ISMS چیست؟  آشنایی با سیستم مدیریت امنیت اطلاعات ISMS

افزایش روز افزون استفاده از فناوری اطلاعات در شرکت ها و سازمان ها، بیانگر این حقیقت است که اطلاعات هر سازمان، یکی از مهمترین و خطیرترین منابع هر سازمان محسوب می شود که برای رسیدن به اهداف کسب و کار سازمان ضروری می باشند.
لذا امنیت اطلاعات و حفظ آنها و در دسترس بودن آنها برای اعضا سازمان، برای تداوم کسب و کار سازمان حیاتی می باشد.
چه این اطلاعات به صورت لوکال ذخیره و استفاده شوند و چه در بستر شبکه سازمان در حال تبادل باشند،
تامین امنیت این اطلاعات، پیشگیری از ورود صدمات به این اطلاعات و از دست رفتن آنها و نیز جلوگیری از دسترسی های غیرمجاز به آنها ، برای هر سازمانی بسیار مهم و حیاتی می باشد.

خطراتی که همواره اطلاعات و امنیت اطلاعات سازمان ها و کسب و کارها را تحت تاثیر قرار می دهند دو دسته هستند :
1- خطرات عمدی که با برنامه ریزی قبلی و با هدف انجام می شوند مانند نفوذ هکرها، دستکاری کردن اطلاعات سازمان
2- خطرات غیر عمد: خطراتی که در اثر اشتباهات نیروی انسانی سازمان رخ می دهند و می توانند خسارت های عظیمی را به کسب و کار سازمان وارد کنند مانند نشت اطلاعات به خارج از سازمان.
همچنین بروز بلایای طبیعی مانند زلزله، سیل و غیره نیز جزو این دسته از خطرات محسوب می شوند.
حال میخواهیم ارتباط این مباحث را با پاسخ به سوال isms چیست بررسی نمائیم.

ضعف بزرگی که در اغلب سازمان ها وجود دارد این است که تدابیر امنیتی که در سازمان ها اعمال می شود، عمدتاً بسیار سطحی، ناقص و تک بعدی بوده و عمدتاً بر بخش فناوری اطلاعات سازمان و پرسنل این بخش تمرکز دارد
اما امنیت اطلاعات موجود در بخش های دیگر سازمان کمتر مورد توجه قرار می گیرند.

سازمان ها برای حصول امنیت اطلاعات، می بایست هزینه ها و تدابیر مختلفی را به کار گیرند،
اما نکته بسیار مهم این است که تامین امنیت اطلاعات سازمان موضوعی بسیار گسترده می باشد که ابعاد مختلفی دارد و صرفا با استفاده از ابزارهای تکنولوژی مانند به کار گیری فایروال ها، آنتی ویروس ، اعمال گروپ پالیسی، استفاده از پسوردهای پیچیده و غیره در سازمان محقق نمی شود،
سازمانی را در نظر بگیرید که در آن بهترین آنتی ویروس ها و بهترین فایروال های شبکه راه اندازی شده اند،
اما کارمندان طبق عادت، در تماس های تلفنی پسورد اکانت خود را به یکدیگر اعلام می کنند،
و یا پرسنل بخش فناوری اطلاعات عادت دارند اطلاعات مهم و گاه پسوردهایی را در برگه هایی روی میز کار خود یادداشت و گاه رها می کنند،
و یا کمدهایی وجود دارد که مستنداتی در در دسترس همگان قرار دارد و قفل نیستند،
یا اطلاقهایی وجود دارد که هنوز دوربین های مدار بسته در آنها نصب نشده است.
یا افراد به راحتی میتوانند درون کیف همراه خود لپ تاپ شخصی خود را به درون سازمان بیاورند.

لذا برای حصول امنیت اطلاعات در یک سازمان، مجموعه ای از اقدامات از قبیل طراحی، سیاست گذاری های امنیتی، آموزش نیروی انسانی سازمان، فرهنگ سازی در سازمان، اعمال کنترل ها و تنظیمات امنیتی در سطوح مختلف (امنیت فیزیکی، شبکه، سخت افزار، نرم افزار) ، ارائه دستور العمل های فنی، نظارت، بازنگری و بهبود به صورت یک فرایند جامع و سیستمی در نظر گرفته شود که می بایست به عنوان بخشی در فرایندهای اصلی سازمان ادغام و یکپارچه شود و کلیه فرایندهای سازمان آنرا لحاظ کنند.

این راهکار که مجموعه گسترده ای از اقدامات و فرایندها است، ISMS نام دارد.

در پاسخ به این سوال که isms چیست دو تعریف کوتاه دیگر نیز می توان برای ISMS ذکر کرد :
ISMS یک راهکار جامع حاوی سیاست های امنیتی policy ها و فرایندهاست به منظور مدیریت سیستماتیک امنیت اطلاعات در سازمان ها.
ISMS در واقع یک فریمورک است برای مدیریت سیستمی و متمرکز امنیت اطلاعات سازمان.

فرایندهای ISMS متناسب با ابعاد و زمینه فعالیت هر سازمان، طراحی و پیاده سازی می شوند.
همانطور که اشاره شد، Isms یک راهکار سیستمی و فرایندی است و به امنیت نگاه سیستمی و فرایندی دارد، این سیستماتیک بودن isms وجه مهمی است و علاوه بر واحد فناوری اطلاعات سازمان، تمامی بخش ها و واحدهای سازمان و تمام جنبه های مرتبط با امنیت اطلاعات را پوشش می دهد و ایمن می کند.
هدف isms تامین امنیت اطلاعات و کاهش ریسک ها و مخاطرات اطلاعات و تضمین تداوم کسب و کار سازمان است.
در فرایند پیاده سازی ISMS، تمامی کارکنان سازمان آموزش داده می شوند و با مفهوم ریسک و تهدیدات سایبری آشنا شوند و آنها را درک می کنند و لذا Isms باعث ارتقا فرهنگ سازمانی در خصوص امنیت فناوری اطلاعات در همه بخش های سازمان می شود همه کارمندان سازمان تدابیر امنیتی را به عنوان جزیی از امور روزمره خود رعایت کنند

در ادامه پاسخ به سوال اصلی isms چیست می توان بیان کرد که تامین امنیت اطلاعات در واقع تامین 3 جنبه زیر است :
تامین محرمانگی اطلاعات confidentiality
تامین تمامیت اطلاعات integrity
تامین در دسترس بودن اطلاعات Availability
پیاده سازی ISMS تامین این 3 فاکتور را در سازمان تضمین می کند.

اگرچه در حال حاضر در ایران بسیاری از سازمان های دولتی و خصوصی فاقد این سیستم هستند،
اما با توجه به افزایش اهمیت فناوری اطلاعات در سازمان ها و به طبع آن گسترش تهدیدات سایبری و نیز با توجه به الزامات دولت در برنامه های توسعه، نیاز به این سیستم و معرفی سیستم مدیریت امنیت اطلاعات در سازمان های دولتی و خصوصی جدی تر می شود.

برای مشخص نمودن الزامات پیاده سازی سیستم مدیریت فناوری اطلاعات ISMS ، سازمان بین المللی استاندارد و کمیسیون بین‌المللی برق و الکترونیک (IEC)، استاندارد بین المللی ISO/IEC 27001 را تهیه و ارائه کرده اند.

نسخه قبلی این استاندارد، 27001:2005 ISO نام داشت ، اما در حال حاضر آخرین نسخه آن در سال 2013 منتشر شده که ISO 27001:2013 می باشد و طی این سال ها نیز همراه با به روز رسانی های جزئی بوده است.
ISO/IEC 27001 معروفترین استاندارد از خانواده ISO 27000 است که ملزومات پیاده سازی سیستم ISMS را ارائه کرده است.

مزایای پیاده سازی سیستم مدیریت امنیت اطلاعات ISMS در سازمان :

تمام شکل های اطلاعات را محافظت می کند، چه اطلاعات دیجیتال، چه اطلاعات درج شده در کاغذها و اسناد سازمان، چه آن بخش از اطلاعات سازمان که در فضای ابری cloud قرار دارد.
پیاده سازی ISMS در سازمان، مقاومت سازمان را در برابر انواع تهدیدات سایبری و غیر سایبری افزایش می دهد.
به ذینفعان سازمان این اطمینان خاطر را می‌دهد که مخاطرات اطلاعات سازمان به میزان معقولی مدیریت می‌شوند.
همچنین ISMS با استفاده از راهکارهای ارزیابی ریسک risk assessment ، هزینه های تامین امنیت اطلاعات در سازمان را کاهش میدهد.
مزیت پیاده سازی ISMS در سازمان ها و شرکت ها و اخذ گواهینامه ISO/IEC 27001 این است که داشتن گواهینماه ISO/IEC 27001 اشخاص قصد سرمایه گذاری در آن شرکت را دارند اطمینان خاطر کسب می کنند که ریسک کمتری آن شرکت را تهدید می کند و باعث افزایش اطمینان و رضایت مشتریان و شرکای تجاری سازمان می شود و در نتیجه سود آوری برای سازمان به همراه دارد.

استاندارد ISO 27001:2013 به گونه ای طراحی شده است که با استانداردهای مدیریتی دیگر از جمله ISO 9000 و ISO/IEC20000 انطباق دارد و با آنها اشتراکات زیادی دارد.
سازمان جهانی استاندارد استانداردها را تهیه و تولید می کند اما خود سازمان ISO ، فرایند ممیزی سازمان ها و ارائه گواهینامه ISO 27001 را انجام نمی دهد، بلکه این امور توسط نمایندگی های بین المللی که اصطلاحا به آنها CB  یا certification bodies گفته می شود و مورد تایید سازمان ISO هستند صادر می شود.

در ISMS ، فرآیند ممیزی سازمان ها بر مبنای قواعد بین‌المللی صورت می‌گیرد
سر ممیز اصلی ( Lead Auditor) از شرکتی که نماینده بین المللی ارائه گوهینامه در محل حضور پیدا می کند و بازرسی های لازم و ممیزی ها را انجام می دهند و موارد بسیار زیادی را به صورت سخت گیرانه چک و بررسی می کند.
در صورت تایید صلاحیت و کسب حداقل امتیازات لازم ، گواهینامه ISO 27001 برای مدت مشخصی (در حال حاضر 3 ساله) برای سازمان مربوطه صادر می شود و پس از پایان دوره مذکور مجدد باید ممیزی انجام شود.

به عنوان نتیجه گیری می توان گفت که آنچه مسلم است معرفی سیستم مدیریت امنیت اطلاعات و پیاده سازی ISMS در سازمان موجب ارتقاء امنیت اطلاعات در حوزه های مختلف سازمان از جمله اسناد و دارایی های اطلاعاتی، شبکه و زیرساخت، سخت افزارها، نرم افزارها، منابع انسانی، امنیت فیزیکی، مدیریت حوادث و رخدادها، تداوم کسب و کار، ارتباطات با اشخاص ثالث و غیره خواهد شد.