پیاده سازی ISMS [سیستم مدیریت امنیت اطلاعات]

ISMS چیست؟

Information Security Management System یا همان سیستم مدیریت امنیت اطلاعات، مجموعه‌ای از استانداردها می‌باشد که به‌منظور ایمن‌سازی سیستم‌های اطلاعاتی موجود در سازمان‌ها تدوین و ارائه شده است. هدف از تشکیل این سیستم مدیریتی این است که اطلاعات سازمان یا شرکت شما، ازلحاظ امنیتی برقرار بوده و مدیریت شوند. درحقیقت ما برای اینکه سیستم‌های اطلاعاتی خود را ایمن کنیم، نیازمند یک معیار و پایه و اساسی هستیم که به‌طور دقیق مشخص کند، با انجام چه کارهایی می‌توان اطلاعات موردنظر را ایمن نگه داشت. اینجاست که نیاز به یک‌سری استانداردها و ساختارهای مشخص برای ایمن‌سازی احساس می‌شود و ISMS به میان می‌آید. ISMS از اجزائی تشکیل شده است که با رعایت آن‌ها، شما به صورت کاملاً استاندارد، از سرمایه‌های اطلاعاتی خود محافظت خواهید کرد و این استاندارد، در سطح جهانی تایید شده است.

گواهینامه ISMS ازکجا آمده است؟

تقریباً همه‌ی ما با سازمان بین‌المللی ISO یا همان International Standardization Organization آشنا هستیم. تدوین و طراحی استاندارد ISMS نیز توسط همین سازمان انجام شده و به صورت کاملاً یکپارچه در سراسر دنیا، توسعه یافته است. به‌طور مثال دقیقاً همانند استاندارد ISO 9000 که مربوط به کیفیت کالا است، استاندارد ISMS با نام ISO 27001 برای مدیریت سیستم امنیت اطلاعات تعریف شده و سازمان‌هایی که آن را به‌طور دقیق پیاده‌سازی کنند، با انجام ممیزی‌های بین‌المللی، قادر به دریافت گواهینامه آن خواهند بود. این گواهینامه تضمین می‌کند که شما تمامی پروتکل‌های مربوطه، اعم‌از مجازی و فیزیکی، را رعایت کرده‌اید و اطلاعات خود را به صورت کاملاً ایمن دراختیار دارید.

خط مشی یا بیانیه امنیت اطلاعات

هر سازمانی که دارای سیستم اطلاعاتی است، نیازمند تدوین یک مستند متنی خواهد بود که دراصل آن را با نام Policy یا همان خط مشی می‌شناسیم. ساختار استاندارد سازمان براساس آن تعریف می‌شود و الگوی دقیقی است که هر سازمانی برای حوزه امنیت اطلاعات خود تدوین می‌کند. براساس این الگو، امنیت اطلاعات مدیریت می‌شود. البته چگونگی پیاده‌سازی امنیت و تشریح چگونگی برقراری امنیت، در مستندی جداگانه با نام دستورالعمل امنیت اطلاعات، آورده خواهد شد.

چرا باید از سیستم مدیریت امنیت اطلاعات (ISMS) استفاده کنیم؟

اگر سازمان شما نتواند امنیت سیستم‌های اطلاعاتی خود را تامین کند یا به بیان ساده‌تر، نتواند سیستم مدیریت امنیت اطلاعات را به درستی پیاده‌سازی کند، سازمان‌ها یا افراد دیگر نیز به او اعتماد نداشته و تجارت دائمی را از دست خواهد داد. پس می‌توان گفت که برقراری استاندارد ISMS می‌تواند باعث اعتمادسازی و تجارتی کم ریسک شده و سرمایه‌گذاری‌های بسیاری را به سمت سازمان یا شرکت تجاری شما روانه کند. علاوه‌بر اعتماد شرکای تجاری، شما برای حفاظت از اطلاعات حساس و محرمانه کاری خود، به‌منظور رقابت با همکاران خود، نیازمند ایمن‌سازی اطلاعات نیز خواهید بود. پس به‌طور کلی برای کاهش هرگونه تهدید و ریسک کاری و همینطور به منظور جذب سرمایه‌ها و تجارت جهانی، باید از تمامی اطلاعات خود در سطح بین‌المللی مراقبت کنید. در اختیار داشتن گواهینامه ISMS می‌تواند هر سازمانی را در سطح جهانی، به عنوان سازمانی ایمن و مورداعتماد معرفی کند.

مستنداتی که ISMS ارائه می‌دهد!

پیش از این نیز گفته شد که سیستم مدیریت امنیت اطلاعات شامل پروتکل‌هایی‌ست که به صورت متنی تدوین شده‌اند و مدیران اطلاعات با رعایت تک‌تک موارد موجود و کنترل‌های متناسب با سازمان خود، سیستم اطلاعاتی خود را ایمن‌سازی خواهند کرد. درنهایت شما چندین مستند متنی دراختیار خواهید داشت. سازمان‌ها باید مجموعه مستندات مدیریت امنیت اطلاعات خود، که در زیر آورده شده است، را تدوین کنند:

• سازمان‌ها باید اهداف، سیاست‌های امنیتی فضای تبادل اطلاعات و راهبردهای خود را مشخص کنند
• باید طرح تحلیل مخاطرات امنیتی (Risk Assessment) فضای تبادل اطلاعات خود را مشخص کنند
• باید طرح امنیت فضای تبادل اطلاعات دستگاه‌های خود را تدوین کنند
• باید برای مقابله با حوادث امنیتی و ترمیم خرابی‌های (Disaster Recovery) فضای تبادل اطلاعات خود، طرحی تدوین کنند
• باید برای آگاهی‌رسانی امنیتی به پرسنل(Awareness)، برنامه درستی طراحی کنند
• باید برای آموزش پرسنل واحد تامین امنیت فضای تبادل اطلاعات خود، برنامه آموزشی تدوین کنند

برای پیاده‌سازی و دریافت استاندارد ISMS باید چه کنیم؟

پس از اینکه مدیران سیستم‌های اطلاعاتی تصمیم بر رعایت استانداردهای ISMS و دریافت گواهینامه آن گرفتند، حتماً ضروری‌ترین کار برای شروع این است که با مشاورین حرفه‌ای در این حوزه مشورت نمایند. معمولاً این کار توسط شرکت‌های معتبری که خدمات ISMS را ارائه می‌دهند انجام می‌گیرد. شرکت مشاور خط مشی‌های امنیتی موردنیاز سازمان را ترسیم کرده و نیازهای امنیتی سازمان را با استفاده از استاندارد ISO 27001 مطابقت خواهد داد. پس از آن مستندات موجود تنظیم و تدوین شده و در اختیار واحد امنیت اطلاعات سازمان قرار خواهد گرفت.

نمایندگان بین‌المللی ISMS پس از بررسی در محل سازمان، بازرسی‌های لازم را انجام داده و درصورت رعایت کامل موارد مستند و کسب امتیاز لازم، گواهی می‌کنند که سازمان شما ازلحاظ استاندارد ISMS معتبر و مورداطمینان است. در انتها سازمان شما گواهینامه مربوطه را دریافت خواهد کرد.