در حال حاضر، وضعیت امنیت فضای تبادل کشور، به ویژه در حوزه دستگاه های دولتی و خصوصی ، در سطح نامطلوبی قرار دارد. از جمله دلایل اصلی وضعیت موجود، می توان به فقدان زیرساخت های فنی و اجرائی امنیت و عدم انجام اقدامات موثر در خصوص ایمن سازی فضای تبادل اطلاعات این دستگاه ها اشاره نمود.
بخش قابل توجهی از وضعیت نامطلوب امنیت اطلاعات کسور، به واسطه فقدان زیر ساخت هایی از قبیل نظام ارزیابی امنیتی فضای تبادل اطلاعات ، نظام صدور گواهی و زیر ساختار کلید عمومی ، نظام تحلیل و مدیریت مخاطرات امنیتی ، نظام پیشگیری و مقابله با حوادث فضای تبادل اطلاعات ، نظام مقابله با جرائم فضای تبادل اطلاعات و سایر زیرساخت های امنیت فضای تبادل اطلاعات در کشور می باشد. از سوی دیگر وجود زیر ساخت های قوی ، قطعا تاثیر بسزایی در ایمن سازی فضای تبادل اطلاعات دستگاه های دولتی خواهد داشت.
صرف نظر از دلایل فوق ، نا بسامانی موجود در وضعیت امنیت فضای تبادل اطلاعات دستگاه های دولتی از یکسو موجب بروز اخلال در عملکرد صحیح دستگاه ها شده و کاهش اعتبار این دستگاه ها را در پی خواهد داشت. و از سوی دیگر موجب اتلاف سرمایه ها ی ملی خواهد شد. لذا همزمان با تدوین سند راهبردی امنیت فضای تبادل اطلاعات (افتا) کشور، توجه به مقوله ایمن سازی فضای تبادل اطلاعات دستگاه های دولتی ، ضروری ، نقش موثرتری در فرایند تدوین سند راهبردی امنیت فضای تبادل اطلاعات کشور خواهد داشت.
با ارائه اولین استاندارد مدیریت امنیت اطلاعات در سال 1995 نگرش سیستماتیک به مقوله امنیت اطلاعات شکل گرفت .براساس این نگرش تامین امنیت اطلاعات در یک مجموعه سازمانی ،دفعتا مقدور نمی باشد و لازم است امر به صورت مداوم در یک چرخه ایمن سازی شامل مراحل : 1- طراحی 2- پیاده سازی 3- ارزیابی 4- اصلاح انجام گیرد برای این منظور لازم است هر سازمان بر اساس یک متدلوژی مشخص ، ضمن تهیه طرح ها و برنامه های امنیتی مورد نیاز ، تشکیلات لازم جهت ایجاد و تداوم امنیت اطلاعات خود را نیز ایجاد نماید.
ایزو27001 (مديريت امنيت اطلاعات)
اطلاعات يك دارايي ارزشمند است كه ميتواند باعث انسجام يا شكست كار شما گردد. هنگامي كه اطلاعات بهدرستي مديريت شود، ميتوانيد با اطمينان كار كنيد. مديريت امنيت اطلاعات، آزادي براي رشد و نوآوري را فراهم كرده و بستر مشتريمحوري را براي شما فراهم ميآورد.
مزاياي ایزو27001
• شناسايي ريسكها و ايجاد كنترلها براي مديريت يا حذف آنها
• ايجاد انعطاف براي تدوين كنترلها در نواحي منتخب فعاليت شما
• ايجاد اعتماد بين سهامداران و مشتريان در مورد حفاظت دادهها
چالش تجاری
اطلاعات سرمایه ای است که همانند دیگر سرمایه های تجاری، باید محافظت شود. وابستگی به سیستم اطلاعاتی آن سازمان را نسبت به تهدیداتی چون هک کردن، نابودی داده ها، گروهی سری، و حتی تروریسم آسیب پذیر می کند. برای مخدوش کردن موضوعات مختلف ، الزامات قانونی و قرادادی، کنترل و میزان اعتمادی که سر درگم کننده می باشد، ممکن است دست نیافتنی بنظر آید و متناقض هستند. سازمان برای حفاظت از خودش باید بطور فعالی ایمنی هر نوع تبادل اطلاعات و نگهداری داده ها را مدیریت کند.
راه حل: گواهی ایزو 27001 چیست؟
با ایجاد سیستم مدیریت حفاظت اطلاعات و ارائه آن به استاندارد بین المللی ایزو 27001 ، سازمان می تواند ریسک خود را ارزیابی کرده و کنترل مناسبی برای حفظ اسرار، انسجام و در دسترس بودن سرمایه های اطلاعاتی داشته باشد. هدف اصلی حفاظت اطلاعات سازمان جلوگیری از این است که دست نا محرمان بیافتد و یا آن داده ها برای همیشه از بین برود.
مزایای کلیدی ایزو چیست؟
مشخص کردن تهدیدات و کاهش چشمگیر اثرات آنها در ارزیابی مناسب خطر
اطمینان دادن به مشتریان ، تامین کنندگان و سهامداران که شما در حفاظت اطلاعات جدی هستید
کمک به مدیریت در تبعیت از قانون و مقررات و الزامات قراردادی
بدست آوردن مزیت رقابتی و ارتقای تصویر سازمانی تان
گواهی ایزو 27001
چالش تجاری
اطلاعات سرمایه ای است که همانند دیگر سرمایه های تجاری، باید محافظت شود. وابستگی به سیستم اطلاعاتی آن سازمان را نسبت به تهدیداتی چون هک کردن، نابودی داده ها، گروهی سری، و حتی تروریسم آسیب پذیر می کند. برای مخدوش کردن موضوعات مختلف ، الزامات قانونی و قرادادی، کنترل و میزان اعتمادی که سر درگم کننده می باشد، ممکن است دست نیافتنی بنظر آید و متناقض هستند. سازمان برای حفاظت از خودش باید بطور فعالی ایمنی هر نوع تبادل اطلاعات و نگهداری داده ها را مدیریت کند.
راه حل: گواهی ایزو 27001 چیست؟
با ایجاد سیستم مدیریت حفاظت اطلاعات و ارائه آن به استاندارد بین المللی ایزو 27001 ، سازمان می تواند ریسک خود را ارزیابی کرده و کنترل مناسبی برای حفظ اسرار، انسجام و در دسترس بودن سرمایه های اطلاعاتی داشته باشد. هدف اصلی حفاظت اطلاعات سازمان جلوگیری از این است که دست نا محرمان بیافتد و یا آن داده ها برای همیشه از بین برود.
مزایای کلیدی آن چیست؟
مشخص کردن تهدیدات و کاهش چشمگیر اثرات آنها در ارزیابی مناسب خطر
اطمینان دادن به مشتریان ، تامین کنندگان و سهامداران که شما در حفاظت اطلاعات جدی هستید
کمک به مدیریت در تبعیت از قانون و مقررات و الزامات قراردادی
بدست آوردن مزیت رقابتی و ارتقای تصویر سازمانی تان
گواهی بین المللی توسط ایزو تصویب شد تا صدور گواهینامه ایزو 27001 :2005 فراهم شود.
ایزو 27001 استاندارد بسیار معروفی در دنیا است و ویژگی های سیستم مدیریت امنیت اطلاعات (ISMS) را تعریف می کند. ISMS سیستمی است که به سازمان اجازه می دهد تا ایمنی خود را با به حداقل رساندن ریسک، و اطمینان از مکمل بودن عملکرد و نیاز مشتریان و الزامات قانونی کنترل کند.
استاندارد BS 7799 انگلیس که ابتدا در سال 1995 توسط وزارت تجارت و صنعت انگلیس بوجود آمد کد عملی برای اجرای کنترل های حفاظتی بمنظور حفاظت از اطلاعات هم در سازمان های اقتصادی و هم در نهاد های دولتی ارائه داد. در سال 2002 بخش 2 استاندارد بازنگری شد تا مطابق با استاندارد های مدیریتی موجود مثل ایزو 9001 باشد که شامل استفاده از استاندارد مدل پروسه plan, Do,Chack,Act (چرخه دمینگ) می باشد که در ایزو 9001 استفاده می شود. در سال 2005 ایزو 27001 استاندارد بین المللی شد.
ایزو 50001