شاخص های اثربخشی سیستم مدیریت امنیت اطلاعات، معمای مدیران

نیاز روز افزون به استفاده از فناوری های نوین در عرصه ارتباطات ضرورت استقرار سیستم مدیریت امنیت اطلاعات را بیش از پیش آشکار می نماید، امروزه سیستم مدیریت امنیت اطلاعات ابزاری شده است برای شناسایی، مدیریت و به حداقل رساندن احتمال وقوع تهدیداتی که سازمان ها بواسطه از دست دادن اطلاعات خود با آن ها رودرو می باشند. با این حال دغدغه بسیاری از مدیران اطمینان از پیاده سازی صحیح سیستم مدیریت امنیت اطلاعات در سازمان می باشد. در این مقاله به بررسی شاخص های اثر بخشی جهت ارزیابی اثر بخش بودن اقدامات و تصمیماتی که مدیران مطابق با استاندارد ISMS جهت استقرار این سیستم گرفته اند، می پردازیم. برای کسب اطلاعات بیشتر در خصوص استانداردهای این حوزه به مقاله معرفی خانواده استانداردهای سیستم مدیریت امنیت اطلاعات رجوع شود.

استقرار سیستم مدیریت امنیت اطلاعات در یک سازمان باعث ایجاد موارد ذیل می شود:

1. رضایت نیازمندی های امنیتی مشتریان و سایر ذینفعان؛
2. بهبود طرح ها و فعالیت های سازمان؛
3. تأمین اهداف امنیت اطلاعات سازمان؛
4. تطابق با آئین نامه ها و قوانین و مقررات مربوط به کار؛
5. مدیریت دارایی های اطلاعاتی در یک روش سازمان یافته که به بهبود مستمر و تعدیل با اهداف سازمانی کنونی، کمک می کند.
6. دریافت گواهینامه ISO 27001 (برای اطلاعات بیشتر به مقاله چگونه گواهینامه ISMS دریافت کنیم؟ از کجا باید شروع کرد؟ رجوع شود)

شاخص های اثر بخشی سیستم مدیریت امنیت اطلاعات

مطابق با استاندارد ISO/IEC 27001 سیستم مدیریت امنیت اطلاعات طراحی و پیاده‌سازی شده است و همچنین به‌منظور حفظ روند حرکت سازمان در راستای تحقق اهداف کلان امنیت اطلاعات و‌ کنترل و اطمینان از اثربخشی سیستم مدیریت امنیت اطلاعات در سازمان ها، شاخص‌های اثربخشی در سیستم مدیریت امنیت اطلاعات می بایست تعیین و در دوره های زمانی مشخص مورد پایش و اندازه‌گیری قرار گرفته شود.

بدین منظور کارگروه اجرایی موظف است اهداف کلان مطرح‌شده در خط‌مشی امنیت اطلاعات را به اهداف خردتر که قابل پایش و اندازه‌گیری بوده، تبدیل کرده و متناسب با آن اهداف، شاخص‌هایی را تعیین نمایند.

شاخص های مورد بررسی در حوزه امنیت شامل سه گروه زیر می باشند:

1. شاخص های برآورد بودجه
2. شاخص های اثر بخشی ISMS
3. شاخص های زمانی

با توجه به دسته بندی شاخص ها، در این  مقاله به شاخص اثر بخشی سیستم مدیریت امنیت اطلاعات پرداخته می شود. موارد ذیل برخی از شاخص ها جهت ارزیابی سیستم مدیریت امینت اطلاعات می باشند که در هر شاخص تعدادی سوال جهت مشخص شدن هدف شاخص بیان می شود.

1. شاخص اول: مدیریت مخاطره

• آیا دارایی های اطلاعاتی و مخاطره های آن ها در محدوده مورد نظر شناسایی شده است؟
• آیا ارزیابی امنیتی دارایی های اطلاعاتی انجام شده است؟
• آیا طرح مدیریت و مقابله با مخاطره ها شناخته شده تهیه شده است؟

2. شاخص دوم: مدیریت حوادث امنیت اطلاعات

• آیا نقاط ضعف و رویدادهای امنیت اطلاعات به صورت مناسب گزارش دهی می شوند؟
• آیا پاسخگویی مناسب و یادگیری از حوادث امنیت اطلاعات انجام می شود؟
• آیا تعداد رخدادها به حد مطلوب تعیین شده کاهش پیدا کرده است؟

3. شاخص سوم: مدیریت انطباق

• میزان انطباق با الزامات قانونی و قراردادی مرتبط با امنیت اطلاعات چقدر است؟
• آیا امنیت اطلاعات مطابق با خط مشی ها و رویه های سازمانی اجرا و عملیاتی می شود؟

4. شاخص چهارم: امنیت نرم افزار و شبکه

• آیا پویش شبکه، تجزیه و تحلیل مسیریاب، تنظیمات سوئیچ و آزمون نفوذ در فواصل منظم مورد بررسی قرار می گیرد؟
• آیا کلمات عبور از کیفیت لازم برخوردار بوه و نظارت بر آن ها صورت می گیرد؟
• آیا اطلاعات کلمات عبور از طریق فرآیند رسمی تنظیم و نگهداری می شود؟
• آیا نسخه های پشتیبان اطلاعات و نرم افزارها تهیه و در فواصل منظم آزمایش می شوند؟

5. شاخص پنجم: امنیت در تغییرات و ظرفیت

• آیا تفکیک محیط های توسعه، آزمون و عملیاتی صورت پذیرفته است؟

6. شاخص ششم: امنیت فیزیکی و تجهیزات

• آیا محوطه های امنیتی شناسایی و حصار امنیتی برای حفاظت از آن ها وجود دارد؟
• آیا از عملکرد درست توکن های ورودی و به روز شدن تنظیمات آن ها اطمینان دارید؟
• آیا اقدامات لازم برای امنیت دفاتر، اتاق ها و امکانات انجام شده است؟

7. شاخص هفتم: امنیت نیروی انسانی

• آیا کارکنان در خصوص خط مشی ها و رویه های سازمان آموزش دیده اند؟
• آیا آموزش های ارائه شده به کارکنان در فواصل منظم بوسیله دوره های یادآوری به روز می شود؟
• آیا کارکنان به منظور آگاهی از مفاهیم عمومی امنیت آموزش می بینند؟

8. شاخص هشتم: جلسات و کارگروه ها

• آیا جلسات بازنگری مدیریت به طور منظم برگزار می شود؟
• آیا جلسات کارگروه اجرایی به طور منظم برگزار می شود؟
• آیا ساختاردهی امنیتی مناسب ایجاد شده است؟

این موارد برخی از شاخص های اثر بخشی سیستم مدیریت امنیت اطلاعات می باشد و همچنین علاوه بر این ها شما می توانید با استفاده از اهداف کنترلی ذکر شده در استاندارد ISO 27001 شاخص های دیگری برای سنجش اثر بخشی سیستم مدیریت امنیت اطلاعات استفاده نمایید.  بنابراین ابتدا می بایست لیست شاخص ها جهت ارزیابی و سنجش دوره اول سیستم مدیریت امینت اطلاعات با تائید مدیر امنیت اطلاعات تعیین شود و سپس برای سنجش اثر بخش بودن شاخص ها، حد مطلوب برای هر کدام انتخاب و در دوره های زمانی مشخص مورد ارزیابی و سنجش قرار گیرد. درصورتی‌که اقدامات انجام‌شده توسط واحدهای مربوطه (در دوره پایش) در حفظ اثربخشی شاخص‌های سیستم مدیریت امنیت اطلاعات مؤثر نباشد، می‌تواند منتج به درخواست اقدام اصلاحی و پیشگیرانه و یا سایر برنامه‌های بهبود در سازمان گردد. همچنین می توان در دوره اول پیاده سازی سیستم مدیریت امنیت اطلاعات شاخص هایی که به صورت کمی اندازه گیری شود را انتخاب نمایید تا اعداد و نتیجه حاصل قابل لمس و تصمیم گیری در آن حوزه راحت تر باشد.