اهمیت مدیریت امنیت اطلاعات ism در سازمان‌ها

مدیریت امنیت اطلاعات و دارایی‌های اطلاعاتی یکی از مهم‌ترین مباحثی است که در بحث در سازمان‌ها مطرح است. هدف مدیریت امنیت اطلاعات در یک سازمان، حفظ سرمایه‌ها (اعم از نرم‌افزاری، سخت‌افزاری، اطلاعاتی، ارتباطی و نیروی انسانی) سازمان در مقابل هرگونه تهدید است و برای رسیدن به این هدف، نیاز به یک برنامه منسجم دارد. اثربخشی برنامه تدوین‌شده، منوط به در نظر گرفتن تمام موارد تأثیرگذار و تمام دارایی‌های با ارزش سازمان است.

اغلب برای دارایی‌ها و اطلاعاتی که مشهود هستند، برنامه‌ریزی می‌شود و به دارایی‌های غیر مشهود توجه کمتری می‌گردد. چه‌بسا که این دارایی‌ها در ادامه روند کسب‌وکار و حیات سازمان تأثیر بیشتری داشته باشند. در این مقاله به تفاوت میان دارایی‌های اطلاعاتی در سازمان‌ها و اهمیت امنیت اطلاعات دارایی‌های IT به‌عنوان یکی از دارایی‌های نامشهود در سازمان پرداخته می‌شود.

پیشنهاد مطالعه : امنیت اطلاعات، تاریخچه، اهمیت و پیاده‌سازی

 دارایی چیست؟

هر چیزی که برای سازمان دارای ارزش است و سازمان از طریق آن ارزش‌آفرینی ‌کند، دارایی محسوب می‌شود. فقدان یا کمبود دارایی سازمان باعث اختلال در روند ارائه محصولات و خدمات سازمان و به خطر افتادن تداوم کسب‌وکار سازمان می‌گردد.

دارایی‌ها در دودسته کلی مشهود و نامشهود تقسیم‌بندی می‌شوند. دارایی‌های مشهود شامل مواردی از قبیل دارایی‌های فیزیکی و اسناد و برگه‌های کاغذی و دارایی‌های نامشهود شامل مواردی از قبیل پرونده‌ها و مستندات سیستمی، نرم‌افزارها و برنامه‌های کاربردی، اعتبار و شهرت سازمان می‌باشد.

فضای پیچیده مدیریت امنیت اطلاعات در سازمان‌ها امروزی باعث شده که اهمیت این دارایی دوچندان باشد و مدیران در حوزه مشاوره کسب و کار در کنار سایر وظایف پیشنهادات مفیدی در نگهداری و ارزش نهادن به این دارایی داشته باشند و سازمان را در جهت افزایش بهره‌وری و عملکرد بهتر راهنمایی نمایند.

پیشنهاد مطالعه : نقش مشاور در سازمان

اهمیت محافظت از دارایی‌های اطلاعاتی

درگذشته فعالیت‌های مربوط به دسترسی و محافظت از اطلاعات در سازمان‌ها و شرکت‌ها محدود به محل‌های نگهداری این اطلاعات شامل آرشیو اسناد و نگهداری دارایی‌های اطلاعاتی ارزشمند بود. در چنین محیط‌هایی، حفاظت فیزیکی، امنیت اطلاعات را تا حد بسیار بالایی تأمین می‌کرد. صاحبان کسب‌وکار همواره به این مسئله توجه داشتند و برنامه‌ریزی برای امنیت اطلاعات، جزء اولین اقداماتی بود که در شروع کسب‌وکار انجام می‌شد.

کم‌کم با گذشت زمان، تغییرات عمده‌ای در فرایندها و کسب‌وکارها ایجاد شد. شرکت‌ها جهت حفظ بقاء و موقعیت رقابتی خود نیاز به استفاده از فناوری اطلاعات در تبادل اطلاعات، تبادلات مالی و اقدامات کنترلی پیدا کردند (تیپون و کروس ۲۰۰۳). سازمان‌های کوچک و بزرگ بیش ‌از پیش، این فناوری را در امر کنترل و تسریع در امور کسب‌وکارهای خود مورد استفاده قرار داده‌اند (شفیعی نیک‌آبادی و همکاران،۱۳۹۰).

وابستگی سازمان‌ها به سیستم‌های اطلاعاتی و سرویس‌های مبتنی بر آن (در راستای انجام فعالیت‌ها) از یک‌سو و گستردگی شبکه ایجاد شده جهت بهره‌برداری از این سیستم‌ها از سوی دیگر موجب افزایش میزان آسیب‌پذیری در برابر حوادث امنیتی شده است. استفاده سازمان‌ها از فناوری و سیستم‌های IT این امکان را ایجاد کرده که افراد بیشتری به اطلاعات از طریق شبکه‌های داخلی و شبکه‌های گسترده دسترسی داشته باشند. با این ‌حال اهمیت و حساسیتی که درگذشته برای مدیران و صاحبان مشاغل از نظر امنیت اطلاعات وجود داشت، کمتر دیده می‌شود و یکی از دلایل آن می‌تواند نامشهود بودن و غیرملموس بودن دارایی‌های IT در سازمان باشد.

مدیریت امنیت اطلاعات

امنیت اطلاعات امروزه تعریف متفاوتی از قبل پیدا کرده است و به حفاظت از اطلاعات و به حداقل رساندن دسترسی غیرمجاز به آن‌ها اشاره می‌کند، همچنین علم مطالعه روش‌ حفاظت از داده‌ها در رایانه‌ها و نظام‌های ارتباطی در برابر دسترسی و تغییرات غیرمجاز است (عبداللهی، ۱۳۸۵). در تعریفی دیگر امنیت به مجموعه‌ای از تدابیر، مدیریت دگرگونی و تحول ، روش‌ها و ابزارها برای جلوگیری از دسترسی و تغییرات غیرمجاز در نظام‌های رایانه‌ای و ارتباطی اطلاق می‌شود.

هدف مدیریت امنیت اطلاعات در یک سازمان، حفظ سرمایه‌های سازمان در مقابل هرگونه تهدید (اعم از دسترسی غیرمجاز به اطلاعات، خطرات ناشی از محیط و سامانه و خطرات ایجادشده از سوی کاربران) است و برای رسیدن به این هدف، نیاز به یک برنامه منسجم می‌باشد (پوا، ۲۰۰۳). فرآیند سامانه مدیریت امنیت اطلاعات را نمی‌توان طی یک اقدام یک‌باره در یک نظام مدیریتی پیاده‌سازی کرد. این فرآیند به‌صورت یک فرآیند مداوم توسط یک چرخه ایمن‌سازی چهار مرحله‌ای شامل موارد زیر باید پیاده گردد:

• برنامه‌ریزی که شامل برپایی شرایط اولیه سامانه مدیریت امنیت اطلاعات است.
• اجرا که شامل پیاده‌سازی و اجرای سامانه مدیریت امنیت اطلاعات است.
• ارزیابی و کنترل که شامل فعالیت‌های نظارتی و بررسی فعالیت‌های انجام‌گرفته است.
• بهبود و اصلاح که شامل فعالیت‌های نگهداری و بهبود مستمر در این سامانه مدیریتی است ۲۷۰۰۵ IEC/ISO; 27001 IEC/ISO .

یکی از مزایای سامانه مدیریت کیفیت اطلاعات مانند دیگر سامانه‌های مدیریتی، داشتن تداوم در کنترل و ارزیابی سامانه از طریق ممیزی‌های دوره‌ای، بازنگری‌های سامانه‌ای ، تفویض اختیار و دیگر اقداماتی است که از ویژگی‌های سامانه‌های مدیریت است، ازاین‌رو، اطمینان بیشتری نسبت به دیگر اقدامات امنیتی در بلندمدت می‌توان داشت. (BS 7799-2, 2006)

فرایند مدیریت امنیت دارایی‌های اطلاعاتی

یکی از مهم‌ترین مباحثی که در بحث مدیریت امنیت اطلاعات در سازمان‌ها مطرح است، بحث مدیریت امنیت دارایی‌های اطلاعاتی می‌باشد. در این مهم نکته‌ای که حائز اهمیت است، شناسایی صحیح تمام دارایی‌های اطلاعاتی اعم از مشهود و نامشهود و برنامه‌ریزی برای مدیریت ریسک هرکدام از آن‌ها به‌صورت مجزا می‌باشد.

بعد از مشخص شدن لیست دارایی‌های اطلاعاتی، باید ارزش هرکدام از آن‌ها را مشخص نمود. پارامترهای تأثیرگذار در ارزش‌گذاری دارایی‌ها عبارت‌اند از: تأثیر دارایی بر اهداف و فعالیت‌های اصلی سازمان‌ها، تأثیر دارایی بر وجهه و اعتبار سازمان، تأثیر دارایی‌ها بر وقفه‌های کاری و عملیاتی در سازمان، تأثیر دارایی از نظر مالی بر سازمان (اف. تبپتون، ۱۳۸۸). ارزش‌گذاری دارایی‌های هر طبقه بر سه اصل ۱) محرمانگی، ۲) صحت و ۳) دسترس‌پذیری و در اصطلاح انگلیسی CIA (مخفف Confidentiality، Integrity و Accessibility) انجام می‌شود.

بعد از تعیین ارزش هرکدام از دارایی‌های اطلاعاتی، ریسک مربوط به آن‌ها مشخص و با توجه به ریسک هر دارایی، برای مدیریت امنیت اطلاعات آن دارایی‌های برنامه‌ریزی می‌شود. راه‌کارهای کنترلی متعددی برای این امر وجود دارد که می‌توان به اقداماتی از قبیل کنترل دسترسی، رمزنگاری، آموزش و فرهنگسازی نیروی انسانی، و تعیین دستورالعمل‌های امنیتی در سازمان اشاره کرد.

بیشتر بخوانید :

• چطورکسب و کار موفق داشته باشید؟
• وظایف اصلی مدیر کسب و کار چیست؟
• توسعه کسب و کار در شرکت کوچک و متوسط
• انواع سبک مدیریت در سازمان
• شیوه‌های مدیریت بحران در سازمان