02142922000

کاتالوگ

Menu

02142922000

نکات مهم توسعه و پیاده‌سازی سیستم مدیریت امنیت اطلاعات (ISMS)

دسته‌ها
امنیت
فهرست مطالب

قبل از آنکه به طراحی، توسعه و پیاده‌سازی سیستم مدیریت امنیت اطلاعات (ISMS) بپردازید، ضروری است درک کاملی از سازمان خود داشته باشید؛ اینکه ISMS باید چه مواردی را پوشش دهد، هدف و ساختار سازمان چیست و فرآیندهای آن چگونه عمل می‌کنند.

سیستم مدیریت امنیت اطلاعات (ISMS)

سیستم مدیریت امنیت اطلاعات ISMS سرنام Information Security Management System، مجموعه‌ای از سیاست‌ها، فرآیندها، رویه‌ها، و ساختارهایی است که برای مدیریت، پیاده‌سازی، نگهداری و بهبود مستمر امنیت اطلاعات در یک سازمان به کار گرفته می‌شود. هدف اصلی ISMS این است که با مدیریت ریسک‌ها، محرمانگی (Confidentiality)، یکپارچگی (Integrity) و دسترس‌پذیری (Availability) اطلاعات سازمان را حفظ کند. این سیستم فقط به فناوری محدود نمی‌شود، بلکه افراد، فرآیندها و فناوری را نیز در بر می‌گیرد. در این میان، معروف‌ترین استاندارد بین‌المللی برای پیاده‌سازی ISMS، استاندارد ISO/IEC 27001 است که یک رویکرد سیستماتیک بر مبنای چرخه PDCA برای مدیریت ریسک‌های امنیتی است. به طور کلی، با پیاده‌سازی ISMS، سازمان‌ها می‌توانند به‌طور فعال تهدیدات را شناسایی کرده، کنترل‌های لازم را اعمال کنند و اطمینان حاصل کنند الزامات قانونی، نظارتی و قراردادی مربوط به امنیت داده‌ها به‌طور کامل رعایت می‌شوند.

این موضوع شامل بررسی مسائل داخلی و خارجی مربوط به اهداف کسب‌وکار و تاثیر آن‌ها بر نتایج مورد انتظار از ISMS است. یک عامل مهم در این زمینه، مسائلی هستند که می‌توانند برای اهداف و سیستم‌های اطلاعاتی سازمان یک ریسک امنیتی ایجاد کنند. همچنین، درک فرهنگ ریسک‌پذیری سازمان، برای طراحی و پیاده‌سازی صحیح و یکپارچه‌سازی ISMS در آن، از اهمیت بالایی برخوردار است.

عوامل مهم و تاثیرگذار بر ISMS

برای اینکه ISMS موثر و مناسب باشد و بتواند اهداف سازمان را برآورده کند، باید ریسک‌ها و فرصت‌ها را شناسایی کند. برای ارزیابی دقیق این ریسک‌ها و تمامی مسائل مرتبط داخلی و خارجی، و همچنین نیازهایی که باید به آن‌ها رسیدگی شود، نیاز به شناسایی و بررسی دقیق وجود دارد. به بیان دقیق‌تر، برای مدیریت موثر ریسک‌ها، طراحی و پیاده‌سازی ISMS باید با در نظر گرفتن این مسائل و الزامات امنیتی، با محیط و چارچوب کسب‌وکار سازمان هماهنگ و یکپارچه باشد.

درک کسب‌وکار و فضای آن برای تبدیل ISMS به یک بخش جدایی‌ناپذیر از سازمان ضروری است، نه یک نهاد مستقل. این امر به این دلیل مهم است که ISMS باید یک اهرم توانمندساز کسب‌وکار باشد که از آن محافظت کرده و برای آن ارزش‌افزایی کند و ریسک‌های امنیت اطلاعات را به حداقل می‌رساند تا فرصت‌های تجاری را به حداکثر برساند. به همین دلیل، بند ۴ استاندارد ISO/IEC 27001، نقطه آغاز توسعه ISMS و یک گام ضروری برای تمامی سازمان‌ها محسوب می‌شود.

مسائل و چارچوب داخلی

تمامی مسائل و وابستگی‌های داخلی مرتبط با اهداف سازمان برای دستیابی به یک ISMS موثر باید شناسایی و بررسی شوند. به عنوان مثال، سازمان باید از خود بپرسد: “آیا استانداردهای داخلی، خط‌مشی‌ها و رویه‌هایی مرتبط با فرآیندهای کسب‌وکار یا مدیریت عملیات و منابع وجود دارد که باید در نظر گرفته شوند؟” ممکن است مسائل، محدودیت‌ها و وابستگی‌هایی وجود داشته باشد که ISMS باید هنگام بررسی ریسک‌های امنیت اطلاعات و پیاده‌سازی کنترل‌ها برای مقابله با آن‌ها، در نظر بگیرد. به عنوان مثال، محدودیت‌هایی در نوع فناوری قابل استقرار به دلیل سیاست‌های داخلی تامین کالا، یا وابستگی به بخش یا واحد تجاری دیگری برای دریافت پشتیبانی یا منابع خاص.

