سیستم مدیریت امنیت اطلاعات
فهرست محتوا
سیستم مدیریت امنیت اطلاعات, ISMS
هر فرآیند تجاری مبتنی بر فناوری در معرض تهدیدات امنیتی و حریم خصوصی قرار دارد. فناوری های پیچیده قادر به مبارزه با حملات امنیت سایبری هستند، اما اینها کافی نیستند: سازمان ها باید اطمینان حاصل کنند که فرآیندهای تجاری، سیاست ها و رفتار نیروی کار این خطرات را به حداقل میرسانند یا کاهش میدهند.
از آنجایی که این مسیر نه آسان و نه روشن است، شرکت ها چارچوب هایی را اتخاذ میکنند که به بهترین شیوه های امنیت اطلاعات (InfoSec) کمک میکند. اینجاست که سیستم های مدیریت امنیت اطلاعات وارد عمل می شوند.
این مقاله توسط شرکت هوداک سیستم فرتاک تدوین شده و موضوع مقدمه ای بر سیستم مدیریت امنیت اطلاعات (ISMS) را بررسی می کنیم. تا انتهای مقاله با ما همراه شوید.
ISMS چیست؟
سیستم مدیریت امنیت اطلاعات (ISMS) چارچوبی از سیاست ها و کنترل هایی است که امنیت و خطرات را به طور سیستماتیک و در کل امنیت اطلاعات سازمان شما مدیریت میکند. این کنترل های امنیتی می توانند از استانداردهای امنیتی رایج پیروی کنند یا بیشتر بر صنعت شما متمرکز شوند.
برای مثال، ISO 27001 مجموعهای از مشخصات است که نحوه ایجاد، مدیریت و پیاده سازی سیاست ها و کنترل های ISMS را شرح میدهد. سازمان ISO اقدامات خاصی را الزامی نمی کند. در عوض، دستورالعملی را برای توسعه استراتژی های ISMS مناسب ارائه می دهد.
چارچوب ISMS معمولاً بر ارزیابی ریسک و مدیریت ریسک متمرکز است. به آن به عنوان یک رویکرد ساختاریافته برای تعادل متوازن بین کاهش ریسک و هزینه (ریسک) متحمل شده فکر کنید.
سازمان هایی که در بخش های صنعتی کاملاً تنظیم شده، مانند مراقبت های بهداشتی یا امور مالی فعالیت میکنند، ممکن است به دامنه وسیعی از فعالیت های امنیتی و استراتژی های کاهش خطر نیاز داشته باشند.
بهبود مستمر امنیت اطلاعات
در حالی که ISMS برای ایجاد قابلیت های مدیریت امنیت اطلاعات جامع طراحی شده است، تحول دیجیتال سازمان ها را ملزم میکند تا پیشرفت ها و تکامل مداوم سیاست ها و کنترل های امنیتی خود را اتخاذ کنند.
ساختار و مرزهای تعریف شده توسط ISMS ممکن است فقط برای یک بازه زمانی محدود اعمال شود و نیروی کار ممکن است در مراحل اولیه برای اتخاذ آنها تلاش کند. چالش پیش روی سازمان ها این است که این مکانیسم های کنترل امنیتی را با تغییر ریسک ها، فرهنگ و منابعشان توسعه دهند.
براساس استاندارد ایزو 27001، پیاده سازی ISMS از یک مدل Plan-Do-Check-Act (PDCA) برای بهبود مستمر در فرآیندهای ISM پیروی می کند:
- طرح: شناسایی مشکلات و جمع آوری اطلاعات مفید برای ارزیابی ریسک امنیتی. خط مشی ها و فرآیند هایی را که میتوان برای رسیدگی به علل ریشه ای مشکل استفاده کرد، تعریف کنید. توسعه روش هایی برای ایجاد بهبود مستمر در قابلیت های مدیریت امنیت اطلاعات.
- انجام دادن: سیاست ها و رویه های امنیتی ابداع شده را اجرا کنید. پیاده سازی از استانداردهای ISO پیروی می کند، اما پیاده سازی واقعی بر اساس منابع در دسترس شرکت شما است.
- بررسی: نظارت بر اثربخشی سیاست ها و کنترل های ISMS. نتایج ملموس و همچنین جنبه های رفتاری مرتبط با فرآیندهای ISM را ارزیابی کنید.
- عمل کنید: روی بهبود مستمر تمرکز کنید. نتایج را مستند کنید، دانش را به اشتراک بگذارید و از یک حلقه بازخورد برای رسیدگی به تکرارهای آتی اجرای مدل PCDA سیاست ها و کنترل های ISMS استفاده کنید.
چارچوب های محبوب ISMS
استاندارد ایزو 27001 و ایزو 27002 پیشرو در امنیت اطلاعات است، اما سایر چارچوب ها نیز راهنمایی های ارزشمندی را ارائه می دهند. این چارچوب های دیگر اغلب از ISO 27001 یا سایر دستورالعمل های خاص صنعت وام گرفته می شوند.
- ITIL، چارچوب مدیریت خدمات به طور گسترده پذیرفته شده، دارای یک جزء اختصاصی به نام مدیریت امنیت اطلاعات (ISM) است. هدف ISM تراز کردن فناوری اطلاعات و امنیت کسب و کار است تا اطمینان حاصل شود که InfoSec به طور مؤثر در همه فعالیت ها مدیریت می شود.
- COBIT، یکی دیگر از چارچوب های متمرکز بر فناوری اطلاعات، زمان قابل توجهی را صرف این موضوع میکند که چگونه مدیریت دارایی و مدیریت پیکربندی برای امنیت اطلاعات و همچنین تقریباً سایر عملکردهای ITSM – حتی آنهایی که با InfoSec مرتبط نیستند – اساسی هستند.
در مورد “استاندارد ایزو 27018” بیشتر بخوانید.
سیستم مدیریت امنیت اطلاعات, کنترل های امنیتی ISMS
کنترل های امنیتی ISMS دامنه های متعددی از امنیت اطلاعات را که در استاندارد ISO 27001 مشخص شده است را در بر می گیرد. کاتالوگ حاوی دستورالعمل های عملی با اهداف زیر است:
- سیاست های امنیت اطلاعات: جهت گیری و پشتیبانی کلی به ایجاد سیاست های امنیتی مناسب کمک می کند. خط مشی امنیتی منحصر به شرکت شما است که در چارچوب تغییر کسب و کار و نیازهای امنیتی شما طراحی شده است.
- سازمان امنیت اطلاعات: این به تهدیدات و خطرات درون شبکه شرکتی، از جمله حملات سایبری از سوی نهادهای خارجی، تهدیدات داخلی، عملکرد نادرست سیستم، و از دست دادن داده ها می پردازد.
- مدیریت دارایی: این جزء دارایی های سازمانی را در داخل و خارج از شبکه فناوری اطلاعات شرکت پوشش می دهد، که ممکن است شامل تبادل اطلاعات تجاری حساس باشد.
- امنیت منابع انسانی: خط مشی ها و کنترل های مربوط به پرسنل، فعالیت ها و خطا های انسانی شما، از جمله اقداماتی برای کاهش خطرات ناشی از تهدیدات داخلی و آموزش نیروی کار برای کاهش نقص های امنیتی غیرعمدی.
- امنیت فیزیکی و محیطی: این دستورالعمل ها اقدامات امنیتی برای محافظت از سخت افزار فیزیکی IT در برابر آسیب، از دست دادن یا دسترسی غیرمجاز را پوشش می دهد. در حالی که بسیاری از سازمان ها از تحول دیجیتال استفاده میکنند و اطلاعات حساس را در شبکه های ابری امن خارج از محل نگهداری میکنند، امنیت دستگاه های فیزیکی مورد استفاده برای دسترسی به آن اطلاعات باید در نظر گرفته شود.
- ارتباطات و مدیریت عملیات: سیستم ها باید با رعایت سیاست ها و کنترل های امنیتی کار کنند. عملیات روزانه فناوری اطلاعات، مانند ارائه خدمات و مدیریت مشکل، باید از سیاست های امنیتی فناوری اطلاعات و کنترل های ISMS پیروی کند.
- کنترل دسترسی: این حوزه سیاست با محدود کردن دسترسی به پرسنل مجاز و نظارت بر ترافیک شبکه برای رفتارهای غیرعادی سروکار دارد. مجوزهای دسترسی به هر دو رسانه دیجیتال و فیزیکی فناوری مربوط می شود. نقش ها و مسئولیت های افراد باید به خوبی تعریف شده باشد و تنها در صورت لزوم به اطلاعات تجاری دسترسی داشته باشند.
- اکتساب، توسعه و نگهداری سیستم های اطلاعاتی: بهترین شیوه های امنیتی باید در کل چرخه حیات سیستم IT، از جمله مراحل کسب، توسعه و نگهداری حفظ شود.
- امنیت اطلاعات و مدیریت حوادث: شناسایی و حل مشکلات IT به روشی که تأثیر آن بر کاربران نهایی را به حداقل برساند. در محیط های زیرساخت شبکه پیچیده، راه حل های فنآوری پیشرفته ممکن است برای شناسایی معیارهای حادثه روشن تر و کاهش فعالانه مسائل احتمالی مورد نیاز باشد.
- مدیریت تداوم کسب و کار: تا حد امکان از ایجاد وقفه در فرآیندهای تجاری خود داری کنید. در حالت ایده آل، هر موقعیت فاجعه ای بلافاصله با بازیابی و روش هایی برای به حداقل رساندن خسارت دنبال می شود.
- انطباق: الزامات امنیتی باید توسط نهادهای نظارتی اجرا شود.
- رمزنگاری: در میان مهم ترین و مؤثرترین کنترل ها برای محافظت از اطلاعات حساس، این به تنهایی یک گلوله نقره ای نیست. بنابراین، ISMS بر نحوه اجرا و مدیریت کنترلهای رمزنگاری نظارت دارد.
- روابط تامین کننده فروشندگان: شخص ثالث و شرکای تجاری ممکن است نیاز به دسترسی به شبکه و داده های حساس مشتری داشته باشند. ممکن است اعمال کنترل های امنیتی بر روی برخی از تامین کنندگان امکان پذیر نباشد. با این حال، کنترل های کافی باید برای کاهش خطرات احتمالی از طریق سیاست های امنیتی فناوری اطلاعات و تعهدات قراردادی اتخاذ شود.
این مؤلفهها و دامنهها بهترین شیوههای عمومی را برای موفقیت InfoSec (1) ارائه میدهند. اگرچه اینها ممکن است از چارچوبی به چارچوب دیگر متفاوت باشند، اما در نظر گرفتن و همسویی با این حوزهها، امنیت اطلاعات را بسیار تامین میکند.
پرسش های متداول
سیستم مدیریت امنیت اطلاعات (ISMS) چارچوبی از سیاست ها و کنترل هایی است که امنیت و خطرات را به طور سیستماتیک و در کل امنیت اطلاعات سازمان شما مدیریت میکند. این کنترل های امنیتی می توانند از استانداردهای امنیتی رایج پیروی کنند یا بیشتر بر صنعت شما متمرکز شوند.
استاندارد ایزو 27001 و ایزو 27002 پیشرو در امنیت اطلاعات است، اما سایر چارچوب ها نیز راهنمایی های ارزشمندی را ارائه می دهند. این چارچوب های دیگر اغلب از ISO 27001 یا سایر دستورالعمل های خاص صنعت وام گرفته می شوند.