با رشد مخاطرات اینترنتی ، تهدیدات فضای سایبری و نامطلوب بودن وضعیت امنیتی تبادلات اطلاعاتی در سازمان های مختلف دولتی و خصوصی، استفاده از سیستم مدیریت امنیت اطلاعات مطرح گردید. این سیستم ابزاری کارآمد است که به منظور شناسایی،ارزیابی، مدیریت ، به حداقل رساندن تهدیدات و کاهش ریسک های امنیتی مورد استفاده قرار می گیرد.
در این مطلب با توجه به عنوان، خدمات مشاوره سیستم مدیریت امنیت اطلاعات، در ادامه به مباحث مهم و مرتبط با سیستم مدیریت امنیت اطلاعات و مشاوره سیستم مدیریت امنیت اطلاعات می پردازیم.
با افزایش رشد فناوری اطلاعات که زمینه بروز انقلاب بزرگ در زندگی انسانها و ابعاد گوناگون عملکرد شرکت ها و سازمان های مختلف گردید، بکارگیری سیستم مدیریت امنیت اطلاعات همراستا با این انقلاب در حال شکل گیری و گسترش می باشد. امروزه که بیشتر فعالیت های کسب و کار در حوزه فناوری اطلاعات انجام می گردد، مهم ترین دغدغه مدیران در جهت مدیریت ایمن اطلاعات می باشد، که بتوانند از سیستمی کار آمد به این منظور استفاده نمایند.
سیستم مدیریت امنیت اطلاعات (ISMS)، دارای چارچوبی قدرتمند و کارا است که بتواند به بهترین نحوه اقدامات امنیتی، مدیریتی استراتژیکی، شبکه ای قوی و امن، کنترل کننده هایی حرفه ای را در خدمت خود داشته باشد تا بتواند کلیه نیازهای مخاطبین، مدیران، پرسنل و به طور کلی سازمان را برطرف سازد. در بیانی ساده تر، می توان سیستم مدیریت امنیت اطلاعات را یک راهکار نوین در ایجاد، استقرار، نظارت، بازنگری و نگهداری اطلاعات سیستم مدیریت امنیت اطلاعات یک سازمان تعریف نمود.
مشاوره سیستم مدیریت امنیت اطلاعات، با دانش و تبحر لازم در زمینه امن سازی شبکه های ارتباطی و کانال های اطلاعاتی بستر لازم را از نظر امنیتی به منظور پیشبرد روند کاری مطلوب برای یک سازمان فراهم می سازد؛ لذا بهره مندی از مشاوره سیستم مدیریت امنیت اطلاعات از الزامات مهم برای یک سازمان موفق محسوب می شود. بیشتر سازمان های کشور بیش از ده سال است که در مراحل گوناگون فرایندهای اداری وسازمانی از سیستم مدیریت امنیت اطلاعات بهره مند شده اند و امروزه در این مسیر با به کار گرفتن راهکارهای نوین، ابزارهای مناسب، زیر ساخت های لازم، متدولوژی مدیریتی در حال گسترش و پیشرفت چشم گیری در حوزه های مختلف می باشند؛ با این وجود در این زمینه دارای چالش ها و نقاط ضعفی هستند که باید برطرف گردد.
مشاوره سیستم مدیریت امنیت اطلاعات، بر اساس شرایط و ویژگی ها خاص هر سازمانی به دنبال اتخاذ مناسب ترین رویکرد ISMS بر روی دارایی های سازمان و سرویس های آن می باشد. متدولوژی که مشاوره سیستم مدیریت امنیت اطلاعات بر اساس آن عمل می کند، شامل ۶ مرحله کلی است که با اجرای آن در فاز های مختلف می تواند در امن سازی سیستم اطلاعاتی سازمان تعادلی مناسب را ایجاد نماید.
در مرحله اول لازم است مشاوره سیستم مدیریت امنیت اطلاعات، از طریق تماس شروع کننده ارتباط باشد و در مرحله بعد با تعیین محدوده تماس سنجشی دقیق را در این مرحله به انجام می رساند و بر اساس تعیین محدوده، فاصله زمانی و مسافتی را تحلیل نموده و به آموزش اولیه در این زمینه می پردازد. در مراحل بعد نیز، مرحله استقرار و پیاده سازی، اخذ گواهینامه و نهایتاً پشتیبانی را باید اجرایی سازد. در هر کدام از مراحل، آموزش حین کار به صورت مستمر و پیوسته انجام می شود و در فاز های طراحی، استقرار، نگهداری، بهبود و پشتیبانی تمامی مراحل می بایست به صورت حرفه ای انجام و همپوشانی شود.
لازم به ذکر است که، از مرحله طراحی تا پشتیبانی می بایست تمام پرسنل در حوزه مربوط به پروژه هماهنگی و همکاری مناسبی داشته باشند تا از این طریق کارشناسان امنیت اطلاعات و مدیران ارشد حرکت در جهت امنیت اطلاعاتی یک سازمان را به شکلی اثربخش محقق سازند. مشارکت کلیه پرسنل در این مهم، تضمین کننده اجرایی موفق، در سیستم امنیت اطلاعاتی کارآمد می باشد.
بکارگیری ساختار مدیریتی قوی و حرفه ای از مهم ترین اقدامات برای پیاده سازی سیستم مدیریت امنیت اطلاعات محسوب می شود که مشاوره سیستم مدیریت امنیت اطلاعات با آگاهی از آن به تبیین الزامات امنیت مدیریتی، سیاست گذاری های مدیریتی، هدف گذاری های مدیریتی، مدیریت مخاطرات امنیت اطلاعات، پایش و بازنگری های مستمر مدیریتی و بهبود مستمر آن می پردازد. مشارکت و حضور بالقوه مدیریت در این پروژه در سطوح مختلف سازمانی همراه با مشاوره سیستم مدیریت امنیت اطلاعات ، از ارکان های ضروری در پیشبرد سریع تر و موفق تر پروژه خواهد بود.
مراحل استقرار سیستم امنیت اطلاعات، شامل مراحل گوناگونی است که به مشارکت کلیه پرسنل و مدیران در کنار مشاوره سیستم مدیریت امنیت اطلاعات نیازمند می باشد. بر اساس روش های اجرایی سیستم مدیریت امنیت اطلاعات و دستورالعمل های مربوط به آن می بایست مشاوره سیستم مدیریت امنیت اطلاعات به پیاده سازی و استقرار سیستم امنیت اطلاعات مبادرت نماید. بکارگیری استاندارد های بین المللی ایزو ۲۷۰۰۱، ایزو۲۷۰۰۲، ایزو ۲۷۰۰۵ و همچنین الزامات قانونی سازمان هایی نظیر، سازمان فناوری اطلاعات، حراست کل، سازمان مرکزی مدیریت راهبردی و غیره در اجرای سیستم مدیریت امنیت اطلاعات الزامی می باشد.
مراحل استقرار سیستم مدیریت امنیت اطلاعات عبارتند از:
توجه به این نکته شایان ذکر است که تمامی مراحل استقرار سیستم مدیریت امنیت اطلاعات بر اساس استاندارد ISO/IEC 27001:2005 می باشد که این استاندارد نیز مبتنی بر چرخه دمینگ تبیین می گردد. منظور از چرخه دمینگ چرخه ای است که کلیه مراحل طراحی، اجرا، بررسی و اقدام را شامل می شود و به صورت پیوسته و مکرر در بین مراحل مختلف قابل اجرا می باشد؛ بنابراین استقرار سیستم مدیریت امنیت اطلاعات منطبق بر این چرخه موجب پیشبرد و توسعه کلیه فرآیندهای استقرار و تسریع روند کار را به شکلی هماهنگ و اصولی تر می شود.
فواید استانداردها در استقرار سیستم مدیریت امنیت اطلاعات، برای در اختیار داشتن سیستم امنیت اطلاعاتی پیشرفته و اثربخش از ضروریات هر سازمانی است که مشاوره سیستم مدیریت امنیت اطلاعات باید به آن توجه نموده و در استقرار سیستم امنیت اطلاعات در سطوح مختلف سازمان از آن بهره مند شود. در ادامه به بیان این فواید می پردازیم:
بکارگیری و پیاده سازی سیستم مدیریت امنیت اطلاعات در هر سازمانی با هدف دستیابی به راهکارهای امن سازی و به منظور مدیریت مخاطرات امنیت اطلاعات معرفی گردید و مزایای پیاده سازی سیستم مدیریت اطلاعات که شامل مواردی متنوع می باشد، در چارچوب مجموعه مخاطرات کسب و کار و پس از طی نمودن ارزیابی راهبردی و پشتیبانی امنیت فناوری اطلاعات که در سطوح مختلف برون سازمانی و درون سازمانی بکارگرفته می شود، مطرح گردید.
یک مشاوره سیستم مدیریت امنیت اطلاعات قبل از هر اقدامی لازم است، جهت آگاهی کلیه پرسنل از مزایای این سیستم و دلایل استقرار آن در سازمان ها، به تشریح و توضیحات در این مهم بپردازد. از جمله مزایای پیاده سازی سیستم مدیریت امنیت اطلاعات که توسط مشاوره سیستم مدیریت امنیت اطلاعات تبیین می گردد، عبارتند از: