Information Security Management System یا همان سیستم مدیریت امنیت اطلاعات، مجموعهای از استانداردها میباشد که بهمنظور ایمنسازی سیستمهای اطلاعاتی موجود در سازمانها تدوین و ارائه شده است. هدف از تشکیل این سیستم مدیریتی این است که اطلاعات سازمان یا شرکت شما، ازلحاظ امنیتی برقرار بوده و مدیریت شوند. درحقیقت ما برای اینکه سیستمهای اطلاعاتی خود را ایمن کنیم، نیازمند یک معیار و پایه و اساسی هستیم که بهطور دقیق مشخص کند، با انجام چه کارهایی میتوان اطلاعات موردنظر را ایمن نگه داشت. اینجاست که نیاز به یکسری استانداردها و ساختارهای مشخص برای ایمنسازی احساس میشود و ISMS به میان میآید. ISMS از اجزائی تشکیل شده است که با رعایت آنها، شما به صورت کاملاً استاندارد، از سرمایههای اطلاعاتی خود محافظت خواهید کرد و این استاندارد، در سطح جهانی تایید شده است.
تقریباً همهی ما با سازمان بینالمللی ISO یا همان International Standardization Organization آشنا هستیم. تدوین و طراحی استاندارد ISMS نیز توسط همین سازمان انجام شده و به صورت کاملاً یکپارچه در سراسر دنیا، توسعه یافته است. بهطور مثال دقیقاً همانند استاندارد ISO 9000 که مربوط به کیفیت کالا است، استاندارد ISMS با نام ISO 27001 برای مدیریت سیستم امنیت اطلاعات تعریف شده و سازمانهایی که آن را بهطور دقیق پیادهسازی کنند، با انجام ممیزیهای بینالمللی، قادر به دریافت گواهینامه آن خواهند بود. این گواهینامه تضمین میکند که شما تمامی پروتکلهای مربوطه، اعماز مجازی و فیزیکی، را رعایت کردهاید و اطلاعات خود را به صورت کاملاً ایمن دراختیار دارید.
تقریباً همهی ما با سازمان بینالمللی ISO یا همان International Standardization Organization آشنا هستیم. تدوین و طراحی استاندارد ISMS نیز توسط همین سازمان انجام شده و به صورت کاملاً یکپارچه در سراسر دنیا، توسعه یافته است. بهطور مثال دقیقاً همانند استاندارد ISO 9000 که مربوط به کیفیت کالا است، استاندارد ISMS با نام ISO 27001 برای مدیریت سیستم امنیت اطلاعات تعریف شده و سازمانهایی که آن را بهطور دقیق پیادهسازی کنند، با انجام ممیزیهای بینالمللی، قادر به دریافت گواهینامه آن خواهند بود. این گواهینامه تضمین میکند که شما تمامی پروتکلهای مربوطه، اعماز مجازی و فیزیکی، را رعایت کردهاید و اطلاعات خود را به صورت کاملاً ایمن دراختیار دارید.
هر سازمانی که دارای سیستم اطلاعاتی است، نیازمند تدوین یک مستند متنی خواهد بود که دراصل آن را با نام Policy یا همان خط مشی میشناسیم. ساختار استاندارد سازمان براساس آن تعریف میشود و الگوی دقیقی است که هر سازمانی برای حوزه امنیت اطلاعات خود تدوین میکند. براساس این الگو، امنیت اطلاعات مدیریت میشود. البته چگونگی پیادهسازی امنیت و تشریح چگونگی برقراری امنیت، در مستندی جداگانه با نام دستورالعمل امنیت اطلاعات، آورده خواهد شد.
