نظام مديريت امنيت اطلاعات ISMS ، در مجموع يك رويكرد نظاممند به مديريت اطلاعات حساس بمنظور محافظت از آنهاست. امنيت اطلاعات چيزي فراتر از نصب يك ديواره آتش ساده يا عقد قرارداد با يك شركت امنيتي است . در چنين رويكردي بسيار مهم است كه فعاليتهاي گوناگون امنيتي را با راهبردي مشترك بهمنظور تدارك يك سطح بهينه از حفاظت همراستا كنيم . نظام مديريتي مذكور بايد شامل روشهاي ارزيابي، محافظت، مستندسازي و بازنگري باشد ، كه اين مراحل در قالب يك چرخه PDCA(PLAN-DO-CHECK-ACT) تحقق پذير است. (چرخه يادشده نقش محوري در تشريح و تحقق استاندارد ISO9001 دارد. )
_ برنامه ريزي Plan :
– تعريف چشمانداز نظام مديريتي و سياستهاي امنيتي سازمان.
– تعيين و ارزيابي مخاطرات.
– انتخاب اهداف كنترل و آنچه سازمان را در مديريت اين مخاطرات ياري ميكند.
– آمادهسازي شرايط اجرايي.
_ انجام Do:
– تدوين و اجراي يك طرح براي تقليل مخاطرات.
– اجراي طرحهاي كنترلي انتخابي براي تحقق اهداف كنترلي.
_ ارزيابي Check :
– استقرار روشهاي نظارت و پايش.
– هدايت بازنگريهاي ادواري بهمنظور ارزيابي اثربخشي ISMS.
– بازنگري درحد قابل قبول مخاطرات.
– پيشبرد و هدايت مميزيهاي داخلي بهمنظور ارزيابي تحقق ISMS.
_ بازانجام Act:
– اجراي توصيههاي ارائه شده براي بهبود.
– نظام مديريتي مذكور.
– انجام اقدامات اصلاحي و پيشگيرانه.
– ارزيابي اقدامات صورت پذيرفته در راستاي بهبود.
همانند نظامهاي مديريت كيفيت نظام مديريت امنيت اطلاعات نيز در دو بخش فرايندها و محصولات مطرح است. بخش فرايندها بر طراحي و اجراي دستورالعملهاي مديريتي بهمنظور برقراري و حفظ امنيت اطلاعات استوار است و بخش محصولات يك نظام مديريتي است كه سازمان بهمنظور بكارگيري محصولات نرمافزاري معتبر در زيرساختهاي فناوري اطلاعات خود براي برقراري و حفظ امنيت اطلاعات خويش از آن بهره ميگيرد . چيزي كه اين دو بخش را به هم پيوند ميدهد ميزان انطباق با بخشهاي استاندارد است كه در يكي از چهار رده زير قرار ميگيرد :
* كلاس اول : حفاظت ناكافي
* كلاس دوم : حفاظت حداقل
* كلاس سوم : حفاظت قابل قبول
* كلاس چهارم : حفاظت كافي
مراحل اجراي نظام مديريت امنيت اطلاعات
پيادهسازي ISMS در يك سازمان اين مراحل را شامل ميشود:
– آماده سازي اوليه : در اين مرحله بايد از همراهي مديريت ارشد سازمان اطمينان حاصل شده، اعضاي تيم راهانداز انتخاب شوند و آموزش ببينند . بايد توجه شود كه امنيت اطلاعات يك برنامه نيست بلكه يك فرايند است .
– تعريف نظام مديريت امنيت اطلاعات: اين مرحله شامل تعريف چشمانداز و چهارچوب نظام در سازمان است. لازم به ذكر است كه چگونگي اين تعريف از مهمترين عوامل موفقيت پروژه محسوب ميشود .
– ايجاد سند سياست امنيت اطلاعات : كه پيشتر به آن اشاره شد .
– ارزيابي مخاطرات : بايد به بررسي سرمايههايي كه نياز به محافظت دارند پرداخته و تهديدهاي موجود را شناخته و ارزيابي شود. در اين مرحله بايد ميزان آسيبپذيري اطلاعات و سرمايههاي فيزيكي مرتبط نيز مشخص شود .
– آموزش و آگاهيبخشي: به دليل آسيبپذيري بسيار زياد پرسنل در حلقه امنيت اطلاعات آموزش آنها از اهميت بالايي برخوردار است .
– آمادگي براي مميزي : بايد از نحوه ارزيابي چهارچوب مديريتي سازمان آگاه شد و آمادگي لازم براي انجام مميزي را فراهم كرد.
– مميزي : بايد شرايط لازم براي اخذ گواهينامه در سازمان شناسايي شود .
– كنترل و بهبود مداوم : اثربخشي نظام مديريتي پياده شده بايد مطابق مدل بهرسميت شناخته شده كنترل و ارتقا يابد.
در كليه مراحل استقرار نظام مديريت امنيت اطلاعات مستندسازي از اهميت ويژهاي برخوردار است. مستندات از يك طرف به تشريح سياست ، اهداف و ارزيابي مخاطرات ميپردازند و از طرف ديگر كنترل و بررسي و نظارت بر روند اجراي ISMS را بر عهده دارند . در كل ميتوان مستندات را به چهار دسته تقسيم كرد:
-1 سياست ، چشمانداز ، ارزيابي مخاطرات و قابليت اجراي نظام مذكور كه در مجموع بهعنوان نظامنامه امنيتي شناخته ميشود .
-2 توصيف فرايندها كه پاسخ سؤالات چه كسي ؟ چه چيزي ؟ چه موقع ؟ و در چه مكاني را مي دهد و بهعنوان روشهاي اجرايي شناخته ميشوند .
-3 توصيف چگونگي اجراي وظايف و فعاليتهاي مشخص شده كه شامل دستورالعملهاي كاري ، چك ليستها ، فرمها و نظاير آن ميشود .
-4 مدارك و شواهد انطباق فعاليتها با الزامات ISMS كه از آنها بهعنوان سوابق ياد ميشود .
http://pasakgroup.com
