امنیت اطلاعات به حفاظت از اطلاعات و به حداقل رساندن دسترسی غیر مجاز به آنها اشاره می کند . مفهوم سیستم مدیریت امنیت اطلاعات ( ISMS (Information Security Management System   عبارت است از :  امنیت اطلاعات بخشی از سیستم مدیریت کلی و سراسری در یک سازمان که بر پایه رویکرد مخاطرات کسب و کار قرار داشته و هدف آن پایه گذاری ، پیاده سازی ، بهره برداری ، نظارت ، باز بینی ، نگهداری و بهبود امنیت اطلاعات است . در این مقاله سعی شده تا ضمن معرفی سیستم مدیریت امنیت اطلاعات ، انواع خطرهای تهدید کننده سیستم های اطلاعاتی را معرفی و راهکار مناسب جهت حفظ امنیت اطلاعات هر سازمان را ارائه نمود.

هر سیستم برای ادامه ی حیات و زندگی خود نیازمند کسب اطلاعات گوناگون و همچنین حفاظت از اطلاعات و اسرار خود می باشد و مبحث کسب اخبار و اطلاعات از زمانهای قدیم مرسوم بوده و بعضا دستیابی یا نشر اطلاعات یک سیستم باعث نابودی آن سیستم گشته . امروزه با توجه به اینکه اطلاعات به عنوان یک ابزار تجاری و رقابتی و سرمایه ای سودآور مطرح گردیده بسیار ی از سازمانها به دنبال ایجاد سیستمهای امنیتی برای جلوگیری از درز اطلاعاتشان به بیرون می باشند تا بتوانند کل مجموعه خود را حفظ کنند در این راستا ایجاد یک سیستم امنیتی قوی می تواند برای حفظ امنیت اطلاعات هر سازمان موثر باشد سیستمی که بر اساس نیازهای سازمان و میزان اهمیت اطلاعات در آن طراحی شده باشد و حفاظی باشد جهت تامین سرمایه های اطلاعاتی . سیستم مدیریت امنیت اطلاعات ( ISMS )ابزاری مناسب است در جهت طراحی و کنترل امنیت اطلاعات.

با توجه به اام اسناد افتا، کلیه شرکت ها و سازمان های دولتی و خصوصی موظف به پیاده سازی سیستم مدیریت امنیت اطلاعات می باشند. گروه توسعه دهندگان امن نیکان اقدام به گرد آوری و تدوین کتابی به عنوان راهنما برای پیاده سازی سیستم مدیریت امنیت اطلاعات - ISMS نموده است. 

نقش سیستم مدیریت امنیت اطلاعات – ISMS در زنجیره های تامین

در این مقاله ابتدا به تعریف زنجیره تامین پرداخته می شود و سپس نقش سیستم مدیریت امنیت اطلاعات در تقویت زنجیره های تامین پرداخته می شود.
زنجیره تامین متشکل از شبکه از سازمان ها و فرایندهاست که به صورت مستقیم و یا غیر مستقیم در تامین نیازهای مشتری اعم از کالاها و خدمات نقش دارند(به این صورت که به شکل سازمان یافته مواد خام را تهیه نموده، به محصولات نهایی تبدیل و سپس محصولات را در میان مشتریان توزیع می کنند). این زنجیره متشکل از کلیه تامین کنندگان، تولید کنندگان، عمده فروشان و خرده فروشانی است که به طور هماهنگ و منسجم در جهت راضی کردن مشتریان همکاری می کنند. این زنجیره خود مشتریان، فروشگاه ها، انبارها و بخش حمل و نقل را نیز شامل می شود. 
 

