toluesoft

سیستم مدیریت امنیت اطلاعات

 سیستم مدیریت امنیت اطلاعات

Information Security Management System (ISMS)

  اطلاعات یک دارایی است و همانند سایر داراییهای مهم سازمان دارای ارزش بوده و بنا بر این نیازمند حفاظت مناسب است.

 حفاظت از اطلاعات از الزامات کسب و کار است و فقط محدود به حوزه IT (فن آوری اطلاعات ) نمی شود بلکه باید در تمام حوزه های یک سازمان به منظور رسیدن به اهداف ذیل انجام شود.

  • از دیدگاه مشتریان / سهامداران : به منظور حفظ مشتریان ، جلب رضایت سهامداران
  • از دیدگاه بازاریابی : به منظور حصول حاشیه رقابتی در بازارهای محصول یا خدمات
  • از دیدگاه قابلیت اعتماد : اثبات به شرکای تجاری در تعهد به امنیت اطلاعات آنها
  • از دیدگاه کنترلی : ابزار مدیریتی داخلی برای کنترل و اطمینان

سیستم مدیریت امنیت اطلاعات در واقع قسمتی از سیستم مدیریت کلان سازمان است که بر مبنای دیدگاه مخاطرات کسب و کار بنا شده است (اساس این سیستم، مدیریت مخاطرات می‌باشد) و به منظور ایجاد، پیاده‌سازی، اجرا، پایش، بازنگری، نگهداری و بهبود امنیت اطلاعات در سازمان، بکار می‌رود.

از مهم‌ترین فواید این سیستم، می‌توان به موارد ذیل اشاره نمود:

  • ابزاری مدیریتی برای کنترل سیستماتیک امنیت اطلاعات.
  • کمینه نمودن زیان‌های وارده به کسب و کار، ناشی از عدم حفاظت اطلاعات.
  • حفظ امنیت اطلاعات سازمان، در تعامل با سایر سازمان‌ها.
  • افزایش فرصت‌های مرتبط با کسب و کار.
  • هموار نمودن زمینه‌های تداوم کسب و کار.
  • فراهم‌آوری حاشبه رقابتی در بازاریابی، جریان نقدینگی و سودآوری.
  • زمینه‌سازی برای حضور در بازارهای جهانی.
  • چارجوبی مناسب در راستای تجارت الکترونیک.
  • برآورده‌سازی الزامات قانونی در یک سیستم امنیت اطلاعات کنترل شده.

امنیت اطلاعات در سه لایه مطرح می‌شود:

  • امنیت سازمانی
  • امنیت سیستم فناوری اطلاعات
  • امنیت اجزاء و محصولات امنیتی

استاندارد ISO/IEC 27001:2005 ( سیستم مدیریت امنیت اطلاعات ) در یازده قسمت ذیل سازمان‌دهی شده است:

  • خط مشی امنیتی
  • سازمان امنیت اطلاعات
  • مدیریت دارائی‌
  • امنیت منابع انسانی
  • امنیت فیزیکی و محیطی
  • مدیریت ارتباطات و عملیات
  • کنترل دسترسی
  • توسعه و نگهداری سیستم‌های اطلاعاتی
  • مدیریت حوادث امنیت اطلاعات
  • مدیریت تداوم کسب و کار
  • انطباق با الزامات قانونی

 

 پیاده سازی این پروژه شامل 5 فاز به شرح ذیل می باشد.

1- شناخت سازمان و وضعیت موجود از نظر امنیت اطلاعات و مقایسه آن با استاندارد

2- شناسایی داراییهای شرکت و ارزیابی مخاطرات وارد بر آنها

3- پیاده سازی کنترل ها و الزامات استاندارد جهت پایین آوردن ریسک بر داراییهای اطلاعاتی

4- ممیزی، پایش و مراقبت از سیستم مدیریت امنیت اطلاعات مستقر شده

5- ممیزی جهت صدور گواهینامه استاندارد توسط یکی از موسسات معتبر

 

تعداد بازدید : 6729
اشتراک گذاری:
هنوز دیدگاهی ثبت نشده‌است.شما هم می‌توانید در مورد این مطلب نظر دهید

یک نظر اضافه کنید

شماره موبایل شما منتشر نخواهد شد.زمینه های مورد نیاز هستند علامت گذاری شده *

امتیاز شما