همه میدانیم که دادهها و اطلاعات یک سازمان، این روزها سرمایهای بسیار مهم و با ارزش محسوب میشود. این را هم میدانیم که اطلاعات باید کاملا حفاظت شوند و به شکل کنترل شده در معرض استفاده مخاطبان قرار گیرند. برای این منظور رویکردی با عنوان سیستم مدیریت امنیت اطلاعات یا ISMS مطرح شد که شما با استفاده از آن میتوانید امنیت اطلاعات سازمان خود را مدیریت کنید. در این مقاله قصد داریم استاندارد ISMS را به طور مفصل معرفی و بررسی کنیم.
سیستم مدیریت امنیت اطلاعات ISMS چیست؟
قبل از هر چیز باید بدانیم Isms مخفف چیست؟ استاندارد ISMS مخفف عبارت Information Security Management System و به معنی سیستم مدیریت امنیت اطلاعات است. سیستم مدیریت امنیت اطلاعات، مجموعهای از سیاستها، اهداف، استراتژیها، مستندات شناخت و ارزیابی مخاطرات، دستورالعملهای سیستمی و… است که متناسب با اندازه و زمینه کاری سازمان طراحی و پیاده سازی میشود. سیستم ISMS وظیفه تداوم امنیت اطلاعات در سازمان را به عهده دارد.
ISMS استانداردهایی را برای ایمن سازی فضای تبادل اطلاعات در سازمانها ارائه میدهد. این استانداردها مجموعهای از دستورالعملها را شامل میشود تا فضای تبادل اطلاعات یک سازمان را با اجرای طرح مخصوص به آن ایمن کند.
استانداردهای مدیریت امنیت فضای تبادل اطلاعات، تعدادی استاندارد امنیتی است که به سازمانها توان اجرای تکنیکها و سیاستهایی را میدهد تا تعداد حملات موفق در فضای تبادل اطلاعات به حداقل برسد. در واقع این استانداردها، یک چارچوب امنیتی کلی و یک سری تکنیکهای تخصصی برای پیاده سازی «امنیت» در فضای تبادل اطلاعات فراهم میکنند.
مراحل پیاده سازی سیستم مدیریت امنیت اطلاعات چگونه است؟
مراحل پیاده سازی سیستم مدیریت امنیت اطلاعات isms به 5 مرحله تقسیم میشود. در ادامه به معرفی این مراحل به همراه زیرمجموعههای آنها میپردازیم.
فاز صفر: آموزش ISMS
از مهمترین مواردی که در ایجاد و تداوم امنیت اطلاعات نقش موثری دارد، آموزش و آگاهی رسانی مناسب و کارآمد در راستای آشنایی و پاسخگویی پرسنل و پیمانکاران در قبال حقوق، وظایف، مسئولیتها و… در برنامه امنیت اطلاعات سازمان است. هدف این مرحله آموزش و ارتقای سطح دانش و مهارتهای مورد نیاز کارکنان سازمان در حوزه ISMS است. با این آموزشها پرسنل سازمان و تیم امنیت شبکه و اطلاعات میتوانند کلیه فعالیتهای مربوط به مدیریت سیستم امنیت شبکه و اطلاعات را به خوبی انجام دهند.
فاز اول: شناسایی وضعیت موجود و کاهش نقاط ضعف
با بررسی و بازبینی مستندات سازمان، نوعی شناخت اولیه از سازمان صورت میگیرد. همچنین با استفاده از چک لیستها، یک سری اطلاعات کلی در مورد وضعیت فناری اطلاعات در سازمان و شرایط فعلی شبکه به دست خواهید آورد. میتوانیم بگوییم به طور کلی در فاز اول به توصیف وضعیت موجود سازمان در حوزه فناوری اطلاعات و فعالیتهای مرتبط با آن پرداخته میشود. بازبینی و ارزیابی اولیه از میزان امنیت شبکه و اطلاعات سازمان در حوزههای زیر صورت میگیرد:
سطح شبکه
سطح سیستم
سطح برنامههای کاربردی
سطح بستر ارتباطی
سطح Connections
سطح رمز نگاری
فاز دوم: طراحی و تطبیق ISMS در قلمرو سیستم
در این مرحله، داراییها طبق استاندارد، شناسایی و ارزش گذاری میشوند. سپس فرآیندهای سازمان برای گذار از وضعیت موجود به وضعیت مطلوب، طراحی و اجرا خواهد شد. به این ترتیب، به کاهش شکاف و حرکت به سمت وضع مطلوب اقدام میکنید.
