سیستم مدیریت امنیت اطلاعات

(ISMS (Information Secure Management System یا سیستم مدیریت امنیت اطلاعات اولین بار طی مراحل تحریر وتوسعه استاندارد بریتانیایی 7799 در سال‌های انتهایی دهه 1980 میلادی مورد بحث و توجه قرار گرفت. آخرین تعریف «سیستم مدیریت امنیت اطلاعات» از نظر استاندارد بین المللی آن عبارت است از :

«سیستم مدیریت امنیت اطلاعات بخشی از سیستم مدیریت کلی و سراسری در یک سازمان است که برپایه رویکرد مخاطرات کسب و کار (Business Risk Approach) قرارداشته و هدف آن، پایه ‌گذاری، پیاده ‌سازی ، بهره ‌برداری، نظارت، بازبینی، نگهداری و بهبود امنیت اطلاعات است.»

«سیستم مدیریت امنیت اطلاعات» برای حصول اطمینان از کفایت و تناسب کنترل‌های امنیتی محافظ  دارایی‌های اطلاعاتی طراحی شده‌است تا به این وسیله به مشتریان و دیگر گروه‌های ذی‌نفع درباره امنیت اطلاعات موجود در سازمان اطمینان خاطرداده‌شود.

با ارائه اولین استاندارد مدیریت امنیت اطلاعات در سال 1995 ، نگرش سیستماتیک به مقولهایمن سازی فضای تبادل اطلاعات شکل گرفت . بر اساس این نگرش، تامین امنیت فضای تبادلاطلاعات سازمانها، دفعتا مقدور نمی باشد و لازم است این امر بصورت مداوم در یک چرخهایمن سازی شامل مراحل طراحی، پیاده سازی، ارزیابی و اصلاح، انجام گیرد . برای این منظور لازماست هر سازمان بر اساس یک متدولوژی مشخص، اقدامات زیر را انجام دهد:

-1  تهیه طرح ها و برنامه های امنیتی موردنیاز سازمان

-2  ایجاد تشکیلات موردنیاز جهت ایجاد و تداوم امنیت فضای تبادل اطلاعات سازمان

-3  اجرای طرح ها و برنامه های امنیتی سازمان

برای امنیت اطلاعات سه اصل مهم را باید در نظر گرفت که عبارتند از :

محرمانگی :اطمینان از اینکه اطلاعات فقط در دسترس افراد مجاز قرار دارد

صحت : تامین صحت ، دقت و کامل بودن اطلاعات و روش‌های پردازش آنها

دسترس پذیری : اطمینان از اینکه کاربران مجاز در صورت نیاز به اطلاعات و دارائی‌های مربوطه به آنها دسترسی دارند .