سیستم مدیریت امنیت اطلاعات ISMS چیست؟
حفظ محرمانگی، یکپارچگی و در دسترس بودن اطلاعات از مشخصههای مهم برای حفظ حیات و تداوم کسب و کار تلقی میشود. با توجه به ذخیرهسازی اطلاعات و قرارگیری آن در بستر شبکههای کامپیوتری و شبکههای عمومی، تأمین امنیت اطلاعات نیازمند نگاه ویژه است.
سازمانهای مختلف برای تحقق امنیت اطلاعات، هزینهها و سرمایهگذاریهای مختلفی انجام دادهاند و مطالعات نشان داده است که تأمین امنیت صرفا با محصول امنیتی یا تکنولوژی خاص به نحو مطلوبی میسر نمیگردد بلکه میبایست سیاستگذاری، فرهنگسازی، آموزش و اقدامات فنی و کنترلی در قالب یک فرایند سیستمی پویا انجام پذیرد به گونه ای که این فرایند در تداوم کسب و کار سازمان ادغام شده و کلیه عملکردها و فرایندهای سازمان با لحاظ نمودن مقوله امنیت اطلاعات انجام پذیرد که تحت عنوان سیستم مدیریت امنیت اطلاعات (ISMS) از آن یاد میشود. به بیان دیگر، سیستم مدیریت امنیت اطلاعاتبخشی از فرایندهای سازمان و ساختار کلی مدیریت شده و با آن یکپارچه میباشد. سیستم مدیریت امنیت اطلاعات با بهکارگیری فرایند مدیریت مخاطرات از محرمانگی، صحت و دسترسپذیری اطلاعات محافظت کرده و به ذینفعان این اطمینان خاطر را میدهد که مخاطرات به میزان کافی مدیریت میشوند.
سیستم مدیریت امنیت اطلاعات در واقع مجموعهای است از سیاستها، اهداف، استراتژیها، روشهای امنیتی، مستندات شناسایی و ارزیابی مخاطرات، کنترلهای امنیت شبکه و اطلاعات (اعم از سختافزار، نرمافزار و...)، روشها و دستورالعملهای فنی و سیستمی، منابعانسانی و... میباشد که متناسب با قواره و زمینهکاری سازمان طراحی و پیادهسازی میگردد و وظیفه تداوم امنیت اطلاعات در سازمان را به عهده دارد.
به منظور فراهم آوردن الزامات استقرار، پیادهسازی، نگهداری و بهبود مستمر سیستم مدیریت امنیت اطلاعات، استاندارد بین المللی ISO/IEC 27001:2013 توسط سازمان بینالمللی استانداردسازی (ISO) و کمیسیون بینالمللی برق و الکترونیک (IEC) تهیه و ارائه گردیده است.
