قالب وردپرس پوسته وردپرس قالب فروشگاهی وردپرس وردپرس
خانه / دسته‌بندی نشده / نظام مديريت امنيت اطلاعات

نظام مديريت امنيت اطلاعات

نظام مديريت امنيت اطلاعات ISMS ، در مجموع يك رويكرد نظام‌مند به مديريت اطلاعات حساس بمنظور محافظت از آنهاست. امنيت اطلاعات چيزي فراتر از نصب يك ديواره آتش ساده يا عقد قرارداد با يك شركت امنيتي است . در چنين رويكردي بسيار مهم است كه فعاليتهاي گوناگون امنيتي را با راهبردي مشترك به‌منظور تدارك يك سطح بهينه از حفاظت همراستا كنيم . نظام مديريتي مذكور بايد شامل روشهاي ارزيابي، محافظت، مستند‌سازي و بازنگري باشد ، كه اين مراحل در قالب يك چرخه PDCA(PLAN-DO-CHECK-ACT) تحقق پذير است. (چرخه يادشده نقش محوري در تشريح و تحقق استاندارد ISO9001 دارد‌. )
_ برنامه ريزي Plan :
– تعريف چشم‌انداز نظام مديريتي و سياستهاي امنيتي سازمان.
– تعيين و ارزيابي مخاطرات.
– انتخاب اهداف كنترل و آنچه سازمان را در مديريت اين مخاطرات ياري مي‌كند.
– آماده‌سازي شرايط اجرايي.
_ انجام Do:
– تدوين و اجراي يك طرح براي تقليل مخاطرات.
– اجراي طرحهاي كنترلي انتخابي براي تحقق اهداف كنترلي.
_ ارزيابي Check :
– استقرار روشهاي نظارت و پايش.
– هدايت بازنگريهاي ادواري به‌منظور ارزيابي اثربخشي ISMS.
– بازنگري درحد قابل قبول مخاطرات.
– پيشبرد و هدايت مميزيهاي داخلي به‌منظور ارزيابي تحقق ISMS.
_ بازانجام Act:
– اجراي توصيه‌هاي ارائه شده براي بهبود.
– نظام مديريتي مذكور.
– انجام اقدامات اصلاحي و پيشگيرانه.
– ارزيابي اقدامات صورت پذيرفته در راستاي بهبود.
همانند نظامهاي مديريت كيفيت نظام مديريت امنيت اطلاعات نيز در دو بخش فرايندها و محصولات مطرح است. بخش فرايندها بر طراحي و اجراي دستورالعملهاي مديريتي به‌منظور برقراري و حفظ امنيت اطلاعات استوار است و بخش محصولات يك نظام مديريتي است كه سازمان به‌منظور بكارگيري محصولات نرم‌افزاري معتبر در زيرساختهاي فناوري اطلاعات خود براي برقراري و حفظ امنيت اطلاعات خويش از آن بهره مي‌گيرد . چيزي كه اين دو بخش را به هم پيوند مي‌دهد ميزان انطباق با بخشهاي استاندارد است كه در يكي از چهار رده زير قرار مي‌گيرد :
* كلاس اول : حفاظت ناكافي
* كلاس دوم : حفاظت حداقل
* كلاس سوم : حفاظت قابل قبول
* كلاس چهارم : حفاظت كافي

مراحل اجراي نظام مديريت امنيت اطلاعات
پياده‌سازي ISMS در يك سازمان اين مراحل را شامل مي‌شود:
– آماده سازي اوليه : در اين مرحله بايد از همراهي مديريت ارشد سازمان اطمينان حاصل شده، اعضاي تيم راه‌انداز انتخاب شوند و آموزش ببينند . بايد توجه شود كه امنيت اطلاعات يك برنامه نيست بلكه يك فرايند است .
– تعريف نظام مديريت امنيت اطلاعات‌: اين مرحله شامل تعريف چشم‌انداز و چهارچوب نظام در سازمان است. لازم به ذكر است كه چگونگي اين تعريف از مهمترين عوامل موفقيت پروژه محسوب مي‌شود .
– ايجاد سند سياست امنيت اطلاعات : كه پيشتر ‌به آن اشاره شد .
– ارزيابي مخاطرات : بايد به بررسي سرمايه‌هايي كه نياز به محافظت دارند پرداخته و تهديدهاي موجود را شناخته و ارزيابي شود. در اين مرحله بايد ميزان آسيب‌پذيري اطلاعات و سرمايه‌هاي فيزيكي مرتبط نيز مشخص شود .
– آموزش و آگاهي‌بخشي‌: به‌ دليل آسيب‌پذيري بسيار زياد پرسنل در حلقه امنيت اطلاعات آموزش آنها از اهميت بالايي برخوردار است .
– آمادگي براي مميزي : بايد از نحوه ارزيابي چهارچوب مديريتي سازمان آگاه شد و آمادگي لازم براي انجام مميزي را فراهم كرد.
– مميزي : بايد شرايط لازم براي اخذ گواهينامه در سازمان شناسايي شود .
– كنترل و بهبود مداوم : اثر‌بخشي نظام مديريتي پياده شده بايد مطابق مدل به‌رسميت شناخته شده كنترل و ارتقا يابد.
در كليه مراحل استقرار نظام مديريت امنيت اطلاعات مستند‌سازي از اهميت ويژه‌اي برخوردار است. مستندات از يك طرف به تشريح سياست ، اهداف و ارزيابي مخاطرات مي‌پردازند و از طرف ديگر كنترل و بررسي و نظارت بر روند اجراي ISMS را بر عهده دارند . در كل مي‌توان مستندات را به چهار دسته تقسيم كرد:
-1 سياست ، چشم‌انداز ، ارزيابي مخاطرات و قابليت اجراي نظام مذكور كه در مجموع به‌عنوان نظام‌نامه امنيتي شناخته مي‌شود .
-2 توصيف فرايندها كه پاسخ سؤالات چه كسي ؟ چه چيزي ؟ چه موقع ؟ و در چه مكاني را مي دهد و به‌عنوان روشهاي اجرايي شناخته مي‌شوند .
-3 توصيف چگونگي اجراي وظايف و فعاليتهاي مشخص شده كه شامل دستورالعملهاي كاري ، چك ليست‌ها ، فرم‌ها و نظاير آن مي‌شود .
-4 مدارك و شواهد انطباق فعاليتها با الزامات ISMS كه از آنها به‌عنوان سوابق ياد مي‌شود .

http://pasakgroup.com

درباره ی mehdi95

مطلب پیشنهادی

پنج اشتباه متداول درباره امنیت شبکه های بی سیم

با ظهور شاخه های جدید فناوری بی سیم، تعداد شرکت هایی که با استفاده از …

ارائه شده توسط: فروشگاه اینترنتی کالای دیجیتال و الکترونیک پاساک