چطور اثربخشی امنیت اطلاعات را اندازه گیری کنیم؟
شما نمی توانید بیش از حد و بیش از چیزی که در حال حاضر در جریان است، در مورد امنیت اطلاعات حفاظت و مراقبت داشته باشید. صدور استاندارد ایزو در حوزه ی امنیت اطلاعات سال هاست که این مساله را تحت تاثیر قرار داده است.
حفاظت از پرونده های شخصی و اطلاعات حساس تجاری بسیار مهم است. اما چگونه می توان گفت که سیستم مدیریت امنیت اطلاعات سیستم ISO / IEC ۲۷۰۰۱ (ISMS) امنیت اطلاعات و داده ها را در وضعیت متفاوتی قرار داده است؟
واقعیت این است که استاندارد بین المللی ایزو ISO / IEC می تواند به شما کمک کند.
ISO / IEC ۲۷۰۰۴
ISO / IEC ۲۷۰۰۴ به تازگی به روز شده، فناوری اطلاعات – تکنیک های امنیتی – مدیریت امنیت اطلاعات – نظارت، اندازه گیری، تجزیه و تحلیل و ارزیابی، راهنمایی در مورد نحوه ارزیابی عملکرد ISO / IEC ۲۷۰۰۱ را ارائه می دهد. این توضیح می دهد که چگونه برای توسعه و اجرای اندازه گیری فرایندها و نحوه ارزیابی و گزارش نتایج مجموعه ای از معیارهای امنیتی اطلاعات عمل کنیم.
پروفسور ادوارد هافریس، کمیساریای گروه کاری که این استاندارد ایزو را توسعه داده می گوید: “حملات سایبری یکی از بزرگترین خطراتی است که سازمان ها می توانند با آن روبرو شوند. به همین دلیل است که نسخه ی پیشرفته ی ISO / IEC ۲۷۰۰۴ پشتیبانی بسیار ضروری و عملی بسیاری از سازمان هایی است که ISO / IEC ۲۷۰۰۱ را پیاده سازی می کنند تا خود را از تنوع رو به رشد حملات امنیتی که امروز با آن روبرو هستند، محافظت نمایند. ”
معیارهای امنیتی می توانند بینشی درمورد اثربخشی ISMS ارائه دهند و به همین ترتیب، کلیت سیستم و مرکز را در بر بگیرند. آیا شما یک مهندس یا مشاور مسئول امنیت و گزارشگری به مدیریت یا یک مدیر اجرایی هستید که نیاز به اطلاعات بهتر برای تصمیم گیری دارد، معیارهای امنیتی ابزار مهم برای برقراری ارتباط با موقعیت وضعیت یک سازمان در معرض خطر سایبری خواهند بود.
در سخنان پروفسور هومفریز آمده است: “سازمان ها نیاز به کمک دارند تا به این سوال پاسخ دهند که آیا سرمایه گذاری سازمان در مدیریت امنیت اطلاعات موثر است یا نه؟ بسته به بازخوردها و واکنش ها، دفاع و پاسخ به محیط مداوم تغییر می کند. این جایی است که ISO / IEC ۲۷۰۰۴ می تواند مزایای متعددی را ارائه دهد. ”
ISO / IEC ۲۷۰۰۴: ۲۰۱۶ نشان می دهد که چگونه یک برنامه اندازه گیری امنیت اطلاعات، چگونگی انتخاب آنچه را اندازه گیری می کند و نحوه عملکرد فرآیندهای اندازه گیری لازم را نشان می دهد. این شامل نمونه های گسترده ای از انواع مختلف اقدامات و نحوه اثربخشی آن ها می باشد.
از مزایای بسیاری برای سازمان هایی که از ISO / IEC ۲۷۰۰۴ استفاده می کنند، می توان به موارد زیر اشاره کرد:
افزایش پاسخگویی
بهبود عملکرد امنیتی اطلاعات و فرآیندهای ISMS
مدارک مورد نیاز ایزو IEC ۲۷۰۰۱، و همچنین قوانین، مقررات و مقررات مربوطه
ISO / IEC ۲۷۰۰۴ توسط کمیته فنی مشترک ISO / IEC JTC ۱، فن آوری اطلاعات، کمیته فرعی SC ۲۷، فن آوری های امنیتی فناوری اطلاعات، که دبیرخانه آن توسط DIN، عضو ISO برای آلمان برگزار شد، توسعه یافته است.