فرایند مدیریت مخاطرات امنیت اطلاعات را برای فعالیت های ارزشیابی مخاطرات و همچنین مقابله با مخاطرات می توان به صورت تکرار پذیر انجام داد. این رویکرد تکرارپذیر می تواند عمق و جزئیات ارزشیابی را در هر تکرار افزایش دهد. خروجی این رویکرد تکرارپذیر موجب متعادل نمودن حداقل زمان/تلاش مورد نیاز به منظور شناسایی کنترل های امنیتی مطابق استاندارد ISO27001 می شود.
مطابق نمودار قبلی، فاز نخست فرایند مدیریت مخاطره، پایه گذاری زمینه می باشد و در فاز بعدی ارزشیابی مخاطرات صورت می گیرد. در صورتی که دو فاز قبل خروجی اطلاعاتی کافی که منجر به تعیین موثر اقدامات مورد نیاز به منظور اصلاح مخاطرات به سطح قابل قبول شود را تولید نماید، فرایند مقابله با مخاطره تکمیل شده است و در غیر این صورت کافی نبودن این اطلاعات باعث تکرار فرایند تحت یک زمینه بازنگری شده ی جدید(معیار ارزیابی، معیار پذیرش و معیار اثرگذاری برای مخاطره) می گردد.
میزان اثربخشی گام مقابله با مخاطره وابسته به نتایج حاصل از ارزشیابی مخاطره می باشد و این گام همانند گام های ارزشیابی مخاطرات فرایند چرخه ای می باشد. به این معنا که اگر نتیجه مقابله با مخاطره حاوی ارزش نباشد، چرخه می بایست تکرار شود.
همان طور که در تصویر فوق نمایان می باشد، گام پذیرش مخاطره، تکلیف مخاطرات باقی مانده را روشن می نماید. به این معنا که این اطمینان به وجود بیاید که مخاطرات باقی مانده از سوی مدیران سازمان مورد قبول قرار گرفته است. این موضوع به ویژه در موقعیتی که پیاده سازی کنترل ها حذف و یا به تعویق افتاده است مهم می باشد(معمولا دلیل قانع کننده حذف کنترل ها هزینه می باشد).
توجه به این نکته بسیار حائز اهمیت می باشد که مخاطرات شناسایی شده و نتایج ارزیابی آن ها در اختیار مدیران و ستاد اجرایی قرار بگیرد تا مسئولان اجرایی و ذیربط سازمان در جریان مخاطرات اصلی سازمان قرار داشته باشند. 
بر اساس استاندارد ISO/IEC27001 ضروری است کنترل هایی که در قلمرو سیستم مدیریت امنیت اطلاعات قرار دارند، بر اساس مخاطرات شناسایی و تحلیل شده، انتخاب شوند لذا اجرا شدن فرایند مدیریت مخاطرات امنیت اطلاعات امری ضروری و اجتناب ناپذیر به حساب می آید. 
رویکرد کاری سیستم مدیریت امنیت اطلاعات مبتنی بر چرخه دمینگ می باشد. همانگونه که در مورد چرخه دمینگ صحبت شد، این چرخه از چهار فاز طراحی، انجام، بررسی و اقدام تشکیل شده است. در ISMS، گام های پایه گذاری زمینه ارزشیابی مخاطرات، ارزشیابی مخاطرات، تدوین برنامه ی مقابله و پذیرش مخاطرات در فاز طراحی و همچنین پیاده سازی برنامه مقابله با مخاطرات بر اساس طرح مقابله با مخاطرات در فاز انجام، پایش و بازنگری مستمر مخاطرات در فاز بررسی و نیز نگهداری و بهبود فرایند مدیریت مخاطرات امنیت اطلاعات در فاز اقدام صورت می گیرد.
 

