ITIL یا ISMS کدامیک زودتر؟

  • نویسنده: مژگان فلاح
  • تاریخ انتشار: سه‌شنبه ، ۱۳ تیر ماه ۹۶
  • تعداد بازدید: 1378
  • تعداد نظرها: 4
  • دسته بندی: سیستم مدیریت امنیت اطلاعات

در سازمان های امروزی، هرکسی این اعتقاد را دارد که مدیران و کارکنان فناوری اطلاعات باید از برترین تجربه های روز در این زمینه استفاده نمایند. این مسئله دیگر به یک ضرورت تبدیل شده زیرا تغییرات فناوری اطلاعات در این حوزه چنان وسیع می باشد که بایستی خود را با این تغییرات وفق دهیم. اما زمانی که مسئله دنبال نمودن تجربه های برتر در حوزه فناوری اطلاعات پیش می اید این سوال به ذهن خطور می کند که چه ترکیبی از تجربه ها استفاده شود و به چه صورت این تجربه ها پیاده سازی شوند. در این زمینه به مرجعی احتیاج است که قابلیت اطمینان و اعتبار بالایی داشته باشد.

  • کتابخانه زیر ساخت فناوری اطلاعات ITIL

کتابخانه زیر ساخت فناوری اطلاعات ITIL ، یکی از وسیع ترین مجموعه تجارب برتر و یکی از استانداردهای مهم در حوزه مدیریت فناوری اطلاعات می باشد. این کتابخانه فارغ از قوانین محکم و سخت، چارچوبی را آماده می نماید تا شرکت ها و سازمان ها  بتوانند در آن به تطبیق نیازهای خود بپردازند. شرکت ها و سازمان ها هر نوع فرآیندی را پیاده سازی نمی نمایند بلکه به سراغ فرآیندهایی می روند که احتمال دارد در آینده به نیاز کسب و کار آنها تبدیل شود. در این حالت ممکن است برخی دیگر از فرآیندهای پیاده سازی شده نیز احتیاج به تغییراتی در آینده داشته باشد. این استاندارد جهت مدیریت فناوری اطلاعات چارچوبی را ارائه می نماید که شامل 7 قسمت می باشد.

 

 کتابخانه زیر ساخت فناوری اطلاعات فرآیندهای سازمان را به اجزای گسسته و کاملا عملیاتی که پوشش دهنده خدمات شرکت می باشند، تقسیم می کند. این اجزا طوری طراحی شده اند که بتوانند به راحتی به صورت داخلی یا به کمک یک تامین کننده خارجی تهیه شوند.

بسیاری از سازمان های بزرگ در دنیا هم اکنون به سمت این استاندارد حرکت کرده اند. زمانی که پیاده سازی این سیستم شروع می شود، باید دانست که این سیستم یک فرآیند تکراری و با کیفیت بالا است و با پیاده سازی آن، خدمات فناوری اطلاعات متناسب با نیازهای سازمان گسترش می یابد. در این استاندارد خدمت وسیله ای است برای ارائه ارزش به مشتریان به کمک تسهیل خروجی هایی که مشتری انتظار دارد بدون اینکه هزینه ریسکی به مشتری منتقل شود. بنابراین چارچوب این استاندارد بر پایه فرآیندها تدوین گشته است. در واقع این استاندارد سعی می نماید در قالب ارائه خدمات برای مشتریان ایجاد ارزش نماید. برای کسب اطلاعات بیشتر در خصوص ITIL می توانید به مقاله "سیر تاریخی ITIL: از ابتدا تا ITIL 4" رجوع نمایید.

  • سیستم مدیریت امنیت اطلاعات ISMS

هدف از تدوین این استاندارد بین المللی، ارائه مدلی است که بر اساس آن بتوان یک سیستم مدیریت امنیت اطلاعات یا همان ISMS را ایجاد، اجرا، بهره برداری، پایش، بازنگری، نگهداری و بهبود و ارتقاء بخشید. پیاده سازی چنین سیستمی می بایست برای یک سازمان به عنوان یک تصمیم استراتژیک تلقی گردد. در این میان عواملی مانند نیازها و اهداف سازمان ها، الزامات امنیتی، فرآیندهای به کارگرفته شده و اندازه و ساختار سازمان بر طراحی و پیاده سازی سیستم مدیریت امنیت اطلاعات سازمان تاثیر خواهند گذاشت. برای اطلاعات بیشتر به مقاله معرفی خانواده استانداردهای سیستم مدیریت امنیت اطلاعات و همچنین چگونه گواهینامه ISMS دریافت کنیم؟ از کجا باید شروع کرد؟ رجوع شود.

