اصول مدیریت امنیت اطلاعات
اهداف و اصول مدیریت امنیت اطلاعات (ISM)
مفاهیم مرتبط
- امنیت اطلاعات (Information Security) فعالیت هایی را توصیف می کند که مربوط به حفاظت از دارایی های اطلاعاتی در برابر خطرات از دست دادن، سواستفاده، افشا یا آسیب است.
- مدیریت امنیت اطلاعات (Information Security Management) كنترل هایی را توصیف می كند كه سازمان ها برای اطمینان از مدیریت منطقی این خطرات نیاز به اجرای آنها دارد.
- سیستم مدیریت امنیت اطلاعات (ISMS) مجموعه ای از سیاست های مربوط به مدیریت امنیت اطلاعات یا خطرات مربوط به فناوری اطلاعات است.
اهداف ISM
هدف اساسی ISM تأمین امنیت اطلاعات است. هدف اصلی امنیت اطلاعات، به نوبه خود، محافظت از دارایی های اطلاعاتی در برابر خطرات و در نتیجه حفظ ارزش آنها برای سازمان است.
اصول مدیریت امنیت اطلاعات
در اصل ISM آمده است که یک سازمان باید مجموعه ای منسجم از سیاست ها، فرآیندها و سیستم ها را برای مدیریت ریسک دارایی های اطلاعاتی خود طراحی، اجرا و نگهداری کند، بنابراین از سطوح قابل قبول ریسک امنیت اطلاعات اطمینان حاصل می کند. به عنوان مثال ISO/IEC 27001 یک استاندارد ISMS است.
امنیت اطلاعات (Information Security)، امنیت سیستم ها (Computer Security) و Information Assurance
امنیت اطلاعات
کلمه امنیت اطلاعات به حفاظت از سیستم های اطلاعاتی در برابر دسترسی بدون مجوز، استفاده، افشا، اختلال، اصلاح، مطالعه، بازرسی، شنود یا تخریب غیرمجاز مربوط می شود.
امنیت اطلاعات (InfoSec) عملی است که از اطلاعات در برابر دسترسی غیرمجاز، استفاده، افشای اطلاعات، ایجاد اختلال، اصلاح، مطالعه، بازرسی، ضبط یا تخریب دفاع می کند. این یک اصطلاح عمومی است که می تواند صرف نظر از شکلی که داده (الکترونیکی ، فیزیکی و غیره) دارند، استفاده شود.
امنیت اطلاعات (ISec) فعالیت هایی را توصیف می کند که مربوط به حفاظت از دارایی های زیرساخت های اطلاعاتی در برابر خطرات از دست دادن ، سواستفاده ، افشای یا آسیب است. مدیریت امنیت اطلاعات (ISM) كنترل هایی را توصیف می كند كه سازمان ها برای اطمینان از مدیریت معقول این خطرات، باید آنها را اجرا كنند. سیستم مدیریت امنیت اطلاعات (ISMS) مجموعه ای از سیاست ها است که مربوط به مدیریت امنیت اطلاعات یا خطرات مربوط به فناوری اطلاعات است. این اصطلاحات در اصل از ISO 27001 بوجود آمده اند.
برای بیش از بیست سال، امنیت اطلاعات محرمانه بودن ، یکپارچگی و در دسترس بودن اطلاعات است.
امنیت IT
گاهی اوقات به عنوان امنیت سیستم ها نیز نامیده می شود، امنیت IT هنگامی که در فناوری استفاده می شود امنیت اطلاعات است. شایان ذکر است که کامپیوتر لزوما به معنای دسک تاپ خانگی نیست. رایانه به هر وسیله ای با پردازنده و مقداری حافظه (حتی ماشین حساب) گفته می شود. متخصصان امنیت فناوری اطلاعات به دلیل ماهیت و ارزش داده های موجود در مشاغل بزرگ تقریباً تقریباً در هر شرکت / سازمان بزرگی یافت می شوند. آنها مسئول ایمن نگه داشتن تمام فناوریهای موجود در شرکت در برابر حملات سایبری مخرب هستند که غالباً سعی در نفوذ به اطلاعات مهم حیاتی یا کنترل سیستمهای داخلی دارند.
