در این مقاله پیرامون ISMS که مخفف عبارت Information security management system می باشد توضیحاتی را عنوان خواهیم نمود. ISMS همان طور که از نامش پیداست، یک سیستم مدیریتی مختص به امنیت اطلاعات می باشد که برخاسته از آیین نامه ISO/IEC 27002 جهت مدیریت امنیت اطلاعات است و توسط سازمان بین المللی استانداردسازی یا همان International Organization for Standardization در سال 2000 انتشار یافته است. در ادامه اطلاعات کامل تری را خواهید یافت.
مقدمهای بر سیستم مدیریت امنیت اطلاعاتISO/IEC 27001 یک استاندارد بین المللی شناخته شده برای مدیریت امنیت اطلاعات است؛ این استاندارد به طور مستقیم از استاندارد مدیریت امنیت اطلاعات (BS 7799) متعلق به موسسه استاندارد انگلستان گرفته شده است. ISO/IEC 27001 یک استاندارد سطح بالا است که برای سیستمهای تجاری گوناگون قابل پیادهسازی می باشد. در واقع ویژگی های این استاندارد سبب می شود که در سازمانهای مختلف و در زمینه های کاربردی مختلف قابل پیاده سازی باشد.ISO/IEC 27001 منابع و دادههای هر سازمان را به عنوان سرمایههای آن سازمان در نظر می گیرد. هدف سیستم مدیریت امنیت اطلاعات حفاظت از این سرمایههاست تا با این کار بتوان استمرار کسب و کار را تضمین نمود، آسیب پذیری آن را به حداقل رسانیده، بازگشت سرمایه را به بالا ترین مرز ممکن خود نزدیک کرد. طبق تعریف ISO/IEC 27001، امنیت اطلاعات به منظور تضمین سه اصل زیر مورد نیاز میباشد:* محرمانگی: اطمینان از اینکه منابع فقط برای افراد مجاز سازمان در دسترس میباشند.* یکپارچگی: تامین دقت لازم و کامل بودن منابع و دادهها و روش های پرداز ش آنها* دسترس پذیری: اطمینان از این که افراد مجاز در تمامی زمانهای تعیین شده، به منابع و دادهها و سرمایههای موجود دسترسی داشته باشند.
مزایای استاندارد ISO/IEC 27001:2005امنیت اطلاعات می تواند نیازهای تجارت را در سه ضلعی محرمانگی، یکپارچگی و دسترسپذیری بر طرف سازد. در سیستم مدیریت امنیت اطلاعات، بر خلاف سیستمهای سنتی، به منظور تشخیص و جلوگیری از مواجهه با چالشهای امنیتی و بازیابی دادههای آسیب دیده به حالت اولیه خود، بهترین الگوها و مناسب ترین راهنمایی ها پس از انجام ارزیابی های مختلف در دسترس می باشند. ISO/IEC 27001 مبنایی را برای ایمن سازی سرمایههای سازمانی و روشهایی را برای مدیریت فرایند امنیت اطلاعات ارایه می نماید.ISO/IEC 27001 برای سازمانها مزایای زیر را به ارمغان می آورد:* برخورداری از یک متدولوژی سازمان یافته بین المللی برای مدیریت امنیت اطلاعات* داشتن فرایندهای مشخص برای ارزیابی، اجرا، نگهداری و مدیریت امنیت اطلاعات* برخورداری از مجموعه سیاست ها، استانداردها، روالها و رهنمونهای مناسب
اجزای تشکیل دهنده استاندارد ISO/IEC 27001:2005سرمایههای سازمانی به طور روزمره با تهدیدهای متعددی مواجه هستند و این در حالی است که سازمانها روز به روز به سرمایههای خود وابسته تر می شوند. بیشتر سیستم های اطلاعاتی به خودی خود ایمن نیستند و اعمال راه حل های تکنیکی فقط بخشی از یک راه حل کلی امنیت اطلاعات می باشد. راه اندازی تجهیزات امنیت اطلاعات بسیار ضروری است، اما برای انجام چنین کاری، هر سازمانی باید در ابتدا محیطهای تهدیدآمیز خود را شناسایی نمایند. این محیطها دامنه طراحی و پیادهسازی سیستم مدیریت امنیت اطلاعات قلمداد می شوند.با شناسایی دامنه های مخاطرات امنیتی، برای کاهش موجبات این مخاطرات می توان کنترل های مناسبی را طراحی نمود. ISO/IEC 27001 دارای کنترل های امنیتی در 11 دامنه بسیار جامع می باشد که این 11 دامنه مبنای ارزیابی مخاطرات امنیتی و گسترش امنیت در نظر گرفته می شوند. دامنههای مذکور عبارتند از:1. سیاست های امنیتی Security Policy :2. ساختار امنیت اطلاعات: Organization of Information Security3. مدیریت سرمایه: Asset Management4. امنیت منابع انسانی: Human Resource Security5. امنیت فیزیکی و محیطی: Physical & Environmental Security6. مدیریت ارتباطات و عملیات: Communications & Operations Management7. کنترلهای دسترسی: Access Controls8. ایجاد، پیادهسازی و نگهداری سیستمهای اطلاعاتی: Information System Acquisition, Development and Maintenance9. مدیریت بحران امنیت اطلاعات: Information Security Incident Management10. مدیریت تداوم کسب و کار: Business Continuity Management11. تطابق: Compliance
ISO/IEC 27001-BS 7799 مجموعه دامنه هایی را بدست می دهد که در مدیریت امنیت هر سازمان مورد نیاز میباشند. ممیزی عبارت است از نگرشی مدیریت شده به ضعفهای این نواحی که می تواند بر محرمانگی، یکپارچگی و قابلیت دسترسی سیستم های تکنولوژی اطلاعات تاثیرگذار باشد. ISO/IEC 27001 اظهار می دارد که در هر ناحیه، ممیز باید اوضاع کنونی را با توجه به معیار ها یا استاندارد های امنیتی -که می توانند سازمان را به بهترین نحو محافظت کنند- ارزیابی نماید.
استاندارد ISO/IEC 27001:2005 و یک روش پردازش برای مدیریت دادههاISO/IEC 27001 یک روش پردازشی برای ایجاد، اجرا، اعمال، نظارت، نگهداری و بهینهسازی کارایی سیستم مدیریت امنیت اطلاعات یک سازمان را ترویج میدهد. هر سازمانی برای اینکه درست کار کند، بایستی فعالیتهای زیادی را تعریف و مدیریت نماید. هر فعالیتی که برای تبدیل ورودی ها به خروجی ها با استفاده از منابع سازمان مدیریت گردد می تواند یک فرایند در نظر گرفت
مقدمهای بر سیستم مدیریت امنیت اطلاعاتISO/IEC 27001 یک استاندارد بین المللی شناخته شده برای مدیریت امنیت اطلاعات است؛ این استاندارد به طور مستقیم از استاندارد مدیریت امنیت اطلاعات (BS 7799) متعلق به موسسه استاندارد انگلستان گرفته شده است. ISO/IEC 27001 یک استاندارد سطح بالا است که برای سیستمهای تجاری گوناگون قابل پیادهسازی می باشد. در واقع ویژگی های این استاندارد سبب می شود که در سازمانهای مختلف و در زمینه های کاربردی مختلف قابل پیاده سازی باشد.ISO/IEC 27001 منابع و دادههای هر سازمان را به عنوان سرمایههای آن سازمان در نظر می گیرد. هدف سیستم مدیریت امنیت اطلاعات حفاظت از این سرمایههاست تا با این کار بتوان استمرار کسب و کار را تضمین نمود، آسیب پذیری آن را به حداقل رسانیده، بازگشت سرمایه را به بالا ترین مرز ممکن خود نزدیک کرد. طبق تعریف ISO/IEC 27001، امنیت اطلاعات به منظور تضمین سه اصل زیر مورد نیاز میباشد:* محرمانگی: اطمینان از اینکه منابع فقط برای افراد مجاز سازمان در دسترس میباشند.* یکپارچگی: تامین دقت لازم و کامل بودن منابع و دادهها و روش های پرداز ش آنها* دسترس پذیری: اطمینان از این که افراد مجاز در تمامی زمانهای تعیین شده، به منابع و دادهها و سرمایههای موجود دسترسی داشته باشند.
