ISMS مخفف عبارت Information Security Management System به معنای سیستم مدیریت امنیت اطلاعات می باشد و استانداردهایی را برای ایمن سازی فضای تبادل اطلاعات در سازمان ها ارائه می دهد. این استانداردها شامل مجموعه ای از دستورالعمل هاست تا فضای تبادل اطلاعات یک سازمان را با اجرای یک طرح مخصوص به آن سازمان ایمن نماید.آخرین تعریف سیستم مدیریت امنیت اطلاعات از نظر استاندارد بین المللی آن عبارت است از :سیستم مدیریت امنیت اطلاعات بخشی از سیستم مدیریت کلی و سراسری در یک سازمان است که برپایه رویکرد مخاطرات کسب و کارقراردارشته و هدف آن، پایه گذاری، پیاده سازی ، بهره برداری، نظارت، بازبینی، نگهداری و بهبود امنیت اطلاعات است.امنیت اطلاعات نیز چنین تعریف میشود:حفاظت از محرمانگی،تمامیت و دسترسپذیری اطلاعات، علاوه براینها سایر ویژگیها از قبیل اصالت، قابلیت جوابگویی و اعتبار،انکارناپذیری و قابلیت اطمینان اطلاعات نیز میتوانند مشمول این حفاظت باشند. استانداردهای مدیریتی ارائه شده در خصوص امنیت اطلاعات استانداردهای مدیریتی ارائه شده در خصوص امنیت اطلاعات و ارتباطات سازمان عبارتند از:
•استاندارد موسسه استاندارد انگلیس BS7799
•استاندارد مدیریتی موسسه بین المللی استاندارد ISO/IEC 17799
•گزارش فنی موسسه بین المللی استاندارد ISO/IEC TR 13335
مزایای استفاده از ISMS
– اطمینان از تداوم تجارت و کاهش صدمات توسط ایمن ساختن اطلاعات وکاهش تهدیدها
– اطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از داده ها
– قابل اطمینان کردن تصمیم گیری ها و محک زدن سیستم مدیریت امنیت اطلاعات
– ایجاد اطمینان نزد مشتریان و شرکای تجاری
– امکان رقابت بهتر با سایر شرکت ها
– ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات
با این حال مزایای استفاده از سیستم مدیریت امنیت اطلاعات مبتنی بر استاندارد BS7799 و ISO 27001 در ایران عبارتند از :
•استاندارد مورد تأیید و اجباری از سوی شورایعالی امنیت فضای تبادل اطلاعات کشور
•کمک به تهیه برنامه عملیاتی امنیت فضای تبادل اطلاعات سازمانها
•تأمین امنیت در همه سطوح شامل امنیت فیزیکی، پرسنلی و ارتباطات
•ایجاد چارچوب و ساختاری برای توسعه و نگهداری امنیت اطلاعات
•کاهش تبلیغات منفی علیه سازمان و افزایش وجهه و اعتبار سازمان
•جدیدترین استاندارد امنیت اطلاعات با رویکرد پیشگیرانه
•کاهش هزینهها
•سیستم مدیریت امنیت پویا
•آموزش پرسنل و ارتقاء سطح آگاهی و دانش عمومی آنها در زمینه امنیت
در این بررسی قصد داشتیم تا ISMS را به عنوان استانداردی جهانی برای ایمنسازی شبکهها معرفی نماییم و توجه خواننده را به این موضوع جلب کنیم که برقراری امنیت در سازمانها،باید در همه ابعاد آن صورت گیرد. وجه به این استاندارد و شناخت و پیاده سازی آن ، باعث میشود که بحث در رابطه با موضوعات پیشرفتهتری نظیر برپایی مراکز امنیت شبکه (Security Operating Center :SOC) ملموستر و دست یافتنیتر به نظر برسند.
مهندس ایمان صبری
کارشناس ارشد فناوری اطلاعات
مدرس دانشگاه
Sabri.rasaco@gmail.com