فاز سوم: پیادهسازی و اجرای ISMS در زمینه موضوع قرارداد
در این فاز، بر اساس SOA تهیه شده در مرحله قبل، دستورالعملها، رویهها و پروژههای امن سازی بر اساس اواویت، ابلاغ شده و اجرا میشوند. در فاز سوم در صورت نیاز به خرید تجهیزاتی مانند انواع نرم افزار، سخت افزار، سیستمهای پایش، پیکربندی تجهیزات و… زیر نظر سازمان، تصمیم گیری شده و معمولا توسط شخص ثالث اجرا میشود.
فاز چهارم: ممیزی، پایش و بهبود ISMS در زمینه موضوع قرارداد
پس از پیاده سازی سیستم، به فاز چهارم وارد میشویم. در این مرحله با توجه به چک لیستها و مستندات مربوط به ممیزی استاندارد و همچنین توانمندیهای تیم امنیت سازمان، کلیه فعالیتهای صورت گرفته در پروژه بازبینی و بررسی میشوند. به این ترتیب اگر مشکل یا انحرافی نسبت به اهداف مطلوب و استاندارد وجود داشت، میتوانید به سرعت آن را برطرف کنید. بعد از بازبینی و برطرف کردن مشکلات، سازمان آماده دریافت گواهینامه بینالمللی استاندارد ISO 27001 خواهد بود.
فاز پنجم: ممیزی توسط شرکتهای صدور گواهینامه
همان طور که در مرحله قبل بیان کردیم، پس از پایان ممیزی داخلی و برطرف کردن نقطه ضعفها و مشکلات موجود، سازمان میتواند گواهینامه بینالمللی استاندارد ISO 27001 را دریافت کند. در این مرحله اگر مدیران سازمان تمایل داشته باشند، پس از مقایسه شرکتهای صدور گواهینامه معتبر، از یک مرکز برای صدور گواهینامه دعوت خواهد شد.
سیستم مدیریت امنیت اطلاعات شامل چه مستنداتی است؟
اما مستندات ISMS شامل چه مواردی هستند و در یک ساختار درست امنیتی چند نوع از این مستندات باید وجود داشته باشد؟
بر اساس استانداردهای سیستم مدیریت امنیت اطلاعات و ارتباطات، هر سازمان باید مجموعهای از این مستندات را برای خود تدوین کند که شامل موارد زیر است.
- مستند اهداف، راهبردها و سیاستهای امنیتی فضای تبادل اطلاعات سازمان (Security Policy)
- مستند طرح امنیت فضای تبادل اطلاعات سازمان
- مستند برنامه آموزش امنیتی پرسنل تشکیلات تامین امنيت فضاي تبادل اطلاعات دستگاه
- مستند طرح کاهش مخاطرات امنیتی فضای تبادل اطلاعات دستگاه (Risk Assessment)
- مستند برنامه آموزش و آگاهی رسانی امنیتی به پرسنل سازمان (Awareness)
- مستند طرح مقابله با حوادث امنیتی و ترمیم مشکلات و خرابیهای فضای تبادل اطلاعات دستگاه (Disaster Recovery)
مزایای استقرار سیستم مدیریت امنیت اطلاعات isms چیست؟
تا اینجا دانستیم سیستم isms، با ایمن سازی اطلاعات، باعث تداوم امنیت و اطمینان و همچنین کاهش تهدیدات و آسیبها میشود. در این بخش مزایای سیستم ISMS را دقیقتر بررسی خواهیم کرد.
- سیستم مدیریت امنیت اطلاعات، از تمام اشکال اطلاعات شامل اطلاعات دیجیتال، اطلاعات نوشته شده در اسناد و اطلاعات موجود در فضای ابری (cloud)، محافظت میکند.
- برای بهرهبرداران سازمان این اطمینان را ایجاد میکند که مخاطرات اطلاعاتی به خوبی کنترل و مدیریت میشود.
- سیستم ISMS با استفاده از راهکارهای ارزیابی ریسک (risk assessment)، به کاهش هزینههای ناشی از تامین امنیت اطلاعات در سازمان کمک میکند.
- پیاده سازی سیستم مدیریت امنیت اطلاعات، مقاومت سازمان را در برابر انواع تهدیدات سایبری غیرسایبری افزایش میدهد.
- هر چند که استاندارهای سیستم ISMS به وسیله سازمان جهانی استاندارد تهیه و تولید میشود، اما فرآیند ممیزی سازمانها و ارائه گواهینامه ISO 27001 توسط نمایندگیهای بینالمللی certification bodies (CB) و مورد تایید سازمان ISO صادر میشود.
- استاندارد ISO 27001 به شکلی طراحی شده که با سایر استانداردهای مدیریتی از جمله ISO 9000 و ISO/IEC20000 مطابقت و اشتراکات زیادی دارد.
- در سیستم مدیریت امنیت اطلاعات، فرآیند ممیزی سازمانها بر اساس قواعد بین المللی انجام میشود. به این ترتیب که حسابرس اصلی از شرکتی که نمایندگی ارائه گواهینامه را بر عهده دارد، در محل، حضور پیدا کرده و موارد بسیاری را به صورت کاملا سخت گیرانه، چک و بازرسیهای لازم را انجام میدهد.
- وقتی یک سازمان یا شرکت دارای گواهینامه ISO/IEC 27001 باشد، اشخاصی که قصد سرمایهگذاری در آن را دارند، مطمئن هستند که خطر کمتری سازمان را تهدید میکند. این موضوع، افزایش احساس امنیت، رضایت مشتریان و شرکای تجاری سازمان و در نهایت افزایش سود برای سازمان را به دنبال خواهد داشت.
پیاده سازی سیستم مدیریت امنیت اطلاعات ISMS چه مشکلاتی دارد؟
هر فناوری در کنار مزایای بی شمار، در مراحل نصب و پیاده سازی، مشکلاتی نیز به همراه دارد. در این بخش مشکلات پیاده سازی سیستم مدیریت امنیت اطلاعات را بررسی خواهیم کرد.
- یکی از اصلیترین موانع پیاده سازی استاندارهای سیستم ISMS ، بحث امنیت است. باید به این نکته توجه کنید که امنیت، قبل از آنکه به فناوری تبدیل شود یک فرهنگ است و برای جا افتادن، نیاز به زمان زیادی دارد. شما به هیچ وجه نمیتوانید فرهنگ بومی شده یک سازمان را در یک مرحله فوری به سازمان دیگری وارد کنید.
- هر چند تقریبا غیرممکن است، اما اگر موفق به پیاده سازی سیستم مدیریت امنیت اطلاعات در سازمان شویم و گواهی استاندارد مربوط به آن را نیز در یک مرحله دریافت کنیم، این موارد هرگز «تداوم امنیت» را تضمین نمیکند. بنابراین همیشه در استانداردهای بینالمللی از چرخه دمینگ یا PDCA استفاده میشود. که یک چرخه مدور و دائمی برای طراحی، آزمایش و اعمال مجدد عملیات طراحی است. این چرخه، مراحل پیشبرد یک فرآیند را در 4 مرحله طراحی (Plan)، اجرا (Do)، بررسی (Check) و اقدام (Act) تبیین میکند. بنابراین میتوانیم بگوییم این چرخه به شکل مداوم در حرکت است. هر بار تکرار این مراحل به بهبود مستمر سیستم کمک قابل توجهی خواهد کرد.
- به دلیل تداوم ناامنی و تهدید همیشگی اطلاعات سازمان، باید تفکر امنیت و عملیات امن سازی در تمام ابعاد سازمان انجام شده و تداوم داشته باشد. برخی از مدیران در فضای تبادل اطلاعات سازمان، بانک اطلاعات خود را در معرض تهدید و خطر نمیبینند و هیچگونه احساس ناامنی ندارند. طبیعی است که با این طرز فکر، حمایت جدی و همه جانبهای از پیاده سازی و تداوم استانداردهای مدیریت امنیت اطلاعات انجام نخواهند داد.
- به این نکته توجه کنید که امنیت چندان قابل احساس نیست. چرا که وقتی یک پروژه امنیتی انجام میشود، بعضی مدیران و کارشناسان سازمان احساس میکنند هیچ اتفاق خاصی نیفتاده، حتی ممکن است از صرف هزینه برای این پروژهها شکایت کنند. در حالی که بی
- توجهی به مدیریت امنیت اطلاعات سازمان، خطرات جبران ناپذیری دارد.
***
ملاحظه کردید که سیستم مدیریت امنیت اطلاعات یک مستند متنی است که سازمانها ساختار خود را بر اساس آن پیاده سازی میکنند. معرفی ISMS و پیاده سازی آن در سازمان باعث ارتقای امنیت اطلاعات در حوزههای مختلف سازمان مانند داراییهای اطلاعاتی، نرم افزارها، سخت افزارها، منابع انسانی، تداوم کسب و کار، امنیت فیزیکی و… خواهد شد.
در این مطلب با اهداف سیستم مدیریت امنیت اطلاعات ISMS، استانداردها، مراحل پیاده سازی، مستندات و همچنین نقاط قوت و ضعف این سیستم آشنا شدیم.