نظام مدیریت امنیت اطلاعات

  نظام مدیریت امنیت اطلاعات ISMS، در مجموع یك رویكرد نظاممند به مدیریت اطلاعات حساس به منظور محافظت از آنهاست. امنیت اطلاعات چیزی فراتر از نصب یك دیواره آتش ساده یا عقد قرارداد با یك شركت امنیتی است. در چنین رویكردی بسیار مهم است كه فعالیت های گوناگون امنیتی را با راهبردی مشترك به منظور تدارك یك سطح بهینه از حفاظت هم راستا كنیم. نظام مدیریتی مذكور باید شامل روش های ارزیابی، محافظت، مستندسازی و بازنگری باشد، كه این مراحل در قالب یك چرخه (PDCA(PLAN-DO-CHECK-ACT تحقق پذیر است. (چرخه یادشده نقش محوری در تشریح و تحقق استاندارد ISO 9001 دارد.)
برنامه ریزی Plan:
تعریف چشم انداز نظام مدیریتی و سیاستهای امنیتی سازمان.
تعیین و ارزیابی مخاطرات.
انتخاب اهداف كنترل و آنچه سازمان را در مدیریت این مخاطرات یاری میكند.
آماده سازی شرایط اجرایی.
  انجام Do:
تدوین و اجرای یك طرح برای تقلیل مخاطرات.
اجرای طرح های كنترلی انتخابی برای تحقق اهداف كنترلی.
ارزیابی Check:
استقرار روشهای نظارت و پایش.
هدایت بازنگری های ادواری به منظور ارزیابی اثربخشی ISMS.
بازنگری درحد قابل قبول مخاطرات.
پیشبرد و هدایت ممیزی های داخلی به منظور ارزیابی تحقق ISMS.
  باز انجام Act:
اجرای توصیههای ارائه شده برای بهبود.
نظام مدیریتی مذكور.
انجام اقدامات اصلاحی و پیشگیرانه.
ارزیابی اقدامات صورت پذیرفته در راستای بهبود.

همانند نظام های مدیریت كیفیت نظام مدیریت امنیت اطلاعات نیز در دو بخش فرایندها و محصولات مطرح است. بخش فرایندها بر طراحی و اجرای دستورالعمل های مدیریتی به منظور برقراری و حفظ امنیت اطلاعات استوار است و بخش محصولات یك نظام مدیریتی است كه سازمان به منظور بكارگیری محصولات نرم افزاری معتبر در زیرساخت های فناوری اطلاعات خود برای برقراری و حفظ امنیت اطلاعات خویش از آن بهره می گیرد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *