مدیریت امنیت اطلاعات

هر سرویسی در حوزه فناوری اطلاعات، به هر میزان بالغ و کامل هم که باشد، در صورتی که مسایل و ملاحظات مدیریت امنیت اطلاعات در آن مراعات نشده باشد، مطلوب مخاطب آن نخواهد بود و اساسا کمال و بلوغ یک سرویس زمانی حاصل و مطرح می شود که به این بُعد از زنجیره خلق ارزش، به میزان لازم و متناسب پرداخته شود.

مدیریت امنیت اطلاعات طراحی سایت امن

بر اساس چارچوب (ITIL v3)، مدیریت امنیت اطلاعات – که یکی از فرایندهای فاز طراحی سرویس است – به مجموعه ای از سیستم ها، راهبردها و سیاست های چرخه سرویس اطلاق می شود که مخاطرات مرتبط با امنیت اطلاعات را در ارایه خدمات، مدیریت می کند. می دانیم که مخاطرات، با هدف گرفتن نقاط آسیب پذیر، همواره دارایی های یک کسب و کار را هدف قرار می دهند و وقتی پای ارایه خدمات فناوری اطلاعات در میان باشد، باارزشترین این دارایی ها، همان اطلاعات هستند.

توصیه های موفق طراحی و راه اندازی یک سیستم مدیریت امنیت اطلاعات (Information Security Management System) یا ISMS، بر مبنای مدل دمینگ و بر فازهای طراحی، اجرا، کنترل و اقدام اصلاحی استوار است. در فاز طراحی، باید با تدوین سیاست امنیت و دامنه آن، دارایی های اطلاعاتی کسب و کار و نقاط آسیب پذیر آنها، شناسایی شده و مخاطرات مترتب بر هر یک برآورد و برای آنها، راهکارهای متناسب پیش بینی شود. فاز اجرا، به استقرار و مدیریت سیستم های نظارتی در محدوده ریسک ها و دامنه تعریف شده می پردازد. در گام کنترل، عملکرد و خروجی های نظام طراحی شده، مورد پایش مکرر قرار گرفته و نهایتا در فاز بهبود، اقدامات اصلاحی – که در فاز قبل از آن برای توسعه و بهبود سیستم مدیریت امنیت اطلاعات شناسایی شده اند – مورد عمل قرار می گیرند و به این ترتیب، هر بار پیمایش چنین چرخه ای از عملیات، ISMS را به بلوغی بالاتر می رساند.

بیشتر بخوانید
ابزارهای تست نفوذ پورتال، شمشیر های دو لبه

ISMS ITIL

تمامی استانداردهای حوزه امنیت اطلاعات – که سرآمد آنها سری ISO 27000 – است – و چارچوب های مطرحی همچون ITIL، تحقق یک نظام امنیت اطلاعاتی را هرگز به صورت صددرصدی نمی پندارند یا به عبارت دیگر، هیچ سیستم اطلاعاتی را نمی توان از تمامی ابعاد آن ایمن و بدون نقص دانست، اما کمابیش نگرش مشترک میان آنها این است که با در نظر داشتن قواعد چهارگانه امنیت اطلاعات، همچون محرمانگی، تمامیت، تایید هویت و انکارناپذیری، دارایی های اطلاعاتی هر کسب و کاری باید مکرر و مداوم مورد شناسایی و پایش و مدیریت قرار گیرند.

ITIL مدیریت امنیت اطلاعات طراحی سایتاز آنجا که امنیت مقوله ای زیرساختی، پایان ناپذیر و پرهزینه بوده و در ظاهر قابل اغماض به نظر می رسد، غالبا سرویس دهندگان، اشتیاقی برای پرداختن به آن ندارند؛ اما بی ارزش پنداشتن حتی یک مخاطره، بر یک دارایی کم اهمیت و حتی با امکان بروز پایین مخاطره، گاهی می تواند عواقب ناگواری را برای سرویس در پی داشته باشد. در بسیاری از کشورها، نهادهایی فرادستی، با تعیین الزامات قانونی، پرداختن به این بعد از سرویس را در تکالیف سرویس دهندگان قرار داده اند و به این شیوه از حقوق مخاطبان کسب و کار IT، حمایت می کنند.

نوشته شده در طراحی سایت