مدل مفهومي پياده‌سازي موفق سيستم مديريت امنيت اطلاعات

Conceptual Model for Successful Implementation of ISMS

نحوه جديد ارتباطات مويد اين مطلب است كه مدل‌هاي امنيتي موجود براي شناخت تهديدات و چالش‌هاي مربوط به زيرساخت‌هاي فناوري‌هاي جديد، كافي نمي‌باشند. براي حل اين معضل يك مدل جديد مديريت امنيت اطلاعات لازم است تا پاسخگوي چالش‌هاي امنيتي روز باشد. هدف اين مدل جديد حفاظت از سيستم‌هاي اطلاعاتي و امن‌سازي محيط‌هاي عملياتي سازمان‌ها بايد باشد. سازمان‌هايي امكان استفاده بهينه از اين مدل را دارند كه امنيت اطلاعات در آن‌ها در راستاي ساير معماري‌هاي سازمان مانند كسب و كار، اطلاعات و زيرساخت‌هاي ارتباطي باشد. در اين پژوهش به دنبال ارائه مدلي هستم كه بوسيله آن بتوان سيستم مديريت امنيت اطلاعات را به نحوي پياده‌سازي نمود كه داراي ويژگي‌هاي زير باشد: • مبتني بر كسب و كار سازمان بوده و امنيت اطلاعات را با اهداف تجاري سازمان همسو نمايد. • مستقل از محيط، اندازه و فرهنگ سازمان، در هر سازماني قابل پياده‌سازي باشد. • مستقل از هر فناوري خاصي بوده و در تمام صنايع و سيستم‌هاي رگولاتوري قابل پياده‌سازي باشد. • قابليت پشتيباني از تمام استانداردهاي مرتبط با امنيت اطلاعات را داشته باشد. به منظور تدوين اين مدل، از يك سو مدل‌هاي مختلف ارائه شده در اين زمينه مورد بررسي قرار گرفت و از سوي ديگر نحوه تدوين اهداف امنيت اطلاعات و چالش‌هاي پياده‌سازي سيستم مديريت امنيت اطلاعات و عوامل كليدي موفقيت پياده‌سازي اين سيستم و تحقق اهداف در سازمان‌هاي هدف شناسائي شده و با تجميع اين دو، مدلي ارائه گرديد كه تمام نقاط مثبت مدل‌هاي جاري را دارا بوده و با پياده‌سازي آن اهداف امنيت اطلاعات سازمان محقق گردد. بر اساس مدل پيشنهادي، پياده‌سازي سيستم مديريت امنيت اطلاعات در شش فاز، آماده‌سازي، تعريف پروژه، طراحي، اجرا، پايش و بهبود انجام مي‌‌شود كه دو فاز اول آن مربوط به قبل از پياده‌سازي و چهار فاز بعدي آن كه مبتني بر چرخه دمينگ است و در اين مقاله فقط به آنها پرداخته مي‌شود، به پياده‌سازي مي‌پردازد.

New communication methods point out the disadvantages of existing security models in identifying threats and challenges to infrastructure of new technologies. To solve this problem a new information security management model is required to meet today’s security challenges. This new model aims to protect business information systems and to secure operational environments within organizations. Efficient use of this model is dependent on the alignment of organization’s information security architecture with other organizational architectures such as business, information and communication infrastructure. In this research I’m looking to present a model that can be used to implement the information security management system to have the following characteristics: • To be based on organization’s business and to align information security with the organization s business goals. • To be independent of the environment, size and culture of the organization, and can be implemented in any organization. • To be independent of any specific technology and can be implemented in all industries and regulatory systems. • To be capable of supporting all information security related standards. To develop this model, various relevant models in this field are analyzed, also, the criteria for setting information security goals, challenges to implementing the information security management system, key factors contributing to a successful implementation of the system and the accomplishment of goals in the different organizations are identified. Finally, by integrating these two, not only does the resulting model have all the positive points of existing models but it can also meet all the information security goals of the organization. Based on the proposed model, the information security management system is implemented in six phases, which are, respectively, preparation, project definition, design, development, monitoring and improvement. The first two phases of this model take place prior to implementation, and the next four phases that are based on the Deming cycle and will be analyzed in this paper deal with implementation.