مزایای استاندارد ISO/IEC 27001:2005امنیت اطلاعات می تواند نیازهای تجارت را در سه ضلعی محرمانگی، یکپارچگی و دسترسپذیری بر طرف سازد. در سیستم مدیریت امنیت اطلاعات، بر خلاف سیستمهای سنتی، به منظور تشخیص و جلوگیری از مواجهه با چالشهای امنیتی و بازیابی دادههای آسیب دیده به حالت اولیه خود، بهترین الگوها و مناسب ترین راهنمایی ها پس از انجام ارزیابی های مختلف در دسترس می باشند. ISO/IEC 27001 مبنایی را برای ایمن سازی سرمایههای سازمانی و روشهایی را برای مدیریت فرایند امنیت اطلاعات ارایه می نماید.ISO/IEC 27001 برای سازمانها مزایای زیر را به ارمغان می آورد:* برخورداری از یک متدولوژی سازمان یافته بین المللی برای مدیریت امنیت اطلاعات* داشتن فرایندهای مشخص برای ارزیابی، اجرا، نگهداری و مدیریت امنیت اطلاعات* برخورداری از مجموعه سیاست ها، استانداردها، روالها و رهنمونهای مناسب
اجزای تشکیل دهنده استاندارد ISO/IEC 27001:2005سرمایههای سازمانی به طور روزمره با تهدیدهای متعددی مواجه هستند و این در حالی است که سازمانها روز به روز به سرمایههای خود وابسته تر می شوند. بیشتر سیستم های اطلاعاتی به خودی خود ایمن نیستند و اعمال راه حل های تکنیکی فقط بخشی از یک راه حل کلی امنیت اطلاعات می باشد. راه اندازی تجهیزات امنیت اطلاعات بسیار ضروری است، اما برای انجام چنین کاری، هر سازمانی باید در ابتدا محیطهای تهدیدآمیز خود را شناسایی نمایند. این محیطها دامنه طراحی و پیادهسازی سیستم مدیریت امنیت اطلاعات قلمداد می شوند.با شناسایی دامنه های مخاطرات امنیتی، برای کاهش موجبات این مخاطرات می توان کنترل های مناسبی را طراحی نمود. ISO/IEC 27001 دارای کنترل های امنیتی در 11 دامنه بسیار جامع می باشد که این 11 دامنه مبنای ارزیابی مخاطرات امنیتی و گسترش امنیت در نظر گرفته می شوند. دامنههای مذکور عبارتند از:1. سیاست های امنیتی Security Policy :2. ساختار امنیت اطلاعات: Organization of Information Security3. مدیریت سرمایه: Asset Management4. امنیت منابع انسانی: Human Resource Security5. امنیت فیزیکی و محیطی: Physical & Environmental Security6. مدیریت ارتباطات و عملیات: Communications & Operations Management7. کنترلهای دسترسی: Access Controls8. ایجاد، پیادهسازی و نگهداری سیستمهای اطلاعاتی: Information System Acquisition, Development and Maintenance9. مدیریت بحران امنیت اطلاعات: Information Security Incident Management10. مدیریت تداوم کسب و کار: Business Continuity Management11. تطابق: Compliance
ISO/IEC 27001-BS 7799 مجموعه دامنه هایی را بدست می دهد که در مدیریت امنیت هر سازمان مورد نیاز میباشند. ممیزی عبارت است از نگرشی مدیریت شده به ضعفهای این نواحی که می تواند بر محرمانگی، یکپارچگی و قابلیت دسترسی سیستم های تکنولوژی اطلاعات تاثیرگذار باشد. ISO/IEC 27001 اظهار می دارد که در هر ناحیه، ممیز باید اوضاع کنونی را با توجه به معیار ها یا استاندارد های امنیتی -که می توانند سازمان را به بهترین نحو محافظت کنند- ارزیابی نماید.
استاندارد ISO/IEC 27001:2005 و یک روش پردازش برای مدیریت دادههاISO/IEC 27001 یک روش پردازشی برای ایجاد، اجرا، اعمال، نظارت، نگهداری و بهینهسازی کارایی سیستم مدیریت امنیت اطلاعات یک سازمان را ترویج میدهد. هر سازمانی برای اینکه درست کار کند، بایستی فعالیتهای زیادی را تعریف و مدیریت نماید. هر فعالیتی که برای تبدیل ورودی ها به خروجی ها با استفاده از منابع سازمان مدیریت گردد می تواند یک فرایند در نظر گرفت
هیچ نظری موجود نیست:
ارسال یک نظر