سيستم مديريت امنيت اطلاعات کليه عوامل اجرايي، روالها، دستورالعملها و واحدهاي اطلاعاتي را تحت پوشش قرار داده و با برقراري امكان نظارت و بهبود مستمر، امنيت کل مجموعه را تامين مي‌کند.
طراحي و اجراي سيستم جامع امنيت اطلاعات
مقدمه:
ظهور تکنولوژي ارتباطات و اينترنت امکان" اشتراک اطلاعات" و "تبادل آسان اطلاعات" بين سيستم‌هاي کامپيوتری را به وجود آورده است. اين فناوري‌هاي نوين با غلبه بر فاصله ها و محدوديتهای فيزيكي و كاهش محسوس زمان، معماري و ساختار ارائه خدمات در سيستم‌ها را بشدت تحت تأثر قرار داده‌اند. اين فناوري‌هاي نوين بستري مناسب را براي انجام مبادلات تجاري، ارائه خدمات آنلاين مانند بانکداري الکترونيکي و خدمات دولت الکترونيکي ايجاد کرده اند.

چالشها:
تا اوايل دهه هفتاد، فعاليت‌هاي مربوط به دسترسي و محافظت از اطلاعات در سازمانها و شرکت‌ها محدود به محل‌هاي نگهداري اين اطلاعات شامل آرشيو اسناد و شبکه‌هاي محلي کامپيوتری بود. در چنين محيط‌هايي، روشهاي حفاظت فيزيکي امنيت سيستم‌ها و اطلاعات را تا حد بسيار بالايي تأمين مي‌کرد. اگرچه مزاياي فضاي تبادل اطلاعات غير قابل انکار مي‌باشد، ولي اتصال سيستم‌هاي داخلي به شبکه‌هاي خارجي و ارائه خدمات و مبادله اطلاعات از طريق اين شبکه‌ها، خطرات و تهديدات جديدي را ايجاد کرده‌است. مهمترين نگراني‌هاي امنيتي مرتبط با سيستم هاي اطلاعاتي شامل دستيابي نفوذگران به سيستم‌هاي اطلاعاتي و سرقت اطلاعات آنها، ايجاد وقفه و اختلال در ارائه سرويس‌هاي حياتي (سيستم‌هاي کنترل حمل و نقل، نيرو و ....) و تغيير يا تخريب اطلاعات مي‌باشند. بديهي است که در اين شرايط روشهاي حفاظت فيزيکي به تنهايي قادر به تامين امنيت نخواهند بود و سيستم‌ها ناچار از بكارگرفتن روش‌هاي جديد حفاظت اطلاعات و كنترل دسترسي‌ها به منابع سازمان شده‌اند.

راهکارها:
رويکرد اغلب سازمان‌ها در مواجهه با اين تهديدات، خريد محصولات امنيتي مانند فايروال و برنامه‌هاي ضد‌ويروس، و بکارگيري آنها در سيستم‌هاي کامپيوتری بوده است. استفاده از گرانقيمت‌ترين محصولات امنيتي بدون شناخت و تحليل دقيق نيازهاي امنيتي ،استفاده از روالهاي استاندارد در بکارگيري و کنترل سيستم هاي امنيتي و بروز رساني مداوم اين سيستم‌ها به تنهائي كارساز نخواهند بود. سيستم مديريت امنيت اطلاعات راهكار حل مشكلات مذكور در سيستم‌هاي اطلاعاتي مي‌باشد يک سيستم جامع امنيتي بر سه پايه بنا مي‌شود:
  1. سياستها و دستورالعملهاي امنيتي: طرحها و برنامه‌هاي مرتبط براي نحوه محافظت از سيستم‌هاي اطلاعاتي و داده‌هاي آنها در اين قسمت مورد توجه قرار مي گيرد. استراتژي امنيتي در دو بخش غير‌فني و فني ارائه مي‌گردد. بخش غيرفني شامل تعيين سطوح امنيتي مطلوب و انتخاب استانداردهاي امنيتي و بخش فني شامل تهيه دستورالعملهاي لازم براي بکارگيري و نظارت بر اجزاي سيستم امنيتي جهت نيل به اهداف استراتژيک مي‌باشد.
  2. تکنولوژي و محصولات امنيتي: اين قسمت شامل تمام ابزارهاي مورد استفاده در بخش‌هاي مختلف امنيتي براي اعمال دستورالعملها، کنترل و نظارت مي‌باشد. ابزارهاي محافظتي و نظارت بر شبکه، سيستم‌هاي کنترل دسترسي و راهکارهاي ضدويروس در اين بخش مطرح مي‌گردند .
  3. عوامل اجرايي: افراد مرتبط با مديريت و اجراي سيستم امنيتي شامل مديران سيستم‌ها و شبکه‌ها، پرسنل و کاربران عادي در اين قسمت جای دارند. اين عوامل از تکنولوژي و ابزارها در جهت اجراي سياستها و دستورالعملهاي امنيتي استفاده مي‌کنند. سازماندهي و مديريت اجزاي فوق نياز به يک سيستم مديريت امنيت اطلاعات خواهد داشت که کليه عوامل اجرايي، رويه ها، دستورالعملها و واحدهاي اطلاعاتي را تحت پوشش قرار مي‌دهد و با برقراري امكان نظارت و بهبود مستمر، امنيت کل مجموعه راتامين مي‌کند. شرکت داده‌بان آريا، خدمات مرتبط با تحليل، طراحي و اجراي سيستم‌هاي مديريت امنيت اطلاعات را به شرح زير ارائه مي‌دهد:
    1. ارائه مشاوره در زمينه تهيه سياستها و استراتژي‌هاي امنيتي
    2. طراحي و مستند‌سازي رويه ها و دستورالعملهاي امنيتي مطابق با استانداردهاي امنيت اطلاعات(BS7799/ISO17799)
    3. ارائه مشاوره و خدمات فني جهت دريافت گواهي‌نامه امنيت اطلاعات BS7799
    4. ارائه خدمات آموزش امنيتي براي مديران و پرسنل پيرامون سيستم‌هاي امنيت اطلاعات
    5. شناسائي و مستند‌سازي ضعف‌هاي امنيتي و تهديدات مرتبط براي سيستم‌هاي اطلاعاتي، شبکه‌هاي رايانه‌اي و روالهاي سازماني
    6. طراحي و پياده‌سازي راهکارهاي حفاظتي و کنترلي براي سيستم‌هاي اطلاعاتي و شبکه‌هاي کامپيوتری
    7. ارائه خدمات سخت‌افزاري و نرم‌افزاري جهت نظارت بر اجزاي سيستم مديريت اطلاعات:
      • خدمات بررسي آسيب‌پذيري‌هاي امنيتي
      • راهکارهاي مديريت آسيب‌پذيري‌هاي امنيتي