ارتباط مدل PDCA با ISMS

ارتباط مدل PDCA با ISMS

حرکت سریع کشورها به سوی جامعه اطلاعاتی، موجب رشد وسیع سیستم‌ها و سرویس‌های اطلاعاتی شده است. در این شرایط بخش وسیعی از خدمات در همین بستر ارائه شده و ارائه‌دهندگان و دریافت‌کنندگان خدمات را ناگزیر از پیوستن به این جامعه نموده است. اطلاعات، گنجینه‌ای است که تا چندی قبل در کمدها و پستوهای سازمان نگهداری می‌شد ولی از چند سال قبل و با توسعه شبکه‌های محلی دورن‌سازمانی، به شبکه داخلی سازمان‌ها راه یافته است. در آن زمان، اطلاعات محدود کاربران شبکه، اعمال کنترل‌های مدیریتی، محافظت‌های فیزیکی و محدود نمودن تعداد افرادی که به سرویس‌ها و به ويژه سرویس‌های حساس دسترسی داشتند، موجب شد تا مشکل خاصی بروز نکند. اما این‌که با اتصال شبکه‌‌های سازمانی به شبکه جهانی، همان گنجینه حساس در معرض دید و استفاده طیف وسیعی از مخاطبین در سراسر جهان قرار گرفته است، مخاطبینی مجهز به انواع اطلاعات و ابزارهای اطلاعاتی می‌باشند. البته تهدید فقط از سوی مخاطبین خارج از سازمان نیست. بررسی‌های انجام شده نشان می‌دهد که امروزه عمده تهدید‌های موجود علیه اطلاعات و سیستم‌های اطلاعاتی سازمان‌ها، منشاء داخلی داشته و خواسته یا ناخواسته توسط پرسنل سازمان ایجاد می‌شود. در این شرایط تامین امنیت اطلاعات، بدون شک یکی از ضروریات هر سازمان می‌باشد.

براي داشتن سازماني با برنامه و ايده‌آل، هدفمند كردن اين تلاش‌ها براي رسيدن به حداكثر امنیت امري است كه بايد مدنظر قرار گيرد.
حاصل تجربه و اقدامات انجام‌شده در طول سال‌های گذشته در جهان، رویکردی تحت عنوان سیستم مديریت امنیت اطلاعات (ISMS) است. بر اساس این رویکرد، سازمان‌ها به منظور تامین امنیت اطلاعات خود، باید مجموعه‌ای از اقدامات پیشگیرانه و تدافعی را به صورت مداوم و در یک چرخه‌ تحت عنوان چرخه امنیت انجام دهند.

استفاده از استانداردهای امنیت اطلاعات راه‌كاري است كه اطلاعات سازمان و شركت را دسته‌بندي و ارزش‌گذاري كرده و با ايجاد سياست‌هاي متناسب با سازمان و همچنين پياده‌سازي كنترل‌های امنیتی مختلف، اطلاعات سازمان را ايمن مي‌سازد. اين اطلاعات نه تنها داده‌هاي كامپيوتري و اطلاعات سرورها بلكه كليه موارد حتي نگهبان سازمان يا شركت و امنیت منابع انسانی را در نظر خواهد گرفت. در حال حاضر مجموعه‌ای از استانداردهای مدیریتی و فنی برای امنیت اطلاعات سازمان‌ها ارائه شده است که از جمله آن‌ها عبارت است از استاندارد ISO 27001.
اين استاندارد برای ارائه يک مدل جهت ايجاد، اجرا، بهره‌برداری، بازنگری و بررسی، نگهداری و بهبود يک سيستم مديريت امنيت اطلاعات (ISMS)، تدوين شده است. پذيرش يک سيستم مديريت امنيت اطلاعات بايستی يک تصميم استراتژيک برای سازمان تنظیم مقررات و ارتباطات رادیویی باشد. طراحی و اجرای يک سيستم مديريت امنيت اطلاعات متاثر از اهداف، نيازمندي‌های امنيتی، فرآيندهای به کار گرفته شده و اندازه و ساختار سازمانی می‌باشد. انتظار مي‌رود که اين موارد و سيستم‌های پشتيبان ‌آن‌ها در طول زمان تغيير يابند. همچنين انتظار می‌رود که اجرای يک سيستم مديريت امنيت اطلاعات مطابق با نياز‌های سازمانی خواهد بود. به عنوان مثال برای موقعيت‌های ساده راه‌حل‌های ساده سيستم مديريت امنيت اطلاعات نياز می ‌باشد. اين استاندارد بين‌المللی مي‌تواند برای ارزيابی سازگاری به وسيله بخش‌های داخلی و خارجی مورد استفاده قرار گيرد.
استاندارد بين‌المللی ISO 27001 يک رويکرد فرايندگرا را برای ايجاد، اجرا، بهره‌برداری، بازرسی و بررسی، نگهداری و بهبود يک سيستم مديريت امنيت اطلاعات در سازمان را، اتخاذ کرده است. يک سازمان همواره نيازمند آن است که فعاليت‌های بسياری را به منظور اثربخش نمودن انجام وظایف خود تعيين کرده و مديريت نمايد. هر فعاليت مديريت‌شده که با استفاده از منابع در جهت توانمند کردن تبديل ورودي‌ها به خروجی‌ها عمل می‌نمايد را می‌توان بعنوان يک فرايند در نظر گرفت. اغلب، خروجی يک فرآيند مستقيما ورودی فرآيند بعدی را تشکيل می‌دهد.

استفاده از يک سيستم فرآيندگرا در سازمان به همراه شناسائی تعاملات بين اين فرآيندها و مديريت آن‌ها را می‌توان يک "رويکرد فرآيندگرا" ناميد. يک رويکرد فرآيندگرا برای مديريت امنيت اطلاعات که در اين استاندارد ارائه شده است، كاربران خود را تشويق مي‌كند كه بر اهميت نكات زير تأکيد داشته باشند:
  درك الزامات امنيت اطلاعات تجاري و نياز به پايه‌ريزي خط‌مشي و اهداف عيني براي امنيت اطلاعات
  پياده‌سازي و اجراي کنترل‌ها برای مديريت ريسک‌های امنيت اطلاعات در بستر مديريت ريسک کلي تجارت يک سازمان
  پايش و بازنگري عملكرد و ميزان اثربخشي سيستم مديريت امنيت اطلاعات (ISMS)
  بهبود مستمر بر پايه سنجش اهداف عيني

مدل PDCA
مدلي که به نام PDCA (برنامه- اجرا- بررسي- اقدام) شناخته ‌شده و مي‌تواند براي تمام فرآيندهاي سيستم مديريت امنيت اطلاعات (ISMS) به کار رود. شکل زیر نشان مي‌دهد که چگونه يک سيستم مديريت امنيت اطلاعات ISMS الزامات و انتظارات (خواسته‌هاي) امنيت اطلاعات گروه‌هاي ذينفع را به عنوان ورودي گرفته و از طريق يكسري فعاليت‌ها و فرآيندها، امنيت اطلاعات حاصل ( به عنوان مثال امنيت اطلاعات مديريت‌شده ) را به عنوان خروجي توليد مي‌نمايد که پاسخگوي الزامات و انتظارات مورد نظر مي‌باشد.

نحوده پیاده سازی ISMS امنیت اطلاعات در سازمان

پذيرش مدل PDCA هم‌چنين منعکس کننده اصولی است که در قالب يک مجموعه در راهنماهای OECD ارائه شده است (مديريت امنيت سيستم‌ها و شبکه‌های اطلاعاتی) . هم‌چنين اين استاندارد بين‌المللی يک مدل محکم و استواری را برای اجرای اصولی که در آن راهنماها برای مديريت ارزيابی ريسک، طراحی و اجرای امنيت، مديريت امنيت و ارزيابی دوباره آن، ارائه می‌کند.
 مثال 1: يک نياز مي‌تواند اين باشد که هرگونه رخنه در امنيت اطلاعات سبب خسارت مالي جدي به سازمان و يا باعث ايجاد آشفتگي در سازمان نگردد.
 مثال 2: يک انتظار مي‌تواند آن باشد که در صورت رخداد يک حادثه وخيم مثلا نفوذ به وب‌سايت الکترونيکي تجاري سازمان بايستي افرادي با آموزش کافي وجود داشته باشند كه با استفاده از رويه‌هاي مناسب مانند انجام تست نفوذ سازمانی، تأثير حادثه را به حداقل برسانند.

مدل PDCA به کار رفته در فرآيندهاي سيستم مديريت امنيت اطلاعات (ISMS)

برنامه (پايه‌ريزي سيستم مديريت امنيت اطلاعات- ISMS) پايه‌گذاري خط‌مشي امنيت، اهداف عيني، مقاصد، فرآيندها و رويه‌هاي مرتبط با مديريت ريسک و بهبود امنيت اطلاعات براي دستيابي به نتايجي مطابق با خط‌مشي‌ها و اهداف عيني کلي سازمان.
اجرا (پياده‌سازي و اجراي سيستم مديريت امنيت اطلاعاتISMS) پياده‌سازي و اجراي خط‌مشي‌ها، کنترلها، فرآيندها و رويه‌هاي امنيتي.
بررسي (پايش و بهبود سيستم مديريت امنيت اطلاعاتISMS) برآورد، و در صورت امکان، سنجش عملكرد فرآيند در مقابل خط‌مشي امنيت، اهداف عيني و تجربه عملي و گزارش نتايج به مديريت براي بازنگري.
اقدام (حفظ و بهبود سيستم مديريت امنيت اطلاعاتISMS) انجام اقدامات اصلاحي و پيشگيرانه، بر پايه نتايج حاصل از بازنگري مديريت، براي دستيابي به بهبود مستمر سيستم مديريت امنيت اطلاعات (ISMS)

گردآورنده: محمدمظفر مهرعلی