سیستم مدیریت امنیت اطلاعات ISMS چیست؟
ISMS مخفف Information Security Management System به معنای سیستم مدیریت امنیت اطلاعات می باشد . استاندارد ی است که در سال 1995 با نگرش ایمن سازی فضای تبادل اطلاعات شکل گرفت . بر اساس این استاندارد تامین امنیت تبادل اطلاعات در سازمانها به صورت یک چرخه مداوم انجام خواهد پذیرفت.
سیستم مدیریت امنیت اطلاعات یا ISMS شامل چه مستنداتی است ؟
همانطور که اشاره کردیم ، سیستم مدیریت امنیت اطلاعات به خودی خود یک مستند متنی است که بایستی بر اساس آن سازمان ها ساختار خود را پیاده سازی کنند. در ادامه گفتیم که از بین کنترل های موجود بایستی کنترل های متناسب با سازمان خود را انتخاب کنیم و مستند متنی به عنوان خط مشی امنیت تدوین کنیم. در نهایت پیاده سازی سیستم مدیریت امنیت اطلاعات منجر به تولید چندین مستند متنی می شود که به نوع می توان گفت ISMS دارای کاغذ بازی زیادی است. اما این مستندات چه هستند و چند نوع از این مستندات بایستی در یک ساختار مدیریت امنیتی درست وجود داشته باشد ؟ بر اساس استانداردهاي مديريت امنيت اطلاعات و ارتباطات ، هر دستگاه یا سازمان بايد مجموعه مستندات مديريت امنيت اطلاعات و ارتباطات را به شرح زير، براي خود تدوين نمايد:
مستند اهداف، راهبردها و سياستهاي امنيتي فضاي تبادل اطلاعات دستگاه ( Security Policy )
مستند طرح تحليل مخاطرات امنيتي فضاي تبادل اطلاعات دستگاه ( Risk Assessment )
مستند طرح امنيت فضاي تبادل اطلاعات دستگاه
مستند طرح مقابله با حوادث امنيتي و ترميم خرابيهاي فضاي تبادل اطلاعات دستگاه ( Disaster Recovery)
مستند برنامة آگاهي رساني امنيتي به پرسنل دستگاه ( Awareness )
مستند برنامة آموزش امنيتي پرسنل تشکيلات تامين امنيت فضاي تبادل اطلاعات دستگاه
مراحل پیاده سازی و دریافت استاندارد ISO 27001 یا ISMS چیست ؟
سازمان قصد به دریافت استاندار ISO 27001 می گیرد
این قصد را با یک شرکت مشاور در زمینه پیاده سازی سیستم مدیریت امنیت اطلاعات ISMS در میان می گذارد.
شرکت مشاور در جلسه هیات مدیره خط مشی امنیتی را مشخص می کند .
بر اساس کنترل های امنیتی کلیه نیاز های امنیتی مربوط به سازمان مطابق با استاندارد ISO 27001 پیاده سازی می شود .
قبل از اینکه سر ممیز اصلی ( Lead Auditor) از نماینده بین المللی ارائه مدارک ISO یا اصطلاحا CB در محل حضور پیدا کند خود شرکت مشاور از یک گروه با عنوان ممیز داخلی ، بازرسی های لازم را انجام می دهند .
از یک سر ممیز بین المللی که به عنوان نماینده یک مرکز صدور گواهی مانند TUV یا DNV هستند دعوت می شود برای انجام بازرسی های لازم.
در صورت تایید صلاحیت و کسب حداقل امتیازات لازم ، گواهینامه صادر می شود.
استانداردهای مدیریتی ارائه شده در خصوص امنیت اطلاعات
استانداردهای مدیریتی ارائه شده در خصوص امنیت اطلاعات و ارتباطات سازمانها، عبارتند از:
۱. استاندارد مدیریتی BS7799 موسسه استاندارد انگلیس که شامل ۲ بخش است :
BS7799:1 که ISO/IEC 27002 نامیده می شود که در قالب ۱۰ دسته بندی کلی زیر است :
۱. تدوین سیاست امنیتی سازمان
۲. ایجاد تشکیلات تامین امنیت سازمان
۳. دستهبندی سرمایهها و تعیین کنترلهای لازم
۴. امنیت پرسنلی
۵. امنیت فیزیکی و پیرامونی
۶. مدیریت ارتباطات
۷. کنترل دسترسی
۸. نگهداری و توسعه سیستمها
۹. مدیریت تداوم فعالیت سازمان
۱۰. پاسخگوئی به نیازهای امنیتی
مستندات ISMS
اهداف، راهبردها و سیاستهای امنیتی فضای تبادل اطلاعات دستگاه
طرح تحلیل مخاطرات امنیتی فضای تبادل اطلاعات دستگاه
طرح امنیت فضای تبادل اطلاعات دستگاه
طرح مقابله با حوادث امنیتی و ترمیم خرابیهای فضای تبادل اطلاعات دستگاه
برنامه آگاهی رسانی امنیتی به پرسنل دستگاه
برنامه آموزش امنیتی پرسنل تشکیلات تامین امنیت فضای تبادل اطلاعات دستگاه
اجزاء تشکیلات امنیت
تشکیلات امنیت شبکه، متشکل از سه جزء اصلی به شرح زیر می باشد :
در سطح سیاستگذاری : کمیته راهبری امنیت فضای تبادل اطلاعات دستگاه
در سطح مدیریت اجرائی : مدیر امنیت فضای تبادل اطلاعات دستگاه
در سطح فنی : واحد پشتیبانی امنیت فضای تبادل اطلاعات دستگاه
منابع:
security.itpro.ir
it-sec.ir
wikipedia.org
