ISMS مخفف عبارت Information Security Management System به معناي سيستم مديريت امنيت اطلاعات مي باشد و استانداردهايي را براي ايمن سازي فضاي تبادل اطلاعات در سازمان ها ارائه مي دهد. اين استانداردها شامل مجموعه اي از دستورالعمل هاست تا فضاي تبادل اطلاعات يک سازمان را با اجراي يک طرح مخصوص به آن سازمان ايمن نمايد.آخرين تعريف سيستم مديريت امنيت اطلاعات از نظر استاندارد بين المللي آن عبارت است از :سيستم مديريت امنيت اطلاعات بخشي از سيستم مديريت کلي و سراسري در يک سازمان است که برپايه رويکرد مخاطرات کسب و کارقراردارشته و هدف آن، پايه گذاري، پياده سازي ، بهره برداري، نظارت، بازبيني، نگهداري و بهبود امنيت اطلاعات است.امنيت اطلاعات نيز چنين تعريف ميشود:حفاظت از محرمانگي،تماميت و دسترسپذيري اطلاعات، علاوه براينها ساير ويژگيها از قبيل اصالت، قابليت جوابگويي و اعتبار،انکارناپذيري و قابليت اطمينان اطلاعات نيز ميتوانند مشمول اين حفاظت باشند. استانداردهاي مديريتي ارائه شده در خصوص امنيت اطلاعات استانداردهاي مديريتي ارائه شده در خصوص امنيت اطلاعات و ارتباطات سازمان عبارتند از:
•استاندارد موسسه استاندارد انگلیس BS7799
•استاندارد مديريتي موسسه بين المللي استاندارد ISO/IEC 17799
•گزارش فني موسسه بين المللي استاندارد ISO/IEC TR 13335
مزاياي استفاده از ISMS
– اطمينان از تداوم تجارت و كاهش صدمات توسط ايمن ساختن اطلاعات وكاهش تهديدها
– اطمينان از سازگاري با استاندارد امنيت اطلاعات و محافظت از داده ها
– قابل اطمينان كردن تصميم گيري ها و محك زدن سيستم مديريت امنيت اطلاعات
– ايجاد اطمينان نزد مشتريان و شركاي تجاري
– امكان رقابت بهتر با ساير شركت ها
– ايجاد مديريت فعال و پويا در پياده سازي امنيت داده ها و اطلاعات
با این حال مزاياي استفاده از سيستم مديريت امنيت اطلاعات مبتني بر استاندارد BS7799 و ISO 27001 در ایران عبارتند از :
•استاندارد مورد تأييد و اجباري از سوي شورايعالي امنيت فضاي تبادل اطلاعات كشور
•كمك به تهيه برنامه عملياتي امنيت فضاي تبادل اطلاعات سازمانها
•تأمين امنيت در همه سطوح شامل امنيت فيزيكي، پرسنلي و ارتباطات
•ايجاد چارچوب و ساختاري براي توسعه و نگهداري امنيت اطلاعات
•کاهش تبليغات منفي عليه سازمان و افزايش وجهه و اعتبار سازمان
•جديدترين استاندارد امنيت اطلاعات با رويكرد پيشگيرانه
•كاهش هزينهها
•سيستم مديريت امنيت پويا
•آموزش پرسنل و ارتقاء سطح آگاهي و دانش عمومي آنها در زمينه امنيت
در اين بررسي قصد داشتيم تا ISMS را به عنوان استانداردي جهاني براي ايمنسازي شبكهها معرفي نماييم و توجه خواننده را به اين موضوع جلب کنيم كه برقراري امنيت در سازمانها،بايد در همه ابعاد آن صورت گيرد. وجه به اين استاندارد و شناخت و پياده سازي آن ، باعث ميشود كه بحث در رابطه با موضوعات پيشرفتهتري نظير برپايي مراكز امنيت شبكه (Security Operating Center :SOC) ملموستر و دست يافتنيتر به نظر برسند.
مهندس ایمان صبری
کارشناس ارشد فناوری اطلاعات
مدرس دانشگاه
Sabri.rasaco@gmail.com