ISMS چیست؟

سیستم مدیریت امنیت اطلاعات یا Information Security Management System سیستمی برای پیاده‌سازی کنترل‌های امنیتی می‌باشد که با برقراری زیرساخت‌های مورد نیاز، ایمنی اطلاعات را تضمین می‌نماید. مدلل PDCA ساختاری است که در پیاده‌سازی ISMS بکار برده می شود و ISMS زیربنای BS7799 می‌باشد
BS7799 حفاظت از اطلاعات را در سه مفهوم خاص یعنی قابل اطمینان بودن اطلاعات (Confidentiality) و صحت اطلاعات (Integrity) و در دسترس بودن اطلاعات (Availability) تعریف می‌کند.
برای داشتن سازمانی با برنامه و ایده‌آل، هدفمندکردن این تلاش‌ها برای رسیدن به حداکثر ایمنی امری است که باید مدنظر قرار گیرد .
استاندارد BS7799 راهکاری است که اطلاعات سازمان و شرکت را دسته‌بندی و ارزش‌گذاری کرده و با ایجاد سیاست‌های متناسب با سازمان و همچنین پیاده‌سازی ۱۲۷ کنترل مختلف، اطلاعات سازمان را ایمن می‌سازد. این اطلاعات نه تنها داده‌های کامپیوتری و اطلاعات سرورها، بلکه کلیه موارد حتی نگهبان سازمان یا شرکت را در نظر خواهد گرفت.

آیا امنیت ۱۰۰% امکانپذیر است؟
با پیشرفت علوم کامپیوتری و همچنین بوجود آمدن ابزارهای جدید Hack و Crack و همچنین وجود صدها مشکل ناخواسته در طراحی شبکه‌ ها و نرم‌افزارهای مختلف و روال‌های امنیتی سازمان‌ها، همیشه خطر حمله وو دسترسی افراد غیرمجاز وجود دارد. حتی قوی‌ترین شبکه‌ها و سایت‌های موجود در دنیا در معرض خطر افرادد غیرمجاز و سودجو قرار دارند. ولی آیا چون نمی‌توان امنیت ۱۰۰% داشت باید به نکات امنیتی و ایجاد سیاست‌های مختلف امنیتی بی‌توجه بود؟

مراحل ایجاد سیستم مدیریت امنیت اطلاعات (ISMS)

ایجاد و تعریف سیاست‌ها
در این مرحله ایجاد سیاست‌های کلی سازمان مدنظر قراردارد. روال‌ها از درون فعالیت شرکت یا سازمان استخراج شده و در قالب سند و سیاست امنیتی به شرکت ارائه می‌شود. مدیران کارشناسان برنامه‌ریز نقش کلیدی در گردآوری این سند خواهند داشت.

تعیین محدوده عملیاتی
یک سازمان ممکن است دارای چندین زیرمجموعه و شاخه‌های کاری باشد لذا شروع پیاده‌سازی سیستم امنیت اطلاعات کاری بس دشوار است. برای جلوگیری از پیچیدگی پیاده‌سازی، تعریف محدوده و Scope صورت می‌پذیرد. Scope می‌تواند ساختمان مرکزی یک سازمان یا بخش اداری و یا حتی سایت کامپیوتری سازمان باشد. بنابراین قدم اول تعیین Scope و الویت برای پیاده‌سازی استاندارد امنیت اطلاعات در Scope خواهد بود. پس از پیاده‌سازی و اجرای کنترل‌های BS7799 و اخذ گواهینامه برای محدوده تعیین شده نوبت به پیاده‌سازی آن در سایر قسمت‌ها می‌رسد که مرحله به مرحله اجرا خواهند شد.

برآورد دارایی‌ها و طبقه‌بندی آن‌ها
برای اینکه بتوان کنترل‌های مناسب را برای قسمت‌های مختلف سازمان اعمال کرد ابتدا نیاز به تعیین دارایی‌ها می‌باشد. در واقع ابتدا باید تعیین کرد چه داریم و سپس اقدام به ایمن سازی آن نماییم. در این مرحله لیست کلیه تجهیزات و دارایی‌های سازمان تهیه شده و با توجه به درجه اهمیت آن طبقه‌بندی خواهند شد.

ارزیابی خطرات 
با داشتن لیست دارایی‌ها و اهمیت آن‌ها برای سازمان، نسبت به پیش‌بینی خطرات اقدام کنید. پس از تعیین کلیه خطرات برای هر دارایی اقدام به تشخیص نقاط ضعف امنیتی و دلایل بوجود آمدن تهدیدها نمایید و سپس با داشتن اطلاعات نقاط ضعف را برطرف سازید و خطرات و تهدیدها و نقاط ضعف را مستند نمایید.

مدیریت خطرات
مستندات مربوط به خطرات و تهدیدها و همچنین نقاط ضعف امنیتی، شما را قادر به اتخاذ تصمیم درست و مؤثر برای مقابله با آن‌ها می نماید.

انتخاب کنترل مناسب
استاندارد BS7799 دارای ۱۰ گروه کنترلی می باشد که هرگروه شامل چندین کنترل زیرمجموعه است بنابراین در کل ۱۲۷ کنترل برای داشتن سیستم مدیریت امنیت اطلاعات مدنظر قراردارد. با انجام مراحل بالا شرکت یا سازمان شما پتانسیل پیاده‌سازی کنترل‌های مذکور را خواهد داشت. این ده گروه کنترلی عبارتند از :
1) سیاست‌های امنیتی
2) امنیت سازمان
3) کنترل و طبقه‌بندی دارایی‌ها
4) امنیت فردی
5) امنیت فیزیکی
6) مدیریت ارتباط ها
7) کنترل دسترسی‌ها
8) روش‌ها و روال‌های نگهداری و بهبود اطلاعات
9) مدیریت تداوم کار سازمان
10) سازگاری با موارد قانونی

تعیین قابلیت اجرا
جمع‌آوری لیست دارایی‌ها، تعیین تهدیدها ، نقاط ضعف امنیتی و در نهایت ایجاد جدول کنترل‌ها ما را در بهه دست آوردن جدولی موسوم به SOA یا Statement Of Applicability یاری می رساند. این جدول لیستی نهاییی از کلیه کنترل‌های مورد نیاز برای پیاده‌سازی را ارائه می‌دهد. با مطالعه این جدول و مشخص‌کردن کنترل‌های قابل اجرا و اعمال آن‌ها، سازمانِ خود را برای اخذ استاندارد BS7799 آماده خواهید ساخت.

نتیجه آنکه برای رسیدن به یک قالب درست امنیتی ناچار به استفاده از روال‌های صحیح کاری و همچنین پیاده‌سازی استاندارد امنیت هستیم و پیاده‌سازی فازهای امنیت با رویکرد ISMS انتخابی درست برای رسیدن به این منظور می‌باشد.