مدیریت امنیت اطلاعات (ISMS)

امروزه سازمان‌ها با تهدیدات زیادی در زمینه امنیت اطلاعات روبرو هستند. نگاه اصولی مدیریت به کنترل و امنیت اطلاعات می تواند با ایجاد اطمینان از عملکرد صحیح کنترل‌ها در جهت کاهش ریسک اطلاعات و همسوسازی آن با ریسک تجاری سازمان بسیار موثر باشد. در حقیقت کنترل داخلی فناوری اطلاعات، بهترین وسیله برای مواجهه و کاهش این دسته از ریسک‌ها در سازمان‌ها می‌باشد.

سیستم مدیریت امنیت اطلاعات یا Information Security Management System 

 این سیستم راهکاری مدیریتی، برای پیاده‌سازی کنترل‌های امنیتی می‌باشد که با ایجاد زیرساخت‌های مورد نیاز، امنیت اطلاعات سازمان را تضمین می‌نماید. مدل (PDCA) ساختاری است که در پیاده‌سازی (ISMS) در عموم سازمان‌ها و شرکت‌ها توصیه می‌شود. 

یک سامانه مدیریت امنیت اطلاعات (ISMS) بصورت کلی باعث کاهش صدمات ناشی از ریسک‌ها توسط ایمن ساختن اطلاعات و کاهش تهدیدها و بالطبع اطمینان از تداوم تجارت می‌شود.

پیاده‌سازی این سامانه می‌تواند موجب:

  •   حفاظت از سرمايه‌هاي سازماني
  •   ایجاد مدیریت فعال و پویا در پیاده‌سازی امنیت اطلاعات
  •   مطمئن بودن به تصمیم گیری‌ها
  •   بهبود در برنامه‌ريزي‌هاي امنيتي
  •   آمادگي براي مواجه با حوادثي كه امنيت اطلاعات را به مخاطره انداخته‌اند
  •   حفظ محرمانگي و در دسترس بودن اطلاعات
  •   امکان رقابت بهتر با سایر شرکت‌ها
  •   حفظ اطلاعات از بروز تهديدات، آسيب‌پذيري‌ها و مخاطرات در حد امكان 
  •   امكان رقابت بهتر با ساير سازمان‌‌ها
  •   محک زدن میزان امنیت اطلاعات در سازمان
  •   اطمینان از سازگاری با استانداردهای امنیت اطلاعات و محافظت از داده‌ها
  •   ایجاد اطمینان نزد مشتریان و شرکای تجاری
  •   بازگشت هزينه صرف‌شده براي پياده‌سازي (ISMS) در بلندمدت
  •   اطمينان از تداوم كسب و كار و كاهش صدمات از طريق ايمن ساختن اطلاعات و كاهش تهديدها
  •   كاهش مسئوليت‌هاي انساني در حفظ امنيت اطلاعات، بواسطه كنترل‌هاي سيستماتيك
  •   كاهش هزينه‌هاي ترميم خسارات ناشي از كمبود و نقص موازين امنيتي
  •   ايجاد اطمينان بيشتر براي مديران، كاركنان، مشتريان و ساير ذينفعان سازمان در مورد امنيت اطلاعات
  •   شناسايي، ارزيابي و حفاظت از دارايي‌هاي مهم سازمان هم‌چون: پرسنل كليدي، دانش پرسنل، اطلاعات سازمان و اعتبار و وجه سازمان

 

اولویت راه‌‌کارها :

 

با توجه به گستردگی و تنوع کنترل‌های استاندارد ISO 27001، یکی از علل ریشه‌ای موفقیت در پروژه‌های مشاوره این استاندارد، ارائه اولویت‌بندی مناسب، جهت عملیاتی سازی رویه‌ها و راه‌کارهای شناسایی شده می‌باشد.

هر راه‌کار داراي مشخصه‌هايي است که به تصميم‌گيري سازمان براي انتخاب اولویت آن‌ها به عنوان راه‌کار با اولویت بالا کمک مي‌نمايد که عبارتند از :

  منابع لازم: شناخته‌شده‌ترین منابع هر سازمان، زمان اجرا و هزینه مالی راه‌کار می‌باشد. لذا در سازمان‌ها، راهکارهايی که براي پياده‌سازي هزينه کمتري را مي‌طلبند و در زمان کمتری خروجی خود را نمایان می‌سازند، همواره مطلوبيت بيشتري نسبت به راهکارهای گران‌ و زمانبر دارند. معمولا برای اين شاخص با ترکیبی از زمان و هزینه سه سطح کم، متوسط و زياد پيش‌بينی می‌شود.

  ميزان اثر بخشي: اين شاخص مشخص مي‌کند که هر راه‌کار به چه ميزان در کاهش مخاطرات موثر است و بر حسب نوع خود مي‌تواند يکي از سه سطح کارايي کم، متوسط و زياد و ارزش متناظر را داشته باشد. طبعا استفاده از راه‌کاري که از بروز يک واقعه جلوگيري مي‌کند بسيار مناسب‌تر از راه‌کاري است که يک حادثه را اطلاع مي‌دهد و يا براي بعد از وقوع حادثه درماني ارائه مي‌کند. معمولا شاخص‌هایی که باعث کاهش احتمال وقوع ریسک می‌شود و یا تبعات ریسک را کاهش می‌دهد، با اثر بخشی بالا و مواردی که منجر به بازیابی خدمات و یا انتقال ریسک می‌شوند، با اثر بخشی پایین امتیازدهی می‌شوند.

  تعداد ریسک‌هاي تحت پوشش: همان‌طور که از نام اين شاخص مشخص است بيان مي‌کند که يک راه‌کار چه تعداد تهديد و آسیب پذیری را پوشش مي‌دهد. هر چه تعداد تهديدهاي بيشتري توسط راه‌کار پيشنهادي پوشش داده شود شاخص ارزشي آن (اولويت) آن بيشتر است.

  ارزش دارائی‌های تحت پوشش: هر چقدر که ارزش دارائي‌هايی که از اين راه‌کار بهره‌مند می‌شوند، بيشتر باشد اولويت راه‌کار بالاتر است.

 

 منبع : کی پاد

ارسال نظر

نام
ایمیل (منتشر نمی‌شود) (لازم)
وبسایت
:) :( ;) :D ;)) :X :? :P :* =(( :O @};- :B /:) :S
نظر خصوصی
مشخصات شما ذخیره شود ؟ [حذف مشخصات] [شکلک ها]
کد امنیتیرفرش کد امنیتی