مراحل اجرای نظام مدیریت امنیت اطلاعات
پیاده سازی ISMS در یك سازمان این مراحل را شامل می شود:
آماده سازی اولیه: در این مرحله باید از همراهی مدیریت ارشد سازمان اطمینان حاصل شده، اعضای تیم راه انداز انتخاب شوند و آموزش ببینند. باید توجه شود كه امنیت اطلاعات یك برنامه نیست بلكه یك فرایند است.
تعریف نظام مدیریت امنیت اطلاعات: این مرحله شامل تعریف چشمانداز و چهارچوب نظام در سازمان است. لازم به ذكر است كه چگونگی این تعریف از مهمترین عوامل موفقیت پروژه محسوب می شود.
ارزیابی مخاطرات: باید به بررسی سرمایه هایی كه نیاز به محافظت دارند پرداخته و تهدیدهای موجود را شناخته و ارزیابی شود. در این مرحله باید میزان آسیب پذیری اطلاعات و سرمایه های فیزیكی مرتبط نیز مشخص شود.
آموزش و آگاهی بخشی: به دلیل آسیب پذیری بسیار زیاد پرسنل در حلقه امنیت اطلاعات آموزش آنها از اهمیت بالایی برخوردار است.
ممیزی: باید شرایط لازم برای اخذ گواهینامه در سازمان شناسایی شود.
آمادگی برای ممیزی: باید از نحوه ارزیابی چهارچوب مدیریتی سازمان آگاه شد و آمادگی لازم برای انجام ممیزی را فراهم كرد.
كنترل و بهبود مداوم: اثربخشی نظام مدیریتی پیاده شده باید مطابق مدل به رسمیت شناخته شده كنترل و ارتقا یابد.
در كلیه مراحل استقرار نظام مدیریت امنیت اطلاعات مستند سازی از اهمیت ویژهای برخوردار است. مستندات از یك طرف به تشریح سیاست، اهداف و ارزیابی مخاطرات می پردازند و از طرف دیگر كنترل و بررسی و نظارت بر روند اجرای ISMS را بر عهده دارند. در كل میتوان مستندات را به چهار دسته تقسیم كرد:
سیاست، چشمانداز، ارزیابی مخاطرات و قابلیت اجرای نظام مذكور كه در مجموع به عنوان نظامنامه امنیتی شناخته می شود.
توصیف فرایندها كه پاسخ سؤالات چه كسی؟ چه چیزی؟ چه موقع؟ و در چه مكانی را می دهد و به عنوان روش های اجرایی شناخته می شوند.
توصیف چگونگی اجرای وظایف و فعالیت های مشخص شده كه شامل دستورالعمل های كاری، چك لیستها، فرمها و نظایر آن می شود.
مدارك و شواهد انطباق فعالیت ها با الزامات ISMS كه از آنها بهعنوان سوابق یاد می شود.