سیستم مدیریت امنیت اطلاعات (ISMS)

اطلاعات در حال حاضر مهمترین گنجینه به حساب می آید. در بعضی سازمان‌ها و حتی در موارد شخصی از بین رفتن اطلاعات و حتی آسیب دیدن اطلاعات منجر به صرف زمان و نیروی کار غیر قابل تصور جهت دسترسی به آنها می شود و حتی در برخی موارد اصول کاری یک سازمان را مورد تهدید قرار می دهد.

تکنولوژی اطلاعات (IT) یک سکه دو روست . هم فرصت است و هم تهدید ! اگر به همان نسبتی که به توسعه و همه گیری اش توجه و تکیه می کنیم به “امنیت” آن توجه نکنیم می تواند به سادگی در کسری از ثانیه تبدیل به یک تهدید و مصیبت بزرگ شود.

برای پیشگیری از تهدید های امنیتی، متدها و استانداردهای مختلفی تا به حال ارائه شده است. تاریخچه ورود این استانداردها با BS 7799 شروع شده است که در دوره خود کاملترین و معروفترین استاندارد در این زمینه بوده است . این استاندارد در سال ۱۹۸۷ توسط موسسه Commercial Computer Security Center) CCSC) بخش UK Department of trade and industry تدوین گردیده، سپس با توجه به گذشت زمان و تجارب مختلف از سنجش میزان امنیت اطلاعات توسط CCSC و مرکز محاسبات بین المللی NCC و یک کنسرسیوم از کاربران، یک نسخه استاندارد امنیت با عنوان مستندات راهبری PD003 در انگلستان منتشر شد و نسخه بازنگری شده این استاندارد در سال ۱۹۹۵ با عنوان استاندارد ISO ثبت گردید و از ۱۹۹۵ تاکنون نسخه های مختلف این استاندارد توسط ISO و IEC منتشر گردید. نسخه ISO/IEC27001 سال ۲۰۰۵ آخرین نسخه ای است که جنبه صدور گواهینامه را دارد.

February 1995: BS 7799 Part 1

February 1998: BS 7799 Part 2

April 1999: BS 7799-1/-2:1999

November 2000: ISO/IEC 17799:2000

(BS 7799, Part 1, Unchanged)

September 2002: BS 7799-2:2002

June 2005: ISO/IEC 17799:2005

(BS 7799, Part 1, Unchanged)

October 2005: ISO/IEC 27001:2005

(BS 7799, Part 2, Unchanged)

July 2007: ISO/IEC 27002:2005

(ISO 17799, Unchanged)

ISO/IEC 27001:2013

سیستم مدیریت امنیت اطلاعات ISMS – ISO/IEC 27001:2013 :

سیستم مدیریت امنیت اطلاعات به مدیران این امکان را می دهد تا بتوانند مخاطرات امنیتی سیستم های خود را با به حداقل برسانند و ریسک های امنیتی و تجاری کنترل کنند.

سیستم مدیریت امنیت اطلاعات به سازمان‌ها امکان کاهش مخاطرات امنیت اطلاعات در تمامی سطوح کسب و کار و کاهش هزینه های پیشگیری و عدم انطباق های امنیتی را می دهد. که این موجب افزایش بهره وری در سازمان‌ها خواهد شد.

استاندارد ISO27001:2013 سیستم مدیریت امنیت اطلاعات را این گونه تعریف می نماید: قسمتی از یک سیستم مدیریت کلان، بنا نهاده شده بر دیدگاه مخاطرات کسب و کار، به منظور ایجاد و پیاده سازی، اجرا، پایش، بازنگری، نگهداری و بهبود امنیت اطلاعات

اهداف سیستم مدیریت امنیت اطلاعات ISMS) ISO/IEC 27001:2005) :

حرکت به سمت استقرار سیستم مدیریت امنیت اطلاعات، به عنوان یک مزیت رقابتی
دریافت گواهینامه ISO 27001:2013 ، جهت جلب اعتماد و رضایت مشتریان و ذینفعان سازمان
ارتقاء دانش و آگاهی امنیتی کارکنان سازمان
ارتقاء سطح امنیت خدمات فناوری اطلاعات بواسطه طراحی و استقرار سیستم مدیریت امنیت اطلاعات
حفظ محرمانگی، تمامیت و در دسترس پذیری اطلاعات در حوزه محدوده سیستم
اهداف خرد پروژه :

اطلاعات در برابر دسترسی های غیر مجاز محافظت خواهد شد.
محرمانه بودن اطلاعات تضمین خواهد شد.
یکپارچگی اطلاعات حفظ خواهد شد.
آموزش امنیت اطلاعات برای تمامی کارکنان در دسترس خواهد بود.
تمامی رخنه های به وجود آمده در امنیت اطلاعات، بوقوع پیوسته یا مشکوک، به مدیر امنیت اطلاعات گزارش شده و رسیدگی خواهد شد.
امنیت اطلاعات به طور پیوسته در طول زمان بهبود داده می شود.
برنامه استمرار کسب و کار تهیه،‌ نگهداری و ارزیابی خواهد شد.
استانداردهایی برای حمایت از اهداف امنیت تهیه خواهند شد.
نقش و مسئولیت برای اداره کردن امنیت اطلاعات، انجام خواهد شد.
پیاده سازی سیستم مدیریت امنیت اطلاعات ISMS) ISO/IEC 27001:2005) :

سیستم مدیریت امنیت اطلاعات به مدیران این امکان را می دهد تا بتوانند مخاطرات امنیتی سیستم های خود را با به حداقل برسانند و ریسک های امنیتی و تجاری را کنترل کنند و امکان کاهش مخاطرات امنیت اطلاعات در تمامی سطوح کسب و کار و کاهش هزینه های پیشگیری و عدم انطباق های امنیتی را می دهد. که این موجب افزایش بهره وری در سازمان خواهد شد. استاندارد ISO27001:2013 سیستم مدیریت امنیت اطلاعات را این گونه تعریف می نماید: قسمتی از یک سیستم مدیریت کلان، بنا نهاده شده بر دیدگاه مخاطرات کسب و کار، به منظور ایجاد و پیاده سازی، اجرا، پایش ، بازنگری، نگهداری و بهبود امنیت اطلاعات.

از جمله اقداماتی که جهت پیاده سازی سیستم صورت خواهد گرفت عبارت است از:

بررسی سیاست های فعلی و ارائه سیاست های مطلوب امنیت اطلاعات
بررسی نحوه ارزیابی و مدیریت مخاطرات امنیت اطلاعات، و ارائه متدلوژی مطلوب مدیریت مخاطرات
بررسی فرآیندها و روش های فعلی فناوری اطلاعات و ارائه نقشه فرآیندی مطلوب سازمان
بررسی سیاست های امنیت شبکه و کنترل و مانیتورینگ آن، و ارئه راه حل های بهبود
تشکیل کمیته های اجرایی، راهبری و نظارت و شرح مسئولیت ها
نگارش خط مشی امنیت اطلاعات و تعیین اهداف Smart امنیت اطلاعات
تدوین و طراحی متدولوژی مدیریت ریسک (Risk Management Methodology)
فهرست برداری از فعالیت های حساس تجاری و شناسایی و طبقه بندی سرمایه های (دارایی های) اطلاعاتی
شناسایی تهدیدها و آسیب پذیری های امنیتی (threats & vulnerability identification)
شناسایی و طبقه بندی ریسک های امنیتی
ارزش‌گذاری دارایی های شناسایی شده و ارزش‌گذاری آسیب پذیری و محاسبه پیامد ریسک
تدوین استراتژی های برطرف سازی ریسک (Treatments of Risk)
طراحی و معماری سیستم
مراحل طراحی کنترل های امنیتی
مدیریت حوادث امنیت اطلاعات (Information Security Incident Management process)
تهیه، نگهداری و پایش طرح های تداوم جریان کار (BCP)
طرح مدیریت بحران
آموزش دستورالعمل ها و سیاست های امنیتی به کارکنان
تهیه و ارائه لیست تجهیزات مورد نیاز (LOM) و طراحی و ارائه معماری زیر ساخت شبکه
تدوین SOA) Statement Of Applicability)
پیاده سازی خط مشی ها، فرآیندها و دستور العمل ها
آموزش حسابرسان و ممیزان داخلی سازمان
بررسی و بازنگری سیستم
اعمال اصلاحات و بهبودهای سیستم
ممیزی و همراهی تا صدور گواهینامه ISO/IEC 27001
نقشه راه پیاده سازی سیستم مدیریت امنیت اطلاعات ISMS) ISO/IEC 27001:2005) :

فاز اول : ارزیابی و شناخت اولیه Gap Analysis
فاز دوم : آگاه سازی و آموزش Awareness & Training
فاز سوم : برنامه ریزی و تحلیل شکاف Planning
فاز چهارم : فاز طراحی Design
فاز پنجم : فاز اجرای DO
فاز ششم : فاز بررسی CHECK
فاز هفتم : فاز اقدام ACT
فاز هشتم : فاز ممیزی ها و همراهی تا صدور گواهینامه Internal and External Audit