سیستم مدیریت امنیت اطلاعات ((Information Security Management System ISMS به مدیران  امكان می دهد تا بتوانند امنیت سیستم های خود را با حداقل نمودن ریسك‌های تجاری كنترل نمایند.

با ارائه استاندارد مديريت امنيت اطلاعات ، نگرش سيستماتيک به مقوله ايمن‌سازي فضاي تبادل اطلاعات شکل گرفت. بر اساس اين نگرش، تامين امنيت فضاي تبادل اطلاعاتِ سازمانها، به يکباره مقدور نمي‌باشد و لازم است اين امر به صورت مداوم در يک چرخه ايمن‌سازي شامل مراحل طراحي، پياده‌سازي، ارزيابي و اصلاح، انجام شود.

 بر اساس استانداردهاي مديريت امنيت اطلاعات و ارتباطات، هر دستگاه (سازمان) بايد مجموعه مستندات مديريت امنيت اطلاعات و ارتباطات را به شرح زير، براي خود تدوين نمايد:

·         اهداف، راهبردها و سياستهاي امنيتي فضاي تبادل اطلاعات سازمان

·         طرح تحليل مخاطرات امنيتي فضاي تبادل اطلاعات سازمان

·         طرح امنيت فضاي تبادل اطلاعات سازمان

·         طرح مقابله با حوادث امنيتي و ترميم خرابيهاي فضاي تبادل اطلاعات سازمان

·         برنامة آگاهي رساني امنيتي به پرسنل سازمان

·         برنامة آموزش امنيتي پرسنل تشکيلات تامين امنيت فضاي تبادل اطلاعات سازمان

مراحل ايجاد سيستم مديريت امنيت اطلاعات (ISMS)

 ايجاد و تعريف سياست ها:

در اين مرحله ايجاد سياستهاي كلي سازمان مدنظر قراردارد. روالها از درون فعاليت شركت يا سازمان استخراج شده و در قالب سند و سياست امنيتي به شركت ارائه مي شود. مديران كليدي و كارشناسان برنامه ريز نقش كليدي در گردآوري اين سند دارند.

 تعيين محدوده عملياتي :

يك سازمان ممكن است داراي چندين زيرمجموعه و شاخه هاي كاري باشد لذا شروع پياده سازي سيستم امنيت اطلاعات كاري بس دشوار است . براي جلوگيري از پيچيدگي پياده سازي ، تعريف محدوده و Scope صورت مي پذيرد. Scope  مي تواند ساختمان مركزي يك سازمان يا بخش اداري و يا حتي سايت كامپيوتري سازمان باشد. بنابراين قدم اول تعيين  Scope و الويت براي پياده سازي استاندارد امنيت اطلاعات در Scope خواهد بود. پس از پياده سازي و اجراي كنترل هاي BS7799 و اخذ گواهينامه براي محدوده تعيين شده نوبت به پياده سازي آن در ساير قسمت ها مي رسد كه مرحله به مرحله اجرا مي شوند.

 برآورد دارايي ها و طبقه بندي آنها:

براي اينكه بتوان كنترل هاي مناسب را براي قسمت هاي مختلف سازمان اعمال كرد ابتدا نياز به تعيين دارايي ها مي باشيم. در واقع ابتدا بايد تعيين كرد چه داريم و سپس اقدام به ايمن سازي آن نماييم. در اين مرحله ليست كليه تجهيزات و دارايي هاي سازمان تهيه شده و باتوجه به درجه اهميت آن طبقه بندي مي شوند.

 ارزيابي خطرات:

با داشتن ليست دارايي ها و اهميت آن ها براي سازمان ، نسبت به پيش بيني خطرات اقدام مي شود. پس از تعيين كليه خطرات براي هر دارايي اقدام به تشخيص نقاط ضعف امنيتي و دلايل بوجود آمدن تهديدها شده و سپس با داشتن اطلاعات نقاط ضعف را برطرف ساخته و خطرات و تهديدها و نقاط ضعف را مستند مي شوند.

 مديريت خطرات :

مستندات مربوط به خطرات و تهديد ها و همچنين نقاط ضعف امنيتي شما را قادر به اتخاذ تصميم درست و مؤثر براي مقابله با آنها مي نمايد.

 انتخاب كنترل مناسب :

استاندارد BS7799 داراي 10 گروه كنترلي مي باشد كه هرگروه شامل چندين كنترل زيرمجموعه است بنابراين در كل 127 كنترل براي داشتن سيستم مديريت امنيت اطلاعات مدنظر قراردارد. با انجام مراحل بالا شركت يا سازمان ، پتانسيل پياده سازي كنترل هاي مذكور را خواهد داشت.

اين ده گروه كنترلي عبارتند از :

-      سياستهاي امنيتي

-      امنيت سازمان

-      كنترل و طبقه بندي دارايي ها

-      امنيت فردي

-      امنيت فيزيكي

-      مديريت ارتباط ها

-      كنترل دسترسي ها

-      روشها و روالهاي نگهداري و بهبود اطلاعات

-      مديريت تداوم كار سازمان

-       سازگاري با موارد قانوني

تعيين قابليت اجرا:

جمع آوري ليست دارايي ها، تعيين تهديدها ، نقاط ضعف امنيتي و در نهايت ايجاد جدول كنترل ها سازمان را در به دست آوردن جدولي موسوم به SOA يا Statement Of Applicability ياري مي رساند. اين جدول ليستي نهايي از كليه كنترل هاي مورد نياز براي پياده سازي را ارائه مي دهد.