آشنائی با سیستم مدیریت امنیت اطلاعات (ISMS)
1- مقدمه
در حال حاضر، وضعیت امنیت فضای تبادل اطلاعات کشور، بویژه در حوزه دستگاههای دولتی و خصوصی، در سطح نامطلوبی قرار دارد. از جمله دلایل اصلی وضعیت موجود، میتوان به فقدان زیرساختهای فنی و اجرائی امنیت و عدم انجام اقدامات موثر در خصوص ایمنسازی فضای تبادل اطلاعات این دستگاهها اشاره نمود.
بخش قابل توجهی از وضعیت نامطلوب امنیت فضای تبادل اطلاعات کشور، به واسطه فقدان زیرساختهائی از قبیل نظام ارزیابی امنیتی فضای تبادل اطلاعات، نظام صدور گواهی و زیرساختار کلید عمومی، نظام تحلیل و مدیریت مخاطرات امنیتی، نظام پیشگیری و مقابله با حوادث فضای تبادل اطلاعات، نظام مقابله با جرائم فضای تبادل اطلاعات و سایر زیرساختهای امنیت فضای تبادل اطلاعات در کشور میباشد. از سوی دیگر، وجود زیرساختهای فوق، قطعا تاثیر بسزائی در ایمنسازی فضای تبادل اطلاعات دستگاههای دولتی خواهد داشت.
صرفنظر از دلایل فوق، نابسامانی موجود در وضعیت امنیت فضای تبادل اطلاعات دستگاههای دولتی، از یکسو موجب بروز اخلال در عملکرد صحیح دستگاهها شده و کاهش اعتبار این دستگاهها را در پی خواهد داشت، و از سوی دیگر، موجب اتلاف سرمایههای ملی خواهد شد. لذا همزمان با تدوین سند راهبردی امنیت فضای تبادل اطلاعات (افتا) کشور، توجه به مقوله ایمنسازی فضای تبادل اطلاعات دستگاههای دولتی، ضروری به نظر میرسد. این امر علاوه بر کاهش صدمات و زیانهای ناشی از وضعیت فعلی امنیت دستگاههای دولتی، نقش موثری در فرآیند تدوین سند راهبردی امنیت فضای تبادل اطلاعات کشور خواهد داشت.
با ارائه اولین استاندارد مدیریت امنیت اطلاعات در سال 1995، نگرش سیستماتیک به مقوله امنیت اطلاعات شکل گرفت. بر اساس این نگرش، تامین امنیت اطلاعات در یک مجموعه سازمانی، دفعتا مقدور نمی باشد و لازم است این امر بصورت مداوم و در یک چرخه ایمن سازی شامل مراحل طراحی، پیاده سازی، ارزیابی و اصلاح انجام گیرد. برای این منظور لازم است هر سازمان براساس یک متدولوژی مشخص، ضمن تهیه طرح ها و برنامه های امنیتی مورد نیاز، تشکیلات لازم جهت ایجاد و تداوم امنیت اطلاعات خود را نیز ایجاد نماید.
این مقاله در 2 بخش تهیه گردیده است که بخش اول آن درباره آشنائی با مراحل طی شده در زمینه امنیت اطلاعات از ابتدا و بخش دوم آشنائی با چگونگی روند رو به رشد استاندارد BS7799 می باشد.
2- آشنائی با مراحل طی شده در زمینه امنیت اطلاعات
امنیت اطلاعات دارای مراحل مختلفی بوده که در بازه های زمانی متفاوت این مراحل با دیدگاههای خاص خودشان طی گردیده است. اولین مرحله که تا اوایل دهه 80 میلادی بطول انجامید، امنیت را فقط با دیدگاه فنی مشاهده می نمود وبرقراری آن را منوط به امنیت کامپیوتر و دستگاههای جانبی می دانستند اما با گذشت زمان متوجه شدند که بیشتر تجاوزات امنیتی از طریق مسائلی همچون ضعف های مدیریتی (از لحاظ امنیتی) و عوامل انسانی (بدلیل ندیدن آموزش های امنیتی پرسنل سازمان مربوطه) می باشد لذا از اواسط دهه 80 میلادی که تا اواسط دهه 90 میلادی هم بطول انجامید، بحث مدیریت امنیت اطلاعات مطرح شد که در آن امنیت اطلاعات را منوط به خطی مشی امنیت اطلاعات و ساختارهای سازمانی می دانستند اما در اواسط دهه 90 میلادی این مرحله تکمیل تر گردید که آمیزه ای از دو مرحله قبلی و پارامترهای دیگری همچون تعریف استراتژیهای امنیتی و خطی مشی های امنیتی بر اساس نیازهای اصلی سازمان و مدیریت آن می باشد. این مرحله شامل مولفه هائی نظیر استانداردسازی امنیت اطلاعات، گواهینامه های بین المللی، فرهنگ سازی امنیت اطلاعات در سازمان و پیاده سازی معیارهای ارزیابی دائمی و پویای امنیت اطلاعات می باشد. لازم به ذکر می باشد که این مرحله هنوز ادامه دارد و در حال تکمیل شدن میباشد.
کلمات کلیدی :
» نظر