سيستم مديريت امنيت اطلاعات ( ISMS )
از اتصال اولين رايانهها به يکديگر و راهاندازي شبکه جهاني اينترنت ديري نگذشت که بحث حفاظت از اين اطلاعات مطرح شد و روز به روز نيز بر اهميت آن افزوده شد. اما مشکلي که وجود داشت اين بود که اين مباحث و راهکارها بسيار پراکنده بودند که باعث ميشد آنطور که بايد مفيد واقع نشوند. براي اين منظور لازم شد هر سازماني بر اساس يك متدولوژي مشخص، ضمن تهيه طرح ها و برنامه هاي امنيتي مورد نياز، تشکيلات لازم جهت ايجاد و تداوم امنيت اطلاعات خود را نيز ايجاد دهد که آغازي بود بر استاندارد سازي سيستم مديريت امنيت اطلاعات .با ارائه اولين استاندارد مديريت امنيت اطلاعات، نگرش سازماندهي شده به مقوله ايمن سازي فضاي تبادل اطلاعات شكل گرفت. بر اساس اين استانداردها، تامين امنيت فضاي تبادل اطلاعات سازمانها، يک فرآيند يکباره نبوده و لازم است اين امر بصورت مداوم در يك چرخه ايمن سازي شامل مراحل طراحي، پياده سازي، ارزيابي و اصلاح، انجام گيرد .
فعاليتهاي مربوط به پيادهسازي و استقرار سيستم مديريت امنيت اطلاعات (ISMS)، طي يک فرايند انجام ميشود که همانطور که گفته شد لزوم پايداري اين سيستم باعث شده تا بشکل يک چرخه که همواره بايد تکرار شود. فرايند اجراي سيستم مديريت امنيت اطلاعات که دمينگ نام دارد شامل چهار مرحله (طرح-اجرا-بررسي-اقدام) بوده و بر اساس استانداردهاي مطرح اين حوزه به همراه گروهای ذینفع و روابط آنها با یکدیگر در شکل زير نمايش داده شدهاست :
بايد توجه داشت که امنيت ابعاد مختلفي دارد که در اين چرخه سعي مي گردد تمامي ابعاد آن مورد بررسي قرار بگيرد و پيشنهادات و راهکارهاي امنيتي مرتبط در طرح جامع امنيت اطلاعات ابتدا به سازمان ارائه شده و در فاز بعدي، پياده سازي گردد. خروجي فاز اول استقرار سيستم مديريت امنيت اطلاعات يعني فاز نخست، طرح جامع امنيت اطلاعات مي باشد. اين طرح، پس از تهيه، بررسی و تحليل شده و به تاييد بخشهاي مرتبط در سازمان ميرسد. سپس در فاز دوم پيادهسازي سيستم مديريت امنيت اطلاعات يعني فاز اجرا، طرح آماده شده اجرا خواهد گرديد. لازم به ذکر است براي تکميل اين چرخه و استمرار آن لازم است پس از اتمام فاز دوم،کليه موارد و راهکارهايي که از طرح جامع امنيت اطلاعات که مربوط به فازهاي بررسي و اقدام مي باشد، کاملا و با دقت توسط سازمان بکار گرفته شده و استمرار داشته باشند. بديهي است ساز وکارهاي لازم براي انجام اين دو فاز ( فازهاي سوم و چهارم چرخه استقرار سيستم مديريت امنيت اطلاعات ) اعم از تجهيزات، مستندات، تشکيلات و ساير نيازمنديهاي لازم، در طرح جامع امنيت اطلاعات (خروجي فاز اول) ديده شده و از سويي مجري طرح در زمان پياده سازي اجراي فاز دوم، مشاوره لازم براي استمرار اين چرخه در آينده را نيز به سازمان مربوطه ارائه ميدهد.
در حال حاضر، مجموعه اي از موسسات و استانداردهاي مديريتي و فني ايمن سازي فضاي تبادل اطلاعات وجود دارد که از مهمترين آنها ميتوان به استاندارد مديريتي BS7799 موسسه استاندارد انگليس، استاندارد مديريتي ISO/IEC 17799 موسسه بينالمللي استاندارد و گزارش فني ISO/IEC TR 13335 موسسه بين المللي استاندارد که از برجسته ترين استاندادرها و راهنماهاي فني در اين زمينه محسوب مي گردند اشاره نمود.
