English (United States) Persian (Iran)
امروز: سه شنبه، 25 مهر 1396 
English (United States) Persian (Iran)
دستاوردهاي سازمان

چاپ

سازمان آمار و فناوري اطلاعات

پروژه سيستم مديريت امنيت اطلاعات (ISMS)

پروژه سيستم امنيت اطلاعات (ISMS) توسط سازمان آمار و فناوري اطلاعات در شهرداري قزوين

رشد و گسترش روزافزون فناوري اطلاعات، انقلابي را در ابعاد مختلف زندگي انسان‌ها و عملکرد سازمان‌ها ايجاد کرده است. اين فناوري روش‌هاي کارکرد و نگرش افراد، سازمان‌ها و دولت‌ها را دگرگون ساخته و باعث ايجاد تحول در انجام امور، به وي‍‍ژه ارائه خدمات مختلف به مشتريان شده‌است. امروزه ارائه سرويس و داشتن توانايي پاسخگويي به انتظارها، يکي از نيازمندي‌هاي کسب و کار مطمئن است و به همين دليل در سازمان‌ها، داشتن شبکه‌اي قوي، مؤثر و امن بسيار مهم است. کسب آمادگي کافي جهت مقابله يا اتخاذ تصميمات مناسب در مقابل حوادث فيزيکي، جرائم سايبري، اختلالات ناشي از تغييرات و غيره در هر دو لايه زيرساخت و کاربرد فناوري اطلاعات، رهيافتي اجتناب‌ناپذير براي تضمين پايايي کسب و کار مي‌باشد. لذا امن‌سازي شبکه و سيستم‌هاي اطلاعاتي به يکي از مسائل مهم پيش رو و دغدغه‌هاي عمده مديران فناوري اطلاعات سازمان‌ها تبديل شده است.
مهمترين اقدام در راستاي امن‌‏سازي يک سازمان، ايجاد يک چارچوب قدرتمند جهت مديريت اقدامات امنيتي است. بايد اذعان داشت که فرآيند ‌امن‏‌سازي سازمان بدون لحاظ نمودن مسائل مديريت امنيت و بسط و گسترش آن در سطح همة بخش‌هاي حساس و استراتژيک سازمان ميسر نيست. سيستم مديريت امنيت اطلاعات با انتخاب کنترل‏‌هاي امنيتي کافي و متناسب، محافظت از دارايي‌‏هاي اطلاعاتي را تضمين مي‌‏نمايد و به اين ترتيب به طرفين ذينفع اطمينان خاطر داده مي‌‏شود‏. به اين ترتيب راه‌حل‌هاي امنيتي استاندارد به تمامي سخت‌افزارها، نرم‌افزارها، ارتباطات و بسترهاي آنها اعمال مي‌شود تا سازمان را در جهت نيل به موفقيت در ساية داشتن محيطي امن ياري کند.
لازم به توضيح است که منظور از طراحي و پياده‌سازي سيستم مديريت امنيت اطلاعات ايجاد بستري جهت ايجاد هماهنگي بين کليه پرسنل حوز? پروژه به منظور حرکت در جهت امنيت اطلاعات در سازمان مي‌باشد و اين امر محقق نمي‌شود مگر با مشارکت و همراهي کليه کارشناسان و پشتيباني مديران ارشد سازمان و لذا تمامي مراحل طراحي و پياده‌‏سازي هر پروژه توسط مشاوران سيستم و با مشارکت و همراهي کارشناسان و مديران سازمان امکان‏‌پذير خواهد بود و در حقيقت ضمانت اثر بخش بودن سيستم وابسته به اين مشارکت مي‌باشد. چرا که طبعاً سيستم مديريت امنيت اطلاعات يک سازمان پس از اتمام پروژه و خروج مشاور از سازمان همچنان با رويکرد بهبود مستمر تداوم خواهد يافت.
لازم به ذکر است که کلي? مراحل استقرار سيستم مديريت امنيت اطلاعات مبتني بر استاندارد ISO/IEC 27001:2005 بوده و بدين جهت منطبق با چرخ? دمينگ (PDCA) مي‏‌باشد. چرخ? دمينگ پيشبرد يک فرايند را در چهار فاز طراحي (Plan)، اجرا (Do)، بررسي (Check) و اقدام (Act) تبيين مي‏‌کند که با توجه به تعريف اين چرخه به طور مداوم در حرکت بوده و بارها و بارها اين فازها تکرار مي‏‌شوند و موجب بهبود مستمر سيستم خواهد شد. با اين رويکرد مي‏‌توان روند استقرار سيستم مديريت امنيت اطلاعات را در اين چهار مرحله تبيين کرد:
الف) شناخت الزامات امنيت اطلاعات و نياز به سياست‏‌گذاري و هدف‏‌گذاري براي امنيت اطلاعات‏؛
ب)پياده‏‌سازي و بهره‌‏برداري از موارد کنترلي به منظور مديريت مخاطره‌هاي امنيت اطلاعات يک سازمان در چارچوب مجموعه مخاطره‌‏هاي کسب‌و‌کار سازمان‏؛
پ) پايش و بازنگري اجرا و اثربخشي سيستم مديريت امنيت اطلاعات؛
ت) بهبود مستمر بر اساس اندازه‏‌گيري هدف‏.

?
خطرهاي تهديد کننده ي سيستم اطلاعاتي
خطرهاي تهديد کننده ي امنيت اطلاعات به دو دسته ي عمدي و غير عمدي تقسيم مي شوند ، خطرهاي عمدي خطرهايي هستند که امنيت اطلاعات سيستم را با برنامه ي قبلي و هدفي خاص مورد حمله قرار مي دهند مثل خطر هکرها و خطرهاي غيرعمدي خطرهايي هستند که بر اثر اشتباهات انسان و نيروي کار به سيستم وارد مي شود که اين نوع خطر بيشترين ميزان خسارات را به سيستم اطلاعاتي وارد مي کنند همچنين خطرهاي ناشي از عوامل طبيعي مثل سيل ،زلزله،طوفان و... جزء تهديدات غير عمدي به حساب مي آيد .
براي اينکه در سيستم ها بتوانيم خطرهاي موجود را رفع کنيم قبل از هر چيز بايد به فکر ايجاد امنيت شبکه هاي اطلاعاتي خود باشيم اين ايجاد امنيت ابتدا بايد شامل اتخاذ سياست هاي امنيتي باشد.مواردي که يک سازمان براي پياده سازي يک سيستم امنيتي اعمال مي کند به شرح زير مي باشد :
?)تعيين سياست امنيتي
?)اعمال سياست هاي مناسب
?)بررسي بلادرنگ وضعيت امنيت اطلاعاتي بعد از اعمال سياست امنيتي
?)بازرسي و تست امنيت شبکه ي اطلاعاتي
?)بهبود روش هاي امنيت اطلاعاتي سازمان

? سيستم مديريت امنيت اطلاعات در ايران
متأسفانه تا کنون توجه چنداني به ISMS در ايران نشده است و هيچ سازمان و ارگاني از ايران موفق به کسب گواهينامه ي لازم جهت استاندارد امنيت اطلاعات نگرديده است حال اينکه کشور ما به لحاظ موقعيت خاص خود هميشه مورد هجوم و دستبردهاي اطلاعاتي از طرق مختلف بوده که بعضا ضرباتي جبران ناپذير را نيز متحمل گرديده . با توجه به اين مسأله به نظر مي آيد لزوم استاندارد سازي در مبحث امنيت اطلاعات در کشور ما يک نياز اساسي جهت حفظ محرمانگي و امنيت اطلاعات است.
?
نتيجه گيري
شايد استفاده از سيستم امنيت اطلاعات به نظر سخت آيد اما به کارگيري آن لازم و ضروري است و هزينه هايي نيز دارد که در نگاه اول ممکن است اين هزينه ها زياد به نظر آيد اما هزينه هايي هستند که فوايد بيشتري دارند.استقرار اين نظام باعث ايجاد حساسيت و کنترل بهتر جهت حفظ محرمانگي اسرار يک سيستم است و در آن نقش آموزش و برنامه ريزي کلان جهت نيروهاي انساني و جلوگيري از حوادث اطلاعاتي نقشي بسيار موثر است که به جز با حمايت مديران يک مجموعه امکان پذير نمي باشد. براي اينکه بتوانيم حمايت مديران را جهت برقراري امنيت اطلاعات جلب کنيم بهتر است سيستمي مناسب را ارايه نماييم تا حمايت آنان را براي تقويت امنيت اطلاعات به دست آوريم و در اين راستا ( ISMS ) يک سيستم مناسب و استاندارد براي اين امر مي باشد .

  •  
     
صفحه اصلي  |  معرفي سازمان  |  معرفي واحدها  |  تماس با ما  |