سیستم مدیریت امنیت اطلاعات

امروزه با گسترش تهدید های امنیتی ، وجود یک ساختار امن در سازمانها و ادارات ضروری بنظر می رسد.

سازمان هایی که موجودیتشان به طور عمومی به فن آوری اطلاعات  وابسته است باید از تمامی ابزارهای ممکن برای محافظت از اطلاعات استفاده کنند .

جهت دستیابی به امنیت قابل قبول اطلاعات به همکاری مشتریان ، شرکای تجاری و دولت  نیاز خواهد بود ، در ضمن بررسی دوره ای امنیت اطلاعات توسط سازمان های امنیتی یک روش مقبول در  این زمینه خواهد بود . 

پیاده سازی استاندارد های امنیتی موجود نیز ، سازمان ها را در نیل به اهداف خود یاری می رساند . پیاده سازی به طور اساسی در دو سطح صورت می گیرد .

در سطح اول که سطح کلی می باشد تمرکز بر روی پروسه های تجاری و امنیتی می باشد ، به طوریکه فرهنگ امنیت اطلاعات به عنوان مفاهیم اصلی این سطح مورد بررسی قرار می گیرد و سعی می گردد رفتار و عملکرد کارکنان در سازمان ها اصلاح شده و معیار های امنیتی در تمامی سطوح سازمانی تفهیم گردد .

در سطح دوم ، پیاده سازی فنی و با جامعیت بیشتر صورت می گیرد که  با استفاده از استانداردهای بین المللی و سیستم ها و ابزارهای لازم صورت می گیرد .

بعد از پیاده سازی پروسه های مدیریتی و تجاری و نیز پیاده سازی فنی و عملیاتی امنیت ، سازمان تا حد قابل قبولی می تواند از پوشش مناسب  مدیریت امنیت اطلاعات  اطمینان پیدا نماید . پیاده سازی مدیریت امنیت اطلاعات بر اساس یک استاندارد بین المللی مانند ISO1799 صورت می گیرد تا سازمان بتواند تاییدیه و گواهی مربوطه را اخذ نماید .

جهت پیاده سازی مدیریت امنیت اطلاعات به چک لیست های کاملی جهت بررسی وضعیت امنیتی و تشخیص نقاط ضعف جهت  بر طرف نمودن آنها نیاز خواهیم داشت که این چک لیست ها شامل موارد ذیل می باشد :

  1. چک لیست استمرار فعالیت های شبکه
  2. چک لیست امنیت اطلاعات
  3. انتقال ایمن اطلاعات
  4. آماده کردن اطلاعات جهت استفاده در مسیرهای امن و حفاظت شده
  5. امکان پشتیبان گیری از اطلاعات
  6. نگهداری مالکیت اطلاعات
  7. چک لیست امنیت نرم افزار و سرویس دهنده ها
  8. امنیت نرم افزار
  9. امنیت سرویس دهنده ها
  10. چک لیست آموزش امنیتی پرسنل شبکه
  11. چک لیست امنیت فیزیکی
  12. امنیت فیزیکی مکان های استقرار تجهیزات در کلاس (A,B,C) و اماکن
  13. امنیت فیزیکی تجهیزات
  14. جریان برق
  15. چک لیست امنیت دسترسی کاربران
  16. تدوین روالی جهت کنترل فعالیت کاربران
  17. آماده کردن کد شناسایی کاربر
  18. روند احراز هویت شخصی
  19. توسعه روندهای استاندارد ورود به سیستم
  20. سازمان دهی اصول امنیت فیزیکی مهم
  21. دقت در دسترسی راه دور
  22. دسترسی دیگر نهاد اجرایی به شبکه

سیستم مدیریت امنیت اطلاعات نظام جامع امنیت اطلاعات سازمان

مفهوم « سیستم مدیریت امنیت اطلاعات » اولین بار طی مراحل تحریر و توسعه استاندارد بریتانیایی 7799 در سال‌های انتهایی دهه 1980 میلادی مورد بحث و توجه قرار گرفت . آخرین تعریف « سیستم مدیریت امنیت اطلاعات » از نظر استاندارد بین المللی آن عبارت است از :

سیستم مدیریت امنیت اطلاعات بخشی از سیستم مدیریت کلی و سراسری در یک سازمان است که بر پایه رویکرد مخاطرات کسب و کار (Business Risk Approach) قرار داشته و هدف آن ، پایه ‌گذاری ، پیاده ‌سازی ، بهره ‌برداری ، نظارت ، بازبینی ، نگهداری و بهبود امنیت اطلاعات است .

« امنیت اطلاعات » نیز چنین تعریف می‌شود :

حفاظت از محرمانگی ، تمامیت و دسترس‌پذیری اطلاعات ، علاوه براین‌ها سایر ویژگی‌ها از قبیل اصالت ( authenticity ) ، قابلیت جوابگویی و اعتبار ( accountability ) ، انکارناپذیری ( non- repudiation )، و قابلیت اطمینان(reliability) اطلاعات نیز می‌توانند مشمول این حفاظت باشند .

« سیستم مدیریت امنیت اطلاعات » برای حصول اطمینان از کفایت و تناسب کنترل‌های امنیتی محافظ  دارایی‌های اطلاعاتی طراحی شده ‌است تا به این وسیله به مشتریان و دیگر گروه‌های ذینفع درباره امنیت اطلاعات موجود در سازمان اطمینان خاطر داده ‌شود .  هدف این سیستم پیاده‌سازی نوعی از کنترل‌های امنیتی است که با برقراری زیر‌ساخت‌های مورد نیاز ، امنیت اطلاعات را تضمین می‌نمایند . درحقیقت یک « سیستم مدیریت امنیت اطلاعات » ، رهیافت سیستماتیکی را برای اداره و مدیریت اطلاعات حساس با هدف حفاظت از آنها فراهم می‌آورد و کل کارکنان ، فرآیندها و سیستم‌های اطلاعاتی یک سازمان را دربر می ‌گیرد .

میزان نسبی در معرض ریسک بودن یک سیستم اطلاعاتی براساس فعالیت در بخش‌های مختلف

طراحی ، پیاده‌سازی ، نگهداری و بهبود سیستم مدیریت امنیت اطلاعات

فعالیت‌ های مربوط به پیاده‌سازی و استقرار سیستم مدیریت امنیت اطلاعات بر اساس چرخه دمینگ ( برنامه ، اجرا ، بررسی ، اقدام اصلاحی ) به همراه گروه های ذینفع و روابط آنها با یکدیگر در شکل زیر نمایش داده شده‌است :

فعالیت‌هایی که در هر فاز از این پروژه اجرا می‌شوند نیز عبارتند از:

فاز برنامه :                                                                         

  1. تعریف محدوده اولیه  ISMS                                        
  2. تعریف سیاست  و خط مشی کلی در ISMS
  3. شناسایی دارایی ها
  4. شناسایی تهدیدها
  5. ارزیابی ریسک
  6. تنظیم برنامه برخورد با ریسک ها
  7. انتخاب کنترل های امنیتی
  8. تنظیم بیانیه قابلیت اجرا (SOA)

فاز اجرا :  

  1. بازبینی جهت بهبود و نهایی سازی برنامه برخورد با ریسک
  2. پیاده  سازی برنامه برخورد با ریسک و کنترل های مربوطه

فاز بررسی :

  1. نظارت بر اجرا
  2. بازبینی های منظم بر کارآیی و کارآمدی ISMS
  3. نظارت بر ریسک های مورد قبول
  4. هدایت منظم ممیزی های ISMS

فاز اقدام  :

  1. پیاده سازی موارد بهبود
  2. انتخاب اعمال اصلاحی مناسب
  3. اطمینان از رسیدن به اهداف بهبود و توسعه

استانداردهای BS7799 و ISO 27001

BS 7799   و ISO 27001 جدیدترین استانداردهای بین‌المللی برای استقرار و بهبود سیستم مدیریت امنیت اطلاعات در شرکتها و سازمانهای مرتبط با فناوری اطلاعات و تجارت الکترونیک به شمار می‌آیند . برای مقابله با خطراتی که در سیستمهای اطلاعاتی این سازمانها نهفته می‌باشند ، وجود یک سیستم مدیریت امنیت اطلاعات (ISMS) جهت اطمینان از مدیریت مؤثر این خطرات بسیار حیاتی است .

مزایای استفاده از سیستم مدیریت امنیت اطلاعات مبتنی بر استاندارد BS7799 و ISO 27001  :

  1. استاندارد مورد تأیید و اجباری از سوی شورای ‌عالی امنیت فضای تبادل اطلاعات کشور
  2. کمک به تهیه برنامه عملیاتی امنیت فضای تبادل اطلاعات سازمانها
  3. تأمین امنیت در همه سطوح شامل امنیت فیزیکی ، پرسنلی و ارتباطات
  4. ایجاد چارچوب و ساختاری برای توسعه و نگهداری امنیت اطلاعات
  5. کاهش تبلیغات منفی علیه سازمان و افزایش وجهه و اعتبار سازمان
  6. جدیدترین استاندارد امنیت اطلاعات با رویکرد پیشگیرانه
  7. کاهش هزینه‌ها
  8. سیستم مدیریت امنیت پویا و مستمر با نگاه همه جانبه به امنیت
  9. آموزش پرسنل و ارتقاء سطح آگاهی و دانش عمومی آنها در زمینه امنیت 

نویسنده : فرهمند آریاشکوه - کارشناس سرممیز و ممیز سیستم مدیریت امنیت اطلاعات ISMS ISO27001


معامله ای مطمئن با اعضای ویژه و دارای نشان! اطلاعات بیشتر

ارتباط با ما

موبایل : 09128872300

تلفن : 021-22379850

فکس : 021-89778187

تلفکس : -

وب سایت : www.arvinre.com