تفاوت میان مرکز عملیات امنیت(SOC) و مرکز عملیات شبکه(NOC)
در این مقاله می خواهیم در مورد تفاوت میان میان مرکز عملیات امنیت(SOC) و مرکز عملیات شبکه(NOC) توضیح بدهیم.
کار کردن در حوزه امنیت سایبری سرشار از چیزهای شگفت انگیز می باشد. در شاخه امنیت اطلاعات همانند رشته ورزشی فوتبال چنان چه شما آرایش، نحوه بازی، استعداد و توانایی های تیم حریف را ندانید از ریسک ها و مخاطراتی که سازمانتان با آن ها مواجه است بی خبر خواهید بود.
علیرغم تمامی حملات سایبری موفقی که اتفاق می افتد بسیاری از شرکت ها هنوز رهنمودهای اصلی امنیت را نادیده گرفته و نسبت به آن ها بی توجه هستند. به علاوه بسیاری از سازمان ها هکرها و مهاجمین سایبری را که حداقل یک دو مرحله جلوتر هستند را دست کم می گیرند.
اکثر شرکت ها استراتژی نظارت و پاسخگویی را به عنوان استراتژی امنیت سایبری انتخاب نموده اند. این استراتژی عموما در مراکز SOC و یا NOC اجرا می شود. در بسیاری از سازمان ها مراکز SOC و NOC عملکرد یکدیگر را تکمیل می نمایند. 
نقش های این مراکز نه تنها به صورت جزپی بلکه به صورت زیربنایی متفاوت می باشد. مراکز SOC و NOC برای شناسایی، تحقیق، اولویت دهی، حل و فصل مشکلات مسئول هستند. 
مرکز NOC مسول پاسخگویی به رویدادهای مرتبط با کارایی و دسترس پذیری شبکه می باشد. این مرکز مسول رعایت نمودن توافقنامه های سطح سرویس (SLA ها) و مدیریت رخدادها به نحوی که DownTime شبکه پایین نگه داشته شود، می باشد.
مرکز SOC مسئول پاسخگویی به رویدادهای امنیت اطلاعات می باشد و هدف اصلی آن محافظت از داده های حساس مشتریان می باشد و روی موضوع امنیت تمرکز دارد.
از آنجاییکه هر دو مرکز برای هر سازمان مهم و حیاتی هستند، منتها ترکیب این دو مرکز تحت یک مرکز ممکن است منجر به وقوع فاجعه شود، چراکه رویکردشان متفاوت است و همچنین مهارتها و تخصص های لازم برای مدیریت آن ها متمایز می باشد. 
یک تحلیلگر NOC می بایست در رشته های شبکه، مهندسی سیستم ها و برنامه های کاربردی خبره باشد در حالیکه تحلیلگران SOC وما باید در زمینه امنیت مهارت های لازم را داشته باشد.
دشمنان و حریفان این دو گروه نیز متفاوت هستند در مورد گروه SOC، دشمنان از گروه هکرها و به صورت کلی دشمنان هوشمند هستند در حالیکه گروه NOC با رویدادهای سیستمی مواجه هستند. نتیجتا می توان گفت که هر دو مرکز می بایست در کنار یکدیگر و با همکاری هم کار کنند تا اهداف امنیتی و کارکردی سازمان تامین شود.
 

رویکرد اجرایی مدیریت ریسک مبتنی بر استاندارد ISO27005

با توجه به اهمیت موضوع مدیریت مخاطرات در اقدامات امنیتی سازمان، این موضوع به بخش جدایی ناپذیر در تمامی اقدامات مدیریت امنیت اطلاعات تبدیل شده است. به منظور شناسایی نیازمندی های امنیتی سازمان و پیاده سازی، استقرار و بهبود مستمر سیستم مدیریت امنیت اطلاعات(ISMS) سازمان می بایست رویکردی سیستماتیک برای مدیریت مخاطرات امنیت اطلاعات اتخاذ گردد. 
خیلی از سازمان ها برای پیاده سازی و اجرایی نمودن اقدامات امنیتی دست به عملیات غیر مهندسی و غیر سیستماتیک می زنند. به عنوان نمونه بدون هیچ توجهی به نیازمندی های امنیتی سازمان و بدون هیچ عمل cost-benefit اقدام به خرید تجهیزات امنیتی می نمایند و به اصطلاح از معماری spaghetti برای رسیدن به اهداف امنیتی سازمان استفاده می نمایند. باید به این موضوع توجه داشت که نگاه به موضوعات امنیتی در دنیای کنونی می بایست به سمت و سوی نگاه مدیریتی، فرایند محور و مهندسی شده هدایت شود تا نتایج مورد انتظار و مطروحه در خط مشی امنیت اطلاعات سازمان حاصل شود. چرا که بکارگیری روش های سنتی و غیر نظام مند هر چند با هزینه های کلان و خرید تجهیزات گران قیمت توام باشد؛ به هیچ وجه نمی تواند ضامن تامین امنیت اطلاعات سازمان باشد. 
معمولا موضوع امنیت که مطرح می شود، غالب افراد به یاد قفل، محدودیت و عدم دسترسی می افتند. در صورتی که موضوع امنیت بسیار گسترده تر و فراتر از مباحث گفته شده است. استقرار امنیت در سازمان با رویکرد فرایندگرا منجر به تداوم کسب و کار و خدمت رسانی سازمان خواهد شد و این مهم را از طریق فرایند بهبود مستمر تضمین می نماید.
نگاه مدیریتی و فرایند محور امنیت، ابعاد گسترده ای از موضوعات را دربر می گیرد؛ از برقراری امنیت در سطح دارایی های اطلاعاتی سازمان گرفته تا ارتقای آگاهی سرمایه های انسانی. لذا برای برقراری و تضمین امنیت در سازمان یا به عبارت دقیق تر افزایش ضریب امنیتی در سازمان می بایست رویکردی سیستماتیک و فرایند محور برای استقرار امنیت در سازمان اتخاذ شود. به این منظور در دهه های اخیر فعالیت های بسیار مهمی در حوزه مدیریت امنیت اطلاعات با محوریت استانداردهای مرتبط صورت گرفته است که برای آشنایی یشتر می توانید به مقاله سیستم مدیریت امنیت اطلاعات رجوع نمائید.
مطابق استاندارد ISO/IEC27001، لازم است کنترل هایی که در قلمرو ISMS قرار می گیرند، بر اساس مخاطرات انتخاب و اجرا شوند. این امر مستم اجرای فرایند مدیریت مخاطرات امنیت اطلاعات می باشد.
همان گونه که ذکر گردید؛ مهمترین بخش جدایی ناپذیر در پیاده سازی سیستم مدیریت امنیت اطلاعات، مدیریت مخاطرات می باشد. مدیریت مخاطرات امنیت اطلاعات می بایست فرایندی مستمر باشد. در طول اجرای این فرایند مستمر، زمینه های داخلی و خارجی فراهم، مخاطرات ارزیابی و در نهایت با طراحی و اجرای بیانه کاربست پذیری اقدامات لازم برای برطرف سازی مخاطرات صورت می گیرد. لذا مدیریت مخاطرات امنیت اطلاعات شامل موارد ذیل می باشد:
•    فراهم سازی زمینه های داخلی و خارجی سازمان
•    شناسایی مخاطرات
•    تحلیل و ارزیابی مخاطرات، بر حسب پیامدهای آن ها برای کسب و کار و احتمال وقوع آن ها
•    رایزنی و گفتمان در مورد احتمال و پیامدهای مخاطرات
•    تعیین اولویت ها برای کاهش مخاطرات
•    تعیین اولویت ها برای اقدامات کاهش تواتر و وقوع مخاطرات
•    آگاهی رسانی ذینفعان در زمینه وضعیت مدیریت مخاطرات
•    مشارکت گیری از ذینفعان در زمینه تصمیمات حوزه مدیریت مخاطرات
•    پایش و بررسی منظم مخاطرات و فرایند مدیریت مخاطرات
•    جمع آوری اطلاعات به منظور بهبود رویکرد مدیریت مخاطرات
•    آموزش و افزایش آگاهی مدیران و کارکنان در زمینه مخاطرات و اقدامات لازم در جهت تقلیل مخاطرات امنیتی
فرایند مدیریت مخاطرات در تصویر ذیل بیان شده است:

تنها زمانی باید چرخه دمینگ را در مقیاس بزرگ یا به فرایند های کاری بزرگ تر تعمیم داد که وقتی چهار مرحله را در مقیاس کوچک انجام می دهیم، نتیجه کاملا موفقیت آمیز باشد. بنابراین می توان بر اساس آموخته ها و آزمایش های انجام شده در چرخه، تغییرات مثبت در کسب و کار را عملیاتی کرد، بسط و گسترش داد و در مقیاس بزرگتر آن ها را به کار برد.

می توان گفت PDCA ساختاری برای برنامه ریزی استراتژیک کلی سازمان، تجریه و تحلیل نیازها، طراحی برنامه ها، تحویل و تعیین اهداف کوچک و بزرگ، ارزیابی کارکنان و ارائه خدمات بهتر به مشتری، خدمات پشتیبانی و … دارد.

این چرخه به دلیل اینکه به صورت مستمر می تواند تمامی بخش های کوچک و بزرگ کسب و کار را به صورت دائمی مورد بررسی قرار دهد؛ روشی کارامد برای اجرایی کردن هر تغیر و ارزیابی فعالیت های سازمان است. همچنین به دلیل داشتن سیکل بهبود برای شروع یک پروژه نیز مناسب است. زیرا با جمع‌آوری داده‌ها و تجزیه ‌وتحلیل آن ها به ‌منظور بررسی و اولویت ‌بندی مشکلات و تعیین علل زیربنایی، به بهترین واکنش ممکن و رفع مشکلات منجر می شود

روش، تکنیک یا نمودار استخوان ماهی (Fish bone Diagram)
به نام های متعددی شناخته شده است از قبیل نمودار ایشیکاوا، نمودار علت و معلولی، استخوان ماهی، اسکلت ماهی و چند نام دیگر. این تکنیک توسط پرفسور ایشیکاوای ژاپنی از دانشگاه توکیو ابداع و طراحی شده و به مرور جایگاه خاصی در بین مدیران و اهالی تفکر پیدا کرده است. این روش تا جایی پیش رفت که حتی نرم افزارهایی برای طراحی نقشه های ذهنی مبتنی بر این تکنیک، طراحی و تولید شد. نرم افزارهایی از قبیل؛ Mind Mapping – MindMeister- Mind Manager FreeMind – xmind

معرفی چرخه دمینگ

در دنیای مدرن امروز کسب و کارها هر روز به فکر توسعه تجارت خود هستند از این رو از هر روش و شیوه ای برای بهبود فرایند کارهای خود بهره می برند. یکی از شیوه هایی که مدت ها است در حوزه کسب و کارهای مختلف نتیجه خوبی را در برداشته است استفاده از چرخه ی بهبود مستمر یا چرخه ی دمینگ (PDCA) است.

چرخه دمینگ PDCA) Deming Cycle) ابزاری مدیریتی است‌. این ابزار اولین بار در سال 1930 توسط والتر شوارت مطرح شد و بعدها توسط شاگرد وی دمینگ، در چهار مرحله عنوان شد. در نهایت ژاپنی‌ها به تکمیل چرخه دمینگ پرداختند. تفاوت اصلی مدل دمینگ و مدل ژاپنی‌ها این‌ بود‌ که دمینگ اهمیت تاثیر متقابل و مداوم برنامه ریزی، طراحی، تولید و فروش برای‌ جلب رضایت مشتریان را می سنجید اما بعدها آن‌ را به تمامی بخش‌های مدیریتی تعمیم دادند. ژاپنی‌ها بودند که‌ چرخه دمینگ را به چرخه برنامه ریزی، اجرا، کنترل و عمل تبدیل کردند. تا از این چرخه در تمامی موارد و شرایط استفاده کنند.