Introduction to Information Security Management Systems (ISMS) सूचना सुरक्षा प्रबंधन प्रणाली (ISMS) का परिचय

हर प्रौद्योगिकी-संचालित व्यवसाय प्रक्रिया सुरक्षा और गोपनीयता के खतरों के संपर्क में है। परिष्कृत प्रौद्योगिकियां साइबर सुरक्षा हमलों से निपटने में सक्षम हैं, लेकिन ये पर्याप्त नहीं हैं: संगठनों को यह सुनिश्चित करना चाहिए कि व्यावसायिक प्रक्रियाएं, नीतियां और कार्यबल व्यवहार भी इन जोखिमों को कम या कम कर दें। क्योंकि यह रास्ता न तो आसान है और न ही स्पष्ट है, कंपनियां ऐसे ढांचे को अपनाती हैं जो सूचना सुरक्षा (इंफोसेक) की सर्वोत्तम