستند طرح امنیت فضای تبادل اطلاعات سازمان
  • مستند برنامه آموزش امنیتی پرسنل تشکیلات تامین امنيت فضاي تبادل اطلاعات دستگاه
  • مستند طرح کاهش مخاطرات امنیتی فضای تبادل اطلاعات دستگاه (Risk Assessment)
  • مستند برنامه آموزش و آگاهی رسانی امنیتی به پرسنل سازمان (Awareness)
  • مستند طرح مقابله با حوادث امنیتی و ترمیم مشکلات و خرابی‌های فضای تبادل اطلاعات دستگاه (Disaster Recovery)

 مزایای استقرار سیستم مدیریت امنیت اطلاعات isms چیست؟

تا اینجا دانستیم سیستم مدیریت امنیت اطلاعات باعث تداوم امنیت و اطمینان و همچنین کاهش تهدیدات و آسیب‌ها توسط ایمن سازی اطلاعات می‌شود. در این بخش مزایای سیستم ISMS را دقیق‌تر بررسی خواهیم کرد.

  • سیستم مدیریت امنیت اطلاعات، از تمام اشکال اطلاعات شامل اطلاعات دیجیتال، اطلاعات نوشته شده در اسناد و اطلاعات موجود در فضای ابری (cloud)، محافظت می‌کند.
  • برای بهره‌برداران سازمان این اطمینان را ایجاد می‌کند که مخاطرات اطلاعاتی به خوبی کنترل و مدیریت می‌شود.
  • سیستم ISMS با استفاده از راهکارهای ارزیابی ریسک (risk assessment)، به کاهش هزینه‌های ناشی از تامین امنیت اطلاعات در سازمان کمک می‌کند.
  • پیاده سازی سیستم مدیریت امنیت اطلاعات، مقاومت سازمان را در برابر انواع تهدیدات سایبری غیرسایبری افزایش می‌دهد.
  • هر چند که استاندارهای سیستم ISMS به وسیله سازمان جهانی استاندارد تهیه و تولید می‌شود، اما فرآیند ممیزی سازمان‌ها و ارائه گواهینامه ISO 27001 توسط نمایندگی‌های بین‌المللی certification bodies (CB) و مورد تایید سازمان ISO صادر می‌شود.
  • استاندارد ISO 27001 به شکلی طراحی شده که با سایر استانداردهای مدیریتی از جمله ISO 9000 و ISO/IEC20000 مطابقت و اشتراکات زیادی دارد.
  • در سیستم مدیریت امنیت اطلاعات، فرآیند ممیزی سازمان‌ها بر اساس قواعد بین المللی انجام می‌شود. به این ترتیب که حسابرس اصلی از شرکتی که نمایندگی ارائه گواهینامه را بر عهده دارد، در محل حضور پیدا کرده و موارد بسیاری را به صورت کاملا سخت گیرانه چک و بازرسی‌های لازم را انجام می‌دهد.
  • وقتی یک سازمان یا شرکت دارای گواهینامه ISO/IEC 27001 باشد، اشخاصی که قصد سرمایه‌گذاری در آن را دارند، مطمئن هستند که خطر کمتری سازمان را تهدید می‌کند. این موضوع، افزایش احساس امنیت، رضایت مشتریان و شرکای تجاری سازمان و در نهایت افزایش سود برای سازمان را به دنبال خواهد داشت.

پیاده سازی سیستم مدیریت امنیت اطلاعات ISMS چه مشکلاتی دارد؟

هر فناوری در کنار مزایای بی شمار، در مراحل نصب و پیاده سازی، مشکلاتی نیز به همراه دارد. در این بخش مشکلات پیاده سازی سیستم مدیریت امنیت اطلاعات را بررسی خواهیم کرد.

  • یکی از اصلی‌ترین موانع پیاده سازی استاندارهای سیستم ISMS ، بحث امنیت است. باید به این نکته توجه کنید که امنیت، قبل از آنکه به فناوری تبدیل شود یک فرهنگ است و برای جا افتادن نیاز به زمان زیادی دارد. شما به هیچ وجه نمی‌توانید فرهنگ بومی شده یک سازمان را در یک مرحله فوری به سازمان دیگری وارد کنید.
  • هر چند تقریبا غیرممکن است، اما اگر موفق به پیاده سازی سیستم مدیریت امنیت اطلاعات در سازمان شویم و گواهی استاندارد مربوط به آن را نیز در یک مرحله دریافت کنیم، این موارد هرگز «تداوم امنیت» را تضمین نمی‌کند. بنابراین همیشه در استانداردهای بین‌المللی از چرخه دمینگ یا PDCA استفاده می‌شود. که یک چرخه مدور و دائمی برای طراحی، آزمایش و اعمال مجدد عملیات طراحی است. این چرخه مراحل پیشبرد یک فرآیند را در چهر مرحله طراحی (Plan)، اجرا (Do)، بررسی (Check) و اقدام (Act) تبیین می‌کند. بنابراین می‌توانیم بگوییم این چرخه به شکل مداوم در حرکت است. هر بار تکرار این مراحل به بهبود مستمر سیستم کمک قابل توجهی خواهد کرد.
  • به دلیل تداوم ناامنی و تهدید همیشگی اطلاعات سازمان، باید تفکر امنیت و عملیات امن سازی در تمام ابعاد سازمان انجام شده و تداوم داشته باشد. برخی از مدیران در فضای تبادل اطلاعات سازمان، بانک اطلاعات خود را در معرض تهدید و خطر نمی‌بینند و هیچ‌گونه احساس ناامنی ندارند. طبیعی است که با این طرز فکر، حمایت جدی و همه جانبه‌ای هم‌ از پیاده سازی و تداوم استانداردهای مدیریت امنیت اطلاعات انجام نمی‌دهند.
  • به این نکته توجه کنید که امنیت چندان قابل احساس نیست. چرا که وقتی یک پروژه امنیتی انجام می‌شود، بعضی مدیران و کارشناسان سازمان احساس می‌کنند هیچ اتفاق خاصی نیفتاده، حتی ممکن است از صرف هزینه برای این پروژه‌ها شکایت کنند. در صورتی که بی توجهی به مدیریت امنیت اطلاعات سازمان، خطرات جبران ناپذیری دارد.

ملاحظه کردید که سیستم مدیریت امنیت اطلاعات یک مستند متنی است که سازمان‌ها ساختار خود را بر اساس آن پیاده سازی می‌کنند. معرفی ISMS و پیاده سازی آن در سازمان باعث ارتقای امنیت اطلاعات در حوزه‌های مختلف سازمان مانند دارایی‌های اطلاعاتی، نرم افزارها، سخت افزارها، منابع انسانی، تداوم کسب و کار، امنیت فیزیکی و… خواهد شد.

در این مطلب با اهداف سیستم مدیریت امنیت اطلاعات ISMS، استانداردها، مراحل پیاده سازی، مستندات و همچنین نقاط قوت و ضعف آن آشنا شدیم.

تاریخ دقیق:

2021-03-04 09:56:47

لینک مرجع:

https://www.irandnn.ir/mag/information-security-management-system/

خدمات الکترونیک, کسب و کار الکترونیک

اشتراک گذاری

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *