این سایت برای ie9 طراحی نشده است

لطفا دستگاه خود را بچرخانید.

ISMS چیست ؟

۲۴ تیر ۱۳۹۵ حمید شهبازی
بدون دیدگاه

سیستم مدیریت امنیت اطلاعات (Information Security Management System) سیستمی است که طبق آن  فعالیت هایی در سازمان به صورت حرفه ای انجام می شود و در نهایت منجر به تأمین امنیت سازمان می شود.

این فعالیت بر مبنای چرخه PDCA Deming است.

زمانی که ISMS پیاده سازی شود فعالیت های سازمان در یک روال امن قرار می گیرد. یک سازمان حتما باید ISMS داشته باشد.

به یاد داشته باشید که همیشه بین رضایت کارکنان و میزان امنیت یک رابطه معکوس وجود دارد. کاربران دوست دارند بدون کلمه عبور وارد سیستم شوند اما چیزی که امنیت دوست دارد این است که هر هفته کلمه عبور عوض شود. پس باید یک مصالحه بین این دو برقرار شود.

یکی از خروجی های ISMS سیاست نامه های امنیتی (Security Policy) است. سیاست نامه های امنیتی عملکردهای سازمان را طبق ساز و کارهایی در راستای امنیت قرار می دهد. مثلا برای انتقال دیتا یک ساز و کار داریم که اول فرد مورد نظر مورد تایید باشد، دوم قرار گرفتن دیتا در بستر انتقال مورد اطمینان و سوم آیا دیتا جز اطلاعات دارای طبقه بندی محرمانه است یا نه!؟.

وقتی کار طبق روال انجام شود، اگر کوتاهی در انجام کار انجام شود، عامل آن پیدا می شود همچنین سرعت کار بهبود می یابد و امنیت نیز فراهم می شود. سختی پیاده سازی ISMS در مسائلی مثل طبقه بندی دارایی ها، توجیه مدیران، کارکنان و … است.

طبق چرخه PDCA Deming برنامه ریزی انجام می شود، ابلاغ می شود، کنترل می شود و اجرا می شود.

PDCA Deming

۱- Plan : Establishing ISMS

تعریف کردن یک سیاست نامه امنیتی، اهداف و روال هایی است که به مدیریت ریسک مرتبط می شود و توسعه امینت اطلاعات باید به منظور رسیدن به نتایجی همسو با فعالیت های سازمان باشد. مثلا اگر سازمانی در حال تولید محصول کامپیوتری است، سیاست نامه امنیتی نباید به گونه ای باشد که جلوی تولید را بگیرد.

۲- Do : Implementation and enforcement of ISMS

پیاده سازی طرحی که چیده ایم

۳- Check : Monitoring and Controlling the ISMS

بررسی نظرات کاربران و کارایی فرایندها

۴- Act : Improvement and Supporting the ISMS

بهبود Feedback ها و اعمال آن در عملکردها که باید به صورت پیوسته باشد

مهمترین خروجی ISMS همان Security Policy است که به قسمت های مختلف ابلاغ می شود و عملکرد سازمان را مشخص می کند همچنین هر سازمانی هم Security Policy خودش را دارد.

برچسب ها :