بخشی از مقاله
چکیده
استفاده از خدمات الکترونیکی و فناوري اطلاعات در زندگی روزمره امروزي انکار ناپذیر است و شاهد گسترش روزافزون استفاده از سیستم هاي کامپیوتري در سازمانها ، ادارات و شرکت ها هستیم. به تناسب الکترونیکی شدن امور بیش از بیش مقوله امنیت اطلاعات اهمیت فوق العاده اي پیدا کرده است که مورد توجه کلیه مدیران قرار دارد.
در واقع سازمانهایی که نتوانند اطمینان مشتریان خود را جلب نمایند با کاهش مشتري و به سوي نیستی گام خواهند برداشت. در این رهگذر پیاده سازي سیستم مدیریت امنیت اطلاعات تا حد زیادي می تواند امنیت اطلاعات را به ارمغان اورد و نشان دهنده فراهم شدن حداقل امنیت اطلاعات دیجیتالی باشد لیکن عوامل موثر در پیاده سازي سیستم مدیریت امنیت اطلاعات فراوانند که از آن جمله می توان به عوامل فناوري و تکنولوژي، عوامل بیرونی یا خارجی و عوامل سازمانی - درونی - اشاره کرد که در این مقاله سعی شده است عوامل فناوري و تکنولوژي شناسایی شود و سپس به رتبه بندي عوامل مذکور پرداخته شده است تا مشخص گردد کدامیک از عوامل فناوري و تکنولوژي در حین پیاده سازي سیستم مدیریت امنیت اطلاعات از اهمیت بیشتر و کدامیک از اهمیت کمتري برخوردارند.
-1 مقدمه
با توجه به شتاب و گستردگی تغییراتی که در فرایندها و فعالیت ها وجود دارد سیستم ها نیازمند کسب اطلاعات جدید و مهمتر از آن حفاظت از اطلاعات می باشد. موضوع حفاطت از اطلاعات در زمانها گذشته نیز مرسوم بوده است لیکن با توجه به عصر جدیدي که در آن زندگی می کنیم و به عصر اطلاعات معروف شده است داشتن اطلاعات و حفاظت از آنها از اهمیت ویژه اي براي مدیران برخوردار است.
در این راستا ایجاد یک سیستم امنیتی قوي می تواند براي حفظ امنیت اطلاعات هر سازمان موثر باشد. سیستم مذکور می بایست بر اساس نیازهاي سازمان و میزان اهمیت اطلاعات بمنطور حفاطت از سرمایه هاي اطلاعاتی و دارایی هاي سازمانی طراحی شود. از اینرو بحث طراحی و پیاده سازي سیستم مدیریت امنیت اطلاعات - - ISMS به عنوان ابزاري مناسب جهت طراحی و کنترل امنیت اطلاعات مطرح می شود. در پیاده سازي سیستم مدیریت امنیت اطلاعات عوامل فراوانی دخیل هستند که از جمله انها عوامل فناوري و تکنولوژي است، در واقع پیاده سازي هر سیستمی نیازمند زیر ساخت هاي خاصی است که بدون وجود انها امکان پیاده سازي وجود ندارد.
از جمله زیر ساخت هاي لازم در حوزه فناوري و تکنولوژي می توان به عواملی مانند وجود ممیزین داخلی بمنطور تحلیل وضعیت، تدوین و اطلاع رسانی مناسب دستورالعمل ها، انتخاب دامنه و محدوده مناسب، ارزش گذاري و برآورد مناسب ریسک، وجود تیم فنی و امنیتی پاسخگو، زیر ساخت هاي نرم افزاري و سخت افزاري مناسب، توانایی و دانش فنی کارشناسان، بهره برداري از دستورالعمل پذیرش سیستم، مطالعه مستندات سیستم هاي اجرا شده، انطباق بین پروژه ها با اسناد بالا دستی و برنامه هاي فاوا، تحلیل شکاف - Gap Analysis - ، بهره برداري از سیستم هاي پایش، اجراي چارچوب هاي مدیریتی موجود مانند COBIT, ITIL, … ، آموزش و برگزاري دوره هاي مرتبط و دسته بندي و پایش اطلاعات و فایل ها را نام برد که به بررسی میزان تاثیر هر یک خواهم برداخت لیکن در ابتدا مفاهیم اطلاعات، امنیت اطلاعات، حفاطت اطلاعات و سیستم مدیریت امنیت اطلاعات تعریف و بررسی می شود.
-2 مروري بر امنیت اطلاعات ، مدیریت امنیت اطلاعات و سیستم مدیریت امنیت اطلاعات
تعاریف گوناگونی براي امنیت اطلاعات وجود دارد که می توان به موارد زیر اشاره کرد: امنیت اطلاعات عبارت است از حفاظت اطلاعات و به حداقل رساندن دسترسی غیر مجاز به آنها . [3] همچنین علم مطالعه روشهاي حفاظت از داده ها در رایانه ها و نظام هاي ارتباطی در برابر تغییرات غیر مجاز است . [4] از طرفی امنیت اطلاعات حفاظت از محرمانگی ، تمامیت و دسترس پذیري اطلاعات است.
علاوه بر این ها سایر ویژگی ها از قبیل اصالت ، قابلیت جوابگویی ، اعتبار ، انکار ناپذیري و قابلیت اطمینان اطلاعات نیز می توانند مشمول این حفاظت باشند.مدیریت امنیت اطلاعات بخشی از مدیریت اطلاعات است که وظیفه تعیین اهداف ، امنیت و بررسی موانع سر راه رسیدن به این اهداف و ارائه راهکارهاي لازم را بر عهده دارد . [1]
مفهوم سیستم مدیریت اطلاعات عبارت است از : بخشی از سیستم مدیریت کلی و سراسري در یک سازمان است که بر پایه ي رویکرد مخاطرات کسب و کار قرار داشته و هدف آن پایه گذاري ، پیاده سازي ، بهره برداري ، نظارت ، بازبینی ، نگهداري و بهبود امنیت اطلاعات است . سیستم مدیریت امنیت اطلاعات در مجموع یک رویکرد نظام مند به مدیریت اطلاعات حساس به منظور محافظت از آن هاست.امنیت اطلاعات چیزي فراتر از نصب یک دیواره ي آتش ساده یا عقد قرارداد با یک شرکت امنیتی است.