در تمامي استانداردهاي ذکر شده نكات زير مورد توجه قرار گرفته شده است:
1. ليست و محتواي طرح ها و برنامه هاي امنيتي موردنياز سازمان
2. جرئيات مراحل ايمن سازي و تكنيكهاي فني مورد استفاده در هر مرحله
3. تعيين مراحل ايمن سازي و نحوه شكل گيري چرخه امنيت اطلاعات و ارتباطات سازمان
4. كنترل هاي امنيتي موردنياز براي هر يك از سيستم هاي اطلاعاتي و ارتباطي سازمان
5. ضرورت و جزئيات ايجاد تشكيلات سياستگذاري، اجرائي و فني تامين امنيت اطلاعات و ارتباطات سازمان
فعاليتهاي مربوط به پيادهسازي و استقرار سيستم مديريت امنيت اطلاعات (ISMS)، طي يک فرايند انجام ميشود که همانطور که گفته شد لزوم پايداري اين سيستم باعث شده تا بشکل يک چرخه که همواره بايد تکرار شود. فرايند اجراي سيستم مديريت امنيت اطلاعات که دمينگ نام دارد شامل چهار مرحله (طرح-اجرا-بررسي-اقدام) بوده و بر اساس استانداردهاي مطرح اين حوزه به همراه گروهای ذینفع و روابط آنها با یکدیگر در شکل زير نمايش داده شدهاست :
بايد توجه داشت که امنيت ابعاد مختلفي دارد که در اين چرخه سعي مي گردد تمامي ابعاد آن مورد بررسي قرار بگيرد و پيشنهادات و راهکارهاي امنيتي مرتبط در طرح جامع امنيت اطلاعات ابتدا به سازمان ارائه شده و در فاز بعدي، پياده سازي گردد. خروجي فاز اول استقرار سيستم مديريت امنيت اطلاعات يعني فاز نخست، طرح جامع امنيت اطلاعات مي باشد. اين طرح، پس از تهيه، بررسی و تحليل شده و به تاييد بخشهاي مرتبط در سازمان ميرسد. سپس در فاز دوم پيادهسازي سيستم مديريت امنيت اطلاعات يعني فاز اجرا، طرح آماده شده اجرا خواهد گرديد. لازم به ذکر است براي تکميل اين چرخه و استمرار آن لازم است پس از اتمام فاز دوم،کليه موارد و راهکارهايي که از طرح جامع امنيت اطلاعات که مربوط به فازهاي بررسي و اقدام مي باشد، کاملا و با دقت توسط سازمان بکار گرفته شده و استمرار داشته باشند. بديهي است ساز وکارهاي لازم براي انجام اين دو فاز ( فازهاي سوم و چهارم چرخه استقرار سيستم مديريت امنيت اطلاعات ) اعم از تجهيزات، مستندات، تشکيلات و ساير نيازمنديهاي لازم، در طرح جامع امنيت اطلاعات (خروجي فاز اول) ديده شده و از سويي مجري طرح در زمان پياده سازي اجراي فاز دوم، مشاوره لازم براي استمرار اين چرخه در آينده را نيز به سازمان مربوطه ارائه ميدهد.
در حال حاضر، مجموعه اي از موسسات و استانداردهاي مديريتي و فني ايمن سازي فضاي تبادل اطلاعات وجود دارد که از مهمترين آنها ميتوان به استاندارد مديريتي BS7799 موسسه استاندارد انگليس، استاندارد مديريتي ISO/IEC 17799 موسسه بينالمللي استاندارد و گزارش فني ISO/IEC TR 13335 موسسه بين المللي استاندارد که از برجسته ترين استاندادرها و راهنماهاي فني در اين زمينه محسوب مي گردند اشاره نمود.
در تمامي استانداردهاي ذکر شده نكات زير مورد توجه قرار گرفته شده است:
1. ليست و محتواي طرح ها و برنامه هاي امنيتي موردنياز سازمان
2. جرئيات مراحل ايمن سازي و تكنيكهاي فني مورد استفاده در هر مرحله
3. تعيين مراحل ايمن سازي و نحوه شكل گيري چرخه امنيت اطلاعات و ارتباطات سازمان
4. كنترل هاي امنيتي موردنياز براي هر يك از سيستم هاي اطلاعاتي و ارتباطي سازمان
5. ضرورت و جزئيات ايجاد تشكيلات سياستگذاري، اجرائي و فني تامين امنيت اطلاعات و ارتباطات سازمان
