امروزه امنیت اطلاعات، بزرگترین چالش در عصر فناوری اطلاعات محسوب می‌شود و حفاظت از اطلاعات در مقابل دسترسی غیر مجاز، تغييرات، خرابکاري و افشاء، امري ضروري و اجتناب ناپذير به شمار مي‌رود. از اين رو، امنيت دارايي‌هاي اطلاعاتي، براي تمامي سازمان‌ها امري حياتي بوده و مستلزم يک مديريت اثربخش مي‌باشد.

سیستم مدیریت امنیت اطلاعات یا ISMS) – Information Security Management System) ابزاری است برای شناسایی، مدیریت و به حداقل رساندن احتمال وقوع تهديداتي که امروزه سازمانها بواسطه از دست دادن اطلاعات خود با آنها رودرو مي باشند. اين تهديدات مشتمل بر : تهديدات داخلي سازمان، تهديدات خارجي سازمان، تهديدات اتفاقي، تهديدات ناشي از خطاهاي عمدي و غير عمدي است. امروزه سازمانها بسياري از فرصتهاي کسب و کار خود را به لحاظ از دست دادن اطلاعات پر ارزش خود از دست مي دهند. هدف اصلي اين سيستم برقراري مکانيسمي جهت حفاظت از همين فرصتهاست.اهميت دوچندان سيستم مديريت امنيت اطلاعات (ISMS )در دنياي امروز امري غير قابل انکار مي باشد، از اين رو ما خود را موظف دانستيم تا بيشتر تمرکز و توان خود را در ارائه تمام و كمال اين سيستم صرف كنيم.و وسعت سازمانها نيز ما را بر آن داشته تا خدمات خود را به صورت جزئي تر و به تبع شفافتر نيز ارائه نماييم.

طبق بخشنامه شماره ۱۳۷۱۱-۸۶/م/۳۸۵۰۵ مورخ ۱۰/۸/۱۳۸۶ معاون اول محترم رئیس جمهور، کلیه دستگاههای دولتی و غیردولتی موظف به تهيه طرح سيستم مديريت امنيت اطلاعات (ISMS) شدند و همچنين با توجه به اهميت اين سيستم مديريتي در کشور طبق مصوبه هيات وزيران کليه دستگاه‌هاي اجرايي مشمول ماده پنج قانون خدمات کشوري، ملزم شدند نسبت به پياده‌سازي سامانه مديريت امنيت اطلاعات ISMS اقدام کنند.

فراهم آوری صحت و تمامیت اطلاعات، به گونه ای که در زمان مناسب، اطلاعات در دسترس افراد مجازی قرار بگیرد که نیازمند آن مي‌باشند، عاملي است که منجر به اثربخشي کسب و کار مي‌گردد. امنيت اطلاعات شامل سه بُعد مهم است:

محرمانگی (Confidentiality) یکپارچگی (Integrity) دسترس پذیری (Availability)

استاندارد ISO/IEC ۲۷۰۰۱ زمینه مناسبی را برای طراحی و استقرار سیستم مدیريت امنيت اطلاعات و ارزيابي آن در سازمان‌ها و بهره‌گيري از منافع اين رويکرد، فراهم آورده است. سيستم مديريت برحسب امنيت اطلاعات، به يک سازمان اين امکان را مي دهد تا موارد زير را ايجاد نمايد:

رضایت نیازمندی های امنیتی مشتريان و ساير ذينفعان
بهبود طرح ها و فعالیت های سازمان
تأمین اهداف امنیت اطلاعات سازمان
تطابق با آیین نامه ها و قوانین و مقررات مربوط به کار
مدیریت دارایی‌های اطلاعاتی در يک روش سازمان يافته، به بهبود مستمر و تعديل با اهداف سازماني کنوني کمک مي‌کند. لذا ضروري است که سيستم مديريت امنيت اطلاعات (ISMS)، با توجه به نيازها و الزامات هر سازمان و منطبق با رويه‌ها و استانداردهاي ISO/IEC ۲۷۰۰۱ و ISO/IEC ۲۷۰۰۲ طبق فازهاي زير، طراحي و پياده سازي شود:

۱- ارزیابی و شناخت اولیه (Gap Analysis):

در فاز ارزیابی و شناخت اولیه، میزان انطباق سازمان با الزامات و کنترل های استاندارد ISO/IEC ۲۷۰۰۱ مورد بررسی قرار مي‌گيرد. اين مرحله، کمک شاياني به تعيين دامنه (Scope) پياده‌سازي سيستم و فاز طراحي خواهد نمود. فعاليت‌هايي که در اين مرحله اجرا مي‌شود، عبارتند از:

شناسایی وضعیت موجود و ارزیابی میزان انطباق سازمان با الزامات و کنترل‌هاي استاندارد ISO/IEC ۲۷۰۰۱
مستندسازی و تهیه گزارش از وضعیت موجود
تعیین دامنه (Scope) پیاده‌سازی سیستم مدیريت امنيت اطلاعات
تهیه و تدوین خط مشی امنیت اطلاعات
کمک به سازماندهی و تشکیل کمیته راهبری امنیت در سازمان
۲- آگاه‌سازی و آموزش (Awareness & Training):

در این مرحله، تمامی افراد درگیر در فرآیند پیاده‌سازی سيستم مديريت امنيت اطلاعات، آموزش ديده و با مفاهيم و الزامات ISMS آشنا مي‌شوند.

۳– طراحی (ISMS (Planning & Design:

به منظور موفقیت در پیاده‌سازیISMS، می‌بایست این سيستم را مطابق با الزامات استاندارد و نيازمندي‌هاي سازمان طراحي نمود. فعاليت‌هايي که در اين مرحله اجرا مي‌شود، عبارتند از:

تهیه لیست دارایی‌های واقع در دامنه
طبقه‌بندی و ارزش‌گذاری دارایی‌های اطلاعاتی
تعیین و تدوین متدولوژی ارزیابی مخاطرات
تدوین خط مشی‌ها، دستورالعمل‌ها و روش‌های اجرایی مورد نیاز سيستم
تدوین طرح تداوم کسب و کار (BCP)
تدوین طرح برطرف سازی مخاطرات (RTP)
تدوین بیانیه کاربست پذیری (SOA)
۴– پیاده سازی (ISMS(Implementation:

در این مرحله، کنترل‌ها، طرح‌ها و سیاست‌های امنیتی تهیه شده در فاز قبلي، پياده‌سازي مي‌شود.

۵– ممیزی داخلی و همراهی تا صدور گواهینامه بین المللي (Internal & External Audit):

پس از پیاده‌سازی و استقرار کامل سیستم مدیریت امنیت اطلاعات در سازمان، سرمميزان انتخاب شده توسط سازمان، با پيش مميزي سيستم پياده سازي شده قبل از مميزي نهايي، موارد انحرافي و عدم انطباق ها را شناسايي مي‌کنند و با ارايه اقدامات اصلاحي و پيشگيرانه مناسب به منظور رفع عدم انطباق‌هاي شناسايي شده، سازمان را تا اخذ گواهينامه بين المللي ISO/IEC ۲۷۰۰۱ همراهي مي‌نمايند.

مزایای پیاده سازی ISMS در یک سازمان:

حفاظت از سرمایه های سازمانی
امنیت اطلاعات و دارایی‌های اطلاعاتی
بهبود در برنامه‌ریزی‌های امنیتی
حفظ محرمانگی و در دسترس بودن اطلاعات
حفظ اطلاعات از بروز تهدیدات، آسیب‌پذیری‌ها و مخاطرات در حد امکان
آمادگی برای مواجه با حوادثی که امنیت اطلاعات را به مخاطره انداخته‌اند.
ایجاد اطمینان بیشتر برای مدیران، کارکنان، مشتریان و ساير ذينفعان سازمان در مورد امنيت اطلاعات
بازگشت هزینه صرف شده برای پیاده سازی ISMS در بلند مدت
کاهش هزینه‌های ترمیم خسارات ناشی از کمبود و نقص موازین امنیتي
کاهش مسئولیت های انسانی در حفظ امنیت اطلاعات، بواسطه کنترل های سیستماتيک
شناسایی، ارزیابی و حفاظت از دارایی‌هاي مهم سازمان همچون: پرسنل کليدي، دانش پرسنل، اطلاعات سازمان و وجه و اعتبار سازمان
اطمینان از تداوم کسب و کار و کاهش صدمات از طریق ایمن ساختن اطلاعات و کاهش تهدیدها
امکان رقابت بهتر با سایر سازمان‌ها