سیستم مدیریت امنیت اطلاعات یا ISMS، سیاست ها و روش هایی را برای مدیریت، کنترل و بهبود مستمر امنیت اطلاعات در یک شرکت تعریف می شود.
یک سیستم مدیریت امنیت اطلاعات سیاست ها، روش ها، فرآیندها و ابزار هایی را که برای اطمینان از امنیت پایدار اطلاعات در شرکت ها و سازمان های دولتی تعریف می کند. ISMS شامل معرفی روش های خاص و اجرای اقدامات سازمانی و فنی است که باید به طور مداوم کنترل و نظارت شود. پس از کنترل، نیز بهبود یابد.
هدف از پیاده سازی ISMS مطمئن شدن از بخش IT، رسیدن به یک سطح مناسب امنیتی برای محرمانه بودن، در دسترس بودن و یکپارچگی اطلاعات در کل سازمان یا یک محدوده تعریف شده می باشد.
بنابراین، ISMS یک مبنا برای اجرای سازمان یافته امنیت اطلاعات در یک شرکت و رعایت استانداردهای امنیتی فراهم می کند. تهدیدات احتمالی مربوط به امنیت اطلاعات، شناسایی و آنالیز میشوند. پس از آن کاهش می یابند و قابل کنترل می شوند.
امنیت اطلاعات چیست؟
اصطلاح امنیت اطلاعات اغلب به معنی امنیت IT شناخته میشود. اما در اصل فراتر از امنیت IT است. امنیت اطلاعات شامل همه مواردی است که دارایی های یک شرکت ر ا در برابر تهدیداتی مثل حملات سایبری، خرابکاری، جاسوسی و بلایای طبیعی که باعث آسیب رسیدن به آن کسب و کار می شود، حفظ می کند.
مقررات حقوقی مثل قانون امنیت فناوری اطلاعات آلمان (IT-SiG) یا مقررات عمومی حفاظت از داده ها (GDPR) مستلزم اقدامات حفاظتی مناسب برای اطلاعات حساس است. ممکن است این اطلاعات به صورت فرم های الکترونیکی، کتبی و یا چاپی باشند.
تفاوت کلیدی بین امنیت اطلاعات و امنیت IT
بر خلاف امنیت IT، امنیت اطلاعات به مسائل سازمانی مثل مجوزها و مسئولیت های دسترسی اشاره دارد. بنابراین امنیت اطلاعات، فقط مسئول بخش IT نیست. باید با شروع فعالیت شرکت، در همه زمینه ها اجرا شود.
هدف از محافظت امنیت اطلاعات چیست؟
طبق استانداردهای بین المللی ISO 27000، هدف از حفاظت امنیت اطلاعات شامل سه جنبه اصلی است:
- محرمانه بودن : اطلاعات محرمانه فقط توسط افراد مجاز مشاهده و افشا می شود. بنابراین دسترسی به این اطلاعات باید به طور مناسب ایمن سازی شود. برای مثال اگر یک شخص عادی بتواند ارتباطات را بشنود و یا ببیند. محرمانه بودن آن اطلاعات نقض می شود.
- صحت و درستی : باید از اطلاعات در مقابل دستکاری های ناشناخته محافظت شود تا صحت و کامل بودن آنها حفظ شود. برای مثال اگر یک شخص بتواند بدون شناسایی شدن، داده های سرچ شده را تغییر دهد، در صحت و درستی این اطلاعات نقض وجود دارد.
- دسترسی : اطلاعات، سرویس ها یا منابع همیشه باید در دسترس و برای کاربران قانونی و منتخب قابل استفاده باشند. برای مثال با حمله DDoS که از قصد بیش از حد به سیستم ها درخواست ارسال می کند، در دسترس بودن اطلاعات اختلال ایجاد می کند.
در شرکت چه کسی مسئول امنیت اطلاعات است؟
برای اطمینان از امنیت اطلاعات در هر قسمت از شرکت، باید مسئولیت های مشخصی تعریف شود. سپس تمام منابع لازم مثل (پول، پرسنل، زمان و …) در دسترس آنها قرار گیرد. در اصل این مسئولیت بر عهده مدیر ارشد شرکت است. مدیر ارشد خودش نیز مسئولیت کلی امنیت اطلاعات و ISMS مناسب را بر عهده دارد.
مسئولیت مدیریت شرکت، راه اندازی فرایند امنیتی، ایجاد ساختار سازمانی، تعیین اهداف امنیتی، شرایط عمومی و ایجاد یک سری دستورالعمل ها برای اجرای امنیت اطلاعات می باشد. طراحی و اجرای دقیق این دستورالعمل ها به عنوان ISMS می تواند به مدیران و کارکنان واگذار شود.
یک کارمند مسئول امنیت اطلاعات که توسط مدیریت عالی منصوب شده است. او به عنوان یک نقطه تماس برای همه مسائل مربوط به امنیت اطلاعات نیز عمل می کند. مسئول امنیت اطلاعات باید در فرایند ISMS ادغام شود. سپس با مدیران it به صورت نزدیک همکاری داشته باشد. به عنوان مثال، هنگام انتخاب اجزا یا برنامه های کاربردی جدید IT.
مزایای استفاده از ISMS
با استفاده از ISMS، می توان امنیت اطلاعات را به طور سازمان یافته در سر تا سر شرکت پیاده سازی کرد و از رعایت همه استانداردهای امنیتی مورد نیاز اطمینان حاصل کرد. این رویکرد جامع و پیشگیرانه چندین مزیت را ارائه می دهد که در ادامه آنها اشاره میکنیم:
- حفاظت از اطلاعات حساس
- حفظ تداوم تجارت
- رعایت الزامات انطباق
- راستی آزمایی امنیت اطلاعات
- بهبود مقرون به صرفه بودن و کاهش هزینه
مراحل کلیدی پیاده سازی ISMS
اجرای کارآمد و موثر ISMS یک فرایند بسیار پیچیده است. مراحل پیاده سازی آن به صورت زیر می باشد:
- تعیین محدوده خدمات
- شناسایی دارایی ها
- شناسایی و ارزیابی خطرات
- تعریف اقدامات
- بررسی اثر بخشی
- توسعه و بهینه سازی