ممکن است چندین سیستم اطلاعاتی داخلی و نیازهای حفاظتی متفاوت برای هر سیستم وجود داشته باشد؛ همچنین نیاز به حفاظت از اشتراک‌گذاری اطلاعات یا ارتباطات داخلی. مسائل مربوط به زیرساخت فناوری اطلاعات نیز می‌تواند بر عملکرد و اثربخشی ISMS تأثیر بگذارد که باید در ارزیابی و مدیریت ریسک ISMS مورد توجه قرار گیرد. همچنین ممکن است سازمان از قراردادهای خدمات داخلی بین واحدهای تجاری استفاده کند که مسائل و وابستگی‌های مربوط به تحویل و در دسترس بودن خدمات را مشخص می‌کنند و ISMS باید به آن‌ها رسیدگی کند. مسائل خاصی نیز ممکن است مربوط به نیروی کار داخلی باشد، مانند فرهنگ سازمانی، وابستگی به توانایی‌ها و شایستگی افراد برای نقش‌های خاص و مسائل مربوط به آگاهی آن‌ها.

درک محیط داخلی به ویژه برای مدیریت مناسب ریسک‌های ISMS بسیار مهم است. مسائل و وابستگی‌های داخلی بر پیاده‌سازی ISMS تأثیر می‌گذارند، اما خود ISMS نیز تاثیر مستقیمی بر عملیات کسب‌وکار خواهد داشت. بنابراین، هرچه اطلاعات ما در مورد مسائل و وابستگی‌های موجود در محیط کاری سازمان و تاثیر آن‌ها بر پیاده‌سازی ISMS بیشتر باشد، ارزیابی ریسک و تصمیم‌گیری برای انتخاب مؤثرترین راهکار مدیریت ریسک بهتر خواهد بود. تصمیم‌گیری درست در مورد ریسک، نوع و سطح کنترل ریسک مورد نیاز، و هزینه‌ها و مزایای پیاده‌سازی این کنترل‌ها به وجود اطلاعات دقیق و بررسی صحیح آن‌ها در طول فرآیند مدیریت ریسک بستگی دارد. این امر در مورد محیط کسب‌وکار خارجی که سازمان در آن فعالیت می‌کند نیز صدق می‌کند.

مسائل و چارچوب خارجی

تمامی مسائل و وابستگی‌های خارجی مرتبط با اهداف ISMS سازمان نیز باید شناسایی و در نظر گرفته شوند. این موارد شامل حوزه‌های زیر از ریسک و وابستگی‌های کسب‌وکار می‌شود:

  • روابط سازمانی خارجی

  • مشتریان، ارباب رجوع، مصرف‌کنندگان

  • شرکای تجاری

  • زنجیره‌های تأمین

  • ارائه‌دهندگان خدمات

  • نهادهای نظارتی

  • فروشندگان فناوری اطلاعات

  • فرآیندهای کسب‌وکار خارجی

  • منابع خارجی

  • اتصالات

  • نیروی کار خارجی

  • عناصر زیرساختی

  • شرایط بازار و رقابت

  • قوانین و مقررات جدید

  • محیط زیست و زیرساخت

  • اقدامات و الزامات مربوط به تغییرات اقلیمی و ارتباط آن‌ها با کسب‌وکار.

وابستگی به منابع، خدمات و زیرساخت‌های خارجی می‌تواند تاثیر منفی بر سازمان داشته باشد. به عنوان مثال، اگر حادثه‌ای باعث اختلال در تأمین این منابع و خدمات یا آسیب به زیرساخت‌ها شود. نقص یا وقفه، برای مثال در تامین انرژی، خدمات مخابراتی، خدمات حمل و نقل و خدمات لجستیک، می‌تواند تاثیر بزرگی بر سازمان‌ها داشته باشد.

سازمان‌هایی که چنین منابع و خدماتی را تامین می‌کنند، مسئول مدیریت ریسک‌های امنیت اطلاعات و فناوری اطلاعات خود هستند. با این حال، مسئولیت سازمانی که از این منابع و خدمات خارجی استفاده می‌کند، این است که ریسک‌های خارجی را شناسایی کند تا بتواند ریسک‌های کسب‌وکار خود را به درستی مدیریت نماید. به همین دلیل، درک فعالیت‌ها، عملیات و فرآیندهای سازمان و شناسایی مسائل و وابستگی‌های خارجی برای مدیریت صحیح ریسک‌های آن، اهمیت دارد. هرچه سازمان در مورد این مسائل آگاه‌تر باشد، بهتر می‌تواند برای مدیریت ریسک‌های ناشی از وابستگی‌های خارجی تصمیم‌گیری کند.

نویسنده: حمیدرضا تائبی

اشتراک‌گذاری
نویسنده
تصویر حمیدرضا تائبی
حمیدرضا تائبی
مطالب مشابه
برای دریافت مشاوره و یا اطلاع از قیمت، با ما در تماس باشید.
تماس با مفتاح