اگر سازمان شما نتواند امنیت سیستمهای اطلاعاتی خود را تامین کند یا به بیان سادهتر، نتواند سیستم مدیریت امنیت اطلاعات را به درستی پیادهسازی کند، سازمانها یا افراد دیگر نیز به او اعتماد نداشته و تجارت دائمی را از دست خواهد داد. پس میتوان گفت که برقراری استاندارد ISMS میتواند باعث اعتمادسازی و تجارتی کم ریسک شده و سرمایهگذاریهای بسیاری را به سمت سازمان یا شرکت تجاری شما روانه کند. علاوهبر اعتماد شرکای تجاری، شما برای حفاظت از اطلاعات حساس و محرمانه کاری خود، بهمنظور رقابت با همکاران خود، نیازمند ایمنسازی اطلاعات نیز خواهید بود. پس بهطور کلی برای کاهش هرگونه تهدید و ریسک کاری و همینطور به منظور جذب سرمایهها و تجارت جهانی، باید از تمامی اطلاعات خود در سطح بینالمللی مراقبت کنید. در اختیار داشتن گواهینامه ISMS میتواند هر سازمانی را در سطح جهانی، به عنوان سازمانی ایمن و مورداعتماد معرفی کند.
اگر سازمان شما نتواند امنیت سیستمهای اطلاعاتی خود را تامین کند یا به بیان سادهتر، نتواند سیستم مدیریت امنیت اطلاعات را به درستی پیادهسازی کند، سازمانها یا افراد دیگر نیز به او اعتماد نداشته و تجارت دائمی را از دست خواهد داد. پس میتوان گفت که برقراری استاندارد ISMS میتواند باعث اعتمادسازی و تجارتی کم ریسک شده و سرمایهگذاریهای بسیاری را به سمت سازمان یا شرکت تجاری شما روانه کند. علاوهبر اعتماد شرکای تجاری، شما برای حفاظت از اطلاعات حساس و محرمانه کاری خود، بهمنظور رقابت با همکاران خود، نیازمند ایمنسازی اطلاعات نیز خواهید بود. پس بهطور کلی برای کاهش هرگونه تهدید و ریسک کاری و همینطور به منظور جذب سرمایهها و تجارت جهانی، باید از تمامی اطلاعات خود در سطح بینالمللی مراقبت کنید. در اختیار داشتن گواهینامه ISMS میتواند هر سازمانی را در سطح جهانی، به عنوان سازمانی ایمن و مورداعتماد معرفی کند.
پیش از این نیز گفته شد که سیستم مدیریت امنیت اطلاعات شامل پروتکلهاییست که به صورت متنی تدوین شدهاند و مدیران اطلاعات با رعایت تکتک موارد موجود و کنترلهای متناسب با سازمان خود، سیستم اطلاعاتی خود را ایمنسازی خواهند کرد. درنهایت شما چندین مستند متنی دراختیار خواهید داشت. سازمانها باید مجموعه مستندات مدیریت امنیت اطلاعات خود، که در زیر آورده شده است، را تدوین کنند:
پیش از این نیز گفته شد که سیستم مدیریت امنیت اطلاعات شامل پروتکلهاییست که به صورت متنی تدوین شدهاند و مدیران اطلاعات با رعایت تکتک موارد موجود و کنترلهای متناسب با سازمان خود، سیستم اطلاعاتی خود را ایمنسازی خواهند کرد. درنهایت شما چندین مستند متنی دراختیار خواهید داشت. سازمانها باید مجموعه مستندات مدیریت امنیت اطلاعات خود، که در زیر آورده شده است، را تدوین کنند:
پس از اینکه مدیران سیستمهای اطلاعاتی تصمیم بر رعایت استانداردهای ISMS و دریافت گواهینامه آن گرفتند، حتماً ضروریترین کار برای شروع این است که با مشاورین حرفهای در این حوزه مشورت نمایند. معمولاً این کار توسط شرکتهای معتبری که خدمات ISMS را ارائه میدهند انجام میگیرد. شرکت مشاور خط مشیهای امنیتی موردنیاز سازمان را ترسیم کرده و نیازهای امنیتی سازمان را با استفاده از استاندارد ISO 27001 مطابقت خواهد داد. پس از آن مستندات موجود تنظیم و تدوین شده و در اختیار واحد امنیت اطلاعات سازمان قرار خواهد گرفت.
نمایندگان بینالمللی ISMS پس از بررسی در محل سازمان، بازرسیهای لازم را انجام داده و درصورت رعایت کامل موارد مستند و کسب امتیاز لازم، گواهی میکنند که سازمان شما ازلحاظ استاندارد ISMS معتبر و مورداطمینان است. در انتها سازمان شما گواهینامه مربوطه را دریافت خواهد کرد.