تکفا – با ارائه اولين استاندارد مديريت امنيت اطلاعات در سال 1995، نگرش سيستماتيک به مقوله ايمنسازى فضاى تبادل اطلاعات شکل گرفت. بر اساس اين نگرش، تامين امنيت فضاى تبادل اطلاعات سازمانها، دفعتا مقدور نمىباشد و لازم است اين امر بصورت مداوم در يک چرخه ايمنسازى شامل مراحل طراحى، پيادهسازى، ارزيابى و اصلاح، انجام گيرد. براى اين منظور لازم است هر سازمان بر اساس يک متدولوژى مشخص، اقدامات زير را انجام دهد:
1- تهيه طرحها و برنامههاى امنيتى موردنياز سازمان
2- ايجاد تشکيلات موردنياز جهت ايجاد و تداوم امنيت فضاى تبادل اطلاعات سازمان
3- اجراى طرحها و برنامههاى امنيتى سازمان
در حال حاضر، مجموعهاى از استانداردهاى مديريتى و فنى ايمنسازى فضاى تبادل اطلاعات سازمانها ارائه شدهاند که استاندارد مديريتى BS7799 موسسه استاندارد انگليس، استاندارد مديريتى ISO/IEC 17799 موسسه بينالمللى استاندارد و گزارش فنى ISO/IEC TR 13335 موسسه بينالمللى استاندارد از برجستهترين استاندادرها و راهنماهاى فنى در اين زمينه محسوب مىگردند.
در اين استانداردها، نکات زير مورد توجه قرار گرفته شده است:
1- تعيين مراحل ايمنسازى و نحوه شکلگيرى چرخه امنيت اطلاعات و ارتباطات سازمان
2- جرئيات مراحل ايمنسازى و تکنيکهاى فنى مورد استفاده در هر مرحله
3- ليست و محتواى طرحها و برنامههاى امنيتى موردنياز سازمان
4- ضرورت و جزئيات ايجاد تشکيلات سياستگذارى، اجرائى و فنى تامين امنيت اطلاعات و ارتباطات سازمان
5- کنترلهاى امنيتى موردنياز براى هر يک از سيستمهاى اطلاعاتى و ارتباطى سازمان
مرورى بر استانداردهاى مديريت امنيت اطلاعات
استانداردهاى مديريتى ارائه شده در خصوص امنيت اطلاعات و ارتباطات سازمانها، عبارتند از:
• استاندارد مديريتى BS7799 موسسه استاندارد انگليس
• استاندارد مديريتى ISO/IEC 17799 موسسه بينالمللى استاندارد
• گزارش فنى ISO/IEC TR 13335 موسسه بينالملل استاندارد
در اين بخش، به بررسى مختصر استانداردهاى فوق خواهيم پرداخت.
2-1- استاندارد BS7799 موسسه استاندارد انگليس
استاندراد BS7799 اولين استاندارد مديريت امنيت اطلاعات است که نسخه اول آن (BS7799:1) در سال 1995 منتشر شد. نسخه دوم اين استاندارد (BS7799:2) که در سال 1999 ارائه شد، علاوه بر تغيير نسبت به نسخه اول، در دو بخش ارائه گرديد. آخرين نسخه اين استاندارد، (BS7799:2002) نيز در سال 2002 و در دو بخش منتشر گرديد.
2-1-1- بخش اول
در اين بخش از استاندارد، مجموعه کنترلهاى امنيتى موردنياز سيستمهاى اطلاعاتى و ارتباطى هر سازمان، در قالب ده دستهبندى کلى شامل موارد زير، ارائه شد است:
1- تدوين سياست امنيتى سازمان
در اين قسمت، به ضرورت تدوين و انتشار سياستهاى امنيتى اطلاعات و ارتباطات سازمان ، بنحوى که کليه مخاطبين سياستها در جريان جزئيات آن قرار گيرند، تاکيد شده است. همچنين جزئيات و نحوه نگارش سياستهاى امنيتى اطلاعات و ارتباطات سازمان، ارائه شده است.
2- ايجاد تشکيلات تامين امنيت سازمان
در اين قسمت، ضمن تشريح ضرورت ايجاد تشکيلات امنيت اطلاعات و ارتباطات سازمان، جزئيات اين تشکيلات در سطوح سياستگذارى، اجرائى و فنى به همراه مسئوليتهاى هر يک از سطوح، ارائه شده است.