یک سازمان برای آن که بتواند فعالیت های خود را به طور موثر اجرا نماید، باید بتواند تا ضمن تعیین بسیاری از فعالیت ها، بر آنها نیز مدیریت صحیح داشته باشد. در این بین هرگونه فعالیت های که در آن از منابع و ذخایر استفاده می نماید، و همچنین تبدیل ورودی به خروجی ها را امکان پذیر می سازد. رویکرد فرآیندی در مدیریت امنیت اطلاعات به نحوی که در این استاندارد بین المللی باعث شده تا موارد زیر الزام باشند:

  • شناخت الزامات امنیت اطلاعات و نیاز به سیاستگذاری و هدف گذاری برای امنیت اطلاعات
  • پیاده سازی و بهره برداری از موارد کنترلی به منظور مدیریت ریسک های امنیت اطلاعات یک سازمان در چارچوب مجموعه ریسک های تجاری سازمان
  • پایش و بازنگری اجرا و اثر بخشی ISMS
  • بهبود مستمر بر اساس اندازه گیری و سنجش هدف

استاندارد حاضر که مدلی برای تعیین ساختار تمامی فرآیندهای ISMS است مبتنی بر مدل PDCA فعالیت می نماید. که در آن

Plan: برنامه ریزی کن

DO: انجام بده

Check: کنترل کن

Act: اقدام کن

 

 

 

استفاده شده است. مدل PDCA مدلی بیانگر اصول حاکم بر امنیت شبکه ها و سیستم های اطلاعاتی نیز می باشد. استاندارد بین المللی حاضر مدل کامل و جامعی را ارائه می نماید که به کمک آن می توان اصول حاکم بر ارزشیابی ریسک، طراحی و پیاده سازی امنیت، مدیریت امنیت و ارزشیابی مجدد را اجرا و پیاده سازی نماید.

  • مقایسه ای بین استاندارد ISMS و ITIL در زمینه مدیریت فناوری اطلاعات

 در سال های اخیر، استاندارها و روش های گوناگون جهت مدیریت فناوری اطلاعات ارائه شده است که هر کدام به گونه ای سعی نموده اند تا جنبه های مختلف تعامل سازمان با این فناوری نوظهور را پوشش دهند.  باتوجه به گسترش روز افزون و همچنین تغییراتی متناسب با فضای کسب و کار نسخه های جدیدی از استانداردها روانه بازار شده اند. به طور کلی استاندارد و چارچوب ارائه شده سیستم مدیریت امنیت اطلاعات (ISMS) به دنبال آن است که نیازهای بخش فناوری اطلاعات در سازمان ها و چگونگی دست یابی به آن ها را مشخص نماید و همچنین این استاندارد یک فرایند و یک فعالیت مداوم است و نحوه انجام این فرآیند را مدیر امنیت اطلاعات باید تشخیص دهد. و این موضوع به تنهایی و توسط تکنولوژی تمامی فعالیت ها و عملکرد سازمان ها را تضمین می نماید.

فرایند مدیریت امنیت اطلاعات شامل موارد زیر است:

  • خط مشی ها
  • سیستم مدیریت امنیت اطلاعات
  • ساختار و کنترل ها
  • مدیریت ریسک
  • استراتژی های ارتباطات

در این استاندارد فعالیت های مختلفی وجود دارد که مدیریت امنیت اطلاعات می بایست با توجه به آنها تصمیم گیری نماید:

  • عملیات، نگهداری و توزیع سیاست مدیریت امنیت اطلاعات که تمام کارمندان می بایست از خط مشی ها آگاه شوند.
  • ارتباطات، پیاده سازی و اجرای سیاست ها
  • ارزیابی اطلاعات مدیریت
  • مستند سازی و اجرای بعدی کنترل هایی که از این روند پشتیبانی می کنند.

با توجه به اهمیت استاندارد ISO/IEC 27001 می توان گفت که سیستم مدیریت امنیت اطلاعات ISMS از جایگاه خاصی برخوردار است و می تواند از استاندارد کتابخانه زیر ساخت فناوری اطلاعات زودتر مورد استفاده قرار گیرد زیرا که با توجه به ماهیت آن می بایست ابتدا امنیت تجهیزات و زیر ساخت  توسط این استاندارد (ISMS) تامین و تضمین شود و سپس خدمات ارائه شده از سوی آنها مورد استفاده قرار گیرد، پس می توان نتیجه گرفت که ISMS نسبت به ITIL زودتر و از اهمیت خاصی برخوردار است.

نظرات کاربران

 

دوشنبه ، ۱۱ تیر ماه ۹۷

سپاس

امیر خوانی

سه‌شنبه ، ۲۰ تیر ماه ۹۶

پیشنهاد می شود، استقرار برخی از ماژولهای مدیریت خدمات فناوری اطلاعات نظیر مدیریت درخواستها به نسبت ISMS در اولویت قرار گیرد.

میلاد یداللهی

سه‌شنبه ، ۱۳ تیر ماه ۹۶

با تشکر از مطلب ارائه شده، بنده هم با اولویت پیاده سازی ISMS نسبت به ITIL و یا ITSMS به صورت کلی موافق هستم زیرا از لحاظ مفهومی نیز موضوع مدیریت امنیت اطلاعات را می توان به عنوان یکی از بخش ها و ماژول های حوزه مدیریت خدمات درنظر گرفت. با این وجود به نظر می رسد این تصمیم بیشتر به شرایط سازمان و اقتضائات پیرامونی وابسته باشد.

مژگان فلاح

دوشنبه ، ۱۹ تیر ماه ۹۶

سلام ممنون از لطف شما