سیستم مدیریت امنیت اطلاعات (ISMS) چیست؟

سیستم مدیریت امنیت اطلاعات (information security management system) یکی از روش‌های حفظ امنیت در شبکه‌هاست که در این مقاله به صورت کامل با آن آشنا می‌شویم و به این پرسش‌ها پاسخ می‌دهیم که این سیستم چگونه عمل می‌کند؟ چه مزایایی دارد؟ بهترین الگوها و روش‌های پیاده سازی آن چیست؟ و اصولا پیاده سازی ISMS چگونه انجام می‌شود.

سیستم مدیریت امنیت اطلاعات (Information Security Management System) چیست؟
سیستم مدیریت امنیت اطلاعات (Information Security Management System) مجموعه‌ای از خط‌مشی‌ها و رویه‌های امنیتی به منظور مدیریت داده‌های حساس سازمانی است. سیستم مدیریت امنیت اطلاعات به دنبال به حداقل رساندن ریسک و تضمین تداوم فعالیت‌های تجاری با محدود کردن میزان ‌تاثیرگذاری نقض‌های امنیتی است.

معمولاً یک سامانه مدیریت امنیت اطلاعات، رفتار و فرآیندهای مورد استفاده توسط کارکنان و همچنین داده‌ها و فناوری‌هایی مورد استفاده را را زیر نظر می‌گیرد. کارشناسان شبکه و امنیت می‌توانند این سامانه را به منظور نظارت بر نوع خاصی از داده‌ها، مثل داده‌های مشتریان، داده‌های فروش، داده‌هایی که قرار است از شبکه سازمانی خارج شوند و… تنظیم کنند تا اطلاعات جامع و یکپارچه‌ای به دست آورند. داده‌هایی که امکان استفاده از آن‌ها در تدوین خط‌مشی‌های تجاری یا امنیتی وجود دارد.

سامانه مدیریت امنیت اطلاعات چگونه کار می‌کند؟
سامانه مدیریت امنیت اطلاعات یک رویکرد برای تداوم کسب‌و‌کار ارائه می‌دهد که به منظور امنیت اطلاعات یک سازمان است. امنیت اطلاعات، خط‌مشی‌های گسترده‌ای را شامل می‌شود که سطوح مختلف مخاطرات امنیتی پیرامون یک سازمان را کنترل و مدیریت می‌کند.

در همین ارتباط ISO/IEC 27001 استاندارد بین‌المللی و شناخته‌ شده‌ای در ارتباط با نحوه پیکربندی سامانه‌‌های مدیریت امنیت اطلاعات است. این استاندارد که به طور مشترک توسط سازمان بین‌المللی استاندارد و کمیسیون بین‌المللی الکتروتکنیک تصویب شده، بر انجام اقدامات خاصی تاکید ندارد، بلکه پیشنهادهایی برای مستندسازی، ممیزی داخلی، بهبود مستمر و اقدامات اصلاحی و پیشگیرانه ارائه می‌کند. سازمان‌هایی که به دنبال دریافت گواهینامه ISO 27001 هستند، در اولین گام به سامانه مدیریت امنیت اطلاعات نیاز دارند که توانایی شناسایی دقیق دارایی‌های سازمانی را را داشته باشد و ارزیابی‌های زیر را ارائه دهد:

• شناسایی ریسک‌‌هایی که منجر به ضعف در دارایی‌های اطلاعاتی سازمان می‌شوند.
• اقدامات انجام شده برای حفاظت از دارایی‌های اطلاعاتی.
• تعیین افرادی که وظایف مشخصی در ارتباط با تامین امنیت اطلاعات بر عهده دارند.

هدف سامانه مدیریت امنیت اطلاعات لزوما به حداکثر رساندن امنیت اطلاعات نیست، بلکه رسیدن به سطح مطلوبی از امنیت در یک سازمان است. بسته به نیازهای خاص صنعت، این سطوح کنترلی ممکن است متفاوت باشند. به عنوان مثال، از آن‌جایی که مراقبت‌های بهداشتی یک حوزه بسیار حساس هستند، یک سازمان مراقبت‌های بهداشتی ممکن است سیستمی ایجاد کند تا اطمینان حاصل کند که اطلاعات حساس بیماران به طور کامل محافظت می‌شود و هکرها قادر به نفوذ به بانک‌های اطلاعاتی، سرقت یا دستکاری اطلاعات نخواهند بود.