تضمین اطلاعات (Information Assurance)
تضمین اطلاعات عملی است برای اطمینان از عدم از دست رفتن داده ها در هنگام بروز مسائل مهم. این مسائل شامل بلایای طبیعی، سو عملکرد سیستم/ سرور ، سرقت فیزیکی یا هر مورد دیگری است که در آن امکان از دست رفتن داده ها وجود دارد. از آنجا که بیشتر اطلاعات در سیستم ها ذخیره می شود، کار تضمین اطلاعات به طور معمول توسط متخصصان امنیت فناوری اطلاعات انجام می شود. یکی از متداول ترین روش های ارائه اطمینان اطلاعات، تهیه نسخه پشتیبان از اطلاعات خارج از سایت در صورت بروز یکی از موارد ذکر شده است.
شباهت ها
شباهت های بین واحد امنیت اطلاعات، واحد امنیت IT و واحد اطمینان اطلاعات این است که آنها برای محافظت از محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات تلاش می کنند.
تفاوت ها
تفاوت بین آنها در مناطق نحوه برخورد آنها با موضوع، روشهای استفاده شده و مناطق تمرکز نهفته است.
سیستم مدیریت اطلاعات
اصول حاکم بر ISMS این است که یک سازمان باید مجموعه ای منسجم از سیاست ها، فرآیندها و سیستم ها را برای مدیریت ریسک دارایی های اطلاعاتی خود طراحی، اجرا و نگهداری کند، و در نتیجه آن از سطوح قابل قبول ریسک امنیت اطلاعات اطمینان حاصل می کند.
از بهترین ISMS های شناخته شده می توان در از ایزو ۲۷۰۰۱ و ۲۷۰۰۲ نام برد که به طور مشترک توسط ISO و IEC منتشر شده است.
یکی دیگر از ISMS های رقیب، استاندارد عمل خوب (SOGP) انجمن امنیت اطلاعات است. از آنجا که از تجربیات صنعت ISF بدست می آید، بهترین روش مبتنی بر عمل است.
چارچوب های دیگر مانند COBIT و ITIL موضوعات امنیتی را لمس می کنند ، اما عمدتا در جهت ایجاد یک چارچوب حاکمیتی برای اطلاعات و فناوری اطلاعات به طور عام هستند. COBIT یک چارچوب همراه دارد Risk IT را به امنیت اطلاعات اختصاص می دهد.
خدمات امنیت اطلاعات
سازمان ها برای حفظ و بهبود برنامه های کلی امنیت اطلاعات خود باید مرتباً خدمات امنیتی اطلاعاتی را ارزیابی، انتخاب و بکار گیرند.
خدمات امنیت اطلاعات (به عنوان مثال، توسعه سیاست های امنیتی IT، پشتیبانی از سیستم تشخیص نفوذ و غیره) ممکن است توسط یک گروه اطلاعاتی داخلی برای یک سازمان و یا یک تیم امنیتی خارجی ارائه شود.
اگر به آموزش در زمینه مدیریت امنیت اطلاعات علاقه مندید دوره CISSP از مجموعه ساینت به شما پیشنهاد می شود.
مطالب زیر را حتما بخوانید
-
اکتیو دایرکتوری (Active Directory) چیست و چگونه کار می کند؟
102 بازدید
-
بخش بندی شبکه (Network Segmentation) چیست؟
169 بازدید
-
۸ راه برای افزایش امنیت شبکه
2.65k بازدید
-
۲۰ اصطلاح مهم امنیت شبکه که باید بدانید
3.11k بازدید
-
SOC چیست؟ تکنولوژی، اهداف و ابزارهای مرکز عملیات امنیت
6.34k بازدید
-
فیشینگ (Phishing) چیست؟ بررسی و نحوه پیشگیری از آن چگونه است
2.54k بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.