ISMS چیست ؟

ISMS مخفف Information Security Management System است که به فارسی می شود: سیستم مدیریت امنیت اطلاعات. این سیستم یک رویکرد ساخت یافته برای حفظ امنیت اطلاعات....

انتشار: , زمان مطالعه: 4 دقیقه
ISMS یا  ISO/IEC 27001 چیست ؟
دسته بندی: امنیت سایبری تعداد بازدید: 237

ISMS چیست ؟

ISMS مخفف Information Security Management System است که به فارسی می شود: سیستم مدیریت امنیت اطلاعات. این سیستم یک رویکرد ساخت یافته برای حفظ امنیت اطلاعات می باشد. 

ISMS یک سری از سیاست‌ها، روش‌ها، روال‌ها، سیستم‌ها و اقدامات است که به منظور حفظ و حفاظت از انواع اطلاعات (چه بصورت الکترونیکی و چه بصورت فیزیکی) مورد استفاده قرار می‌گیرد. این سیستم بر مبنای استاندارد بین‌المللی ISO/IEC 27001 و دیگر استانداردهای مرتبط با آن بنا می‌شود.

ISMS به سازمان ها کمک می کند تا موارد زیر را مدیریت کنند:
- امنیت اطلاعات خود و اطلاعات شخص ثالث
- ریسک‌های امنیت اطلاعات و تاثیر آنها
- بهبود به موقع و اثربخشی در امنیت اطلاعات 

این سیستم همچنین به سازمان‌ها کمک می‌کند تا به تعهدات قانونی و قراردادی خود در زمینه حفاظت از اطلاعات خود و سومین طرف پاسخ دهند.

در پیاده‌سازی ISMS، یک سازمان ابتدا باید قدم‌های زیر را انجام دهد:

1. تعریف حوزه ISMS: سازمان باید حوزه امنیتی خود را تعریف کند. این می‌تواند کل سازمان، یک بخش خاص، یک پروژه یا حتی یک سیستم خاص باشد.

2. تعریف سیاست امنیتی: سیاست امنیتی باید توسط مدیریت علیا تصویب شود و باید مشخص کند که چه چیزی باید برای حفظ امنیت اطلاعات انجام شود.

3. ارزیابی ریسک: سازمان باید تمام ریسک‌های امکان‌پذیر را برای اطلاعات و سیستم‌هایی که محافظت می‌کند شناسایی کند، سپس آنها را بر اساس احتمال و تأثیر طبقه‌بندی کند.

4. مدیریت ریسک: سازمان باید تصمیم بگیرد که چگونه با ریسک‌ها مواجه شود - آیا آنها را کاهش دهد، آنها را قبول کند، یا انتقال آنها به طرف دیگر (مانند شرکت بیمه).

5. انتخاب کنترل‌ها: بر اساس تصمیمات مدیریت ریسک، سازمان باید کنترل‌های مناسب را برای کاهش ریسک انتخاب کند. این کنترل‌ها می‌توانند فیزیکی (مانند قفل‌ها و سیستم‌های نظارت), فناوری اطلاعات (مانند رمزگذاری و دسترسی مبتنی بر نقش), یا مدیریتی (مانند سیاست‌ها و رویه‌ها) باشند.

6. تهیه برنامه برای بهبود مداوم: ISMS باید همیشه در حال بهبود باشد. برای این کار، سازمان باید یک برنامه برای بازبینی و بهبود مداوم کنترل‌ها و روش‌های خود ایجاد کند.

توجه داشته باشید که اجرای یک ISMS درست و کامل می‌تواند فرایند زمان‌بری باشد، ولی با توجه به اینکه این سیستم به شما کمک می‌کند تا از داده‌های محرمانه خود در برابر دسترسی‌های غیرمجاز محافظت کنید، ارزش این زمان و هزینه را دارد.

اطلاعات بیشتر در مورد شماره استاندارد ISMS

استاندارد بین‌المللی برای سیستم‌های مدیریت امنیت اطلاعات، ISO/IEC 27001 است. این استاندارد توسط سازمان بین‌المللی استاندارد (ISO) و کمیسیون الکتروتکنیک بین‌المللی (IEC) توسعه یافته است.

این استاندارد نیازمندی‌های اصلی را برای برقراری، پیاده‌سازی، حفظ و بهبود یک سیستم مدیریت امنیت اطلاعات (ISMS) تعریف می‌کند. این شامل ارزیابی و مدیریت ریسک امنیت اطلاعات در سازمان است.

ISO/IEC 27001 همچنین نیازمندی‌ها را برای طراحی و اجرای کنترل‌های امنیتی مناسب برای مدیریت ریسک امنیت اطلاعات شرح می‌دهد. این کنترل‌ها عموما از کاتالوگ کنترل‌هایی که در استاندارد ISO/IEC 27002 توصیف شده‌اند انتخاب می‌شوند.

ISMS در ایران

مانند بسیاری از کشورهای دیگر، ایران نیز از استاندارد بین‌المللی ISO/IEC 27001 برای مدیریت امنیت اطلاعات استفاده می‌کند. این استاندارد، که برای سیستم‌های مدیریت امنیت اطلاعات (ISMS) توسط سازمان بین‌المللی استاندارد و کمیسیون الکتروتکنیک بین‌المللی توسعه یافته است، راهنمایی برای حفاظت از داده‌ها و اطلاعات سازمان‌ها در مقابل تهدیدات امنیتی ارائه می‌دهد.

در ایران، موسسات و سازمان‌های بسیاری از جمله بانک‌ها، شرکت‌های IT، دستگاه‌های دولتی، و دیگر سازمان‌های بزرگ از این استاندارد پیروی می‌کنند و ISMS خود را بر اساس آن می‌سازند و اجرا می‌کنند. برخی از این سازمان‌ها اقدام به دریافت گواهینامه ISO 27001 برای ISMS خود نیز کرده‌اند.

با توجه به اینکه امنیت اطلاعات برای همه سازمان‌ها اهمیت بالایی دارد، و به خصوص با توجه به رشد فناوری اطلاعات و تهدیدات سایبری، استفاده از یک سیستم مدیریت امنیت اطلاعات بر اساس استانداردهای بین‌المللی مانند ISO/IEC 27001 می‌تواند به سازمان‌ها در حفاظت از داده‌ها و اطلاعات خود و رفع الزامات قانونی و قراردادی کمک بسیاری کند.


دیدگاه های مربوط به این مقاله (برای ارسال دیدگاه در سایت حتما باید عضو باشید و پروفایل کاربری شما تکمیل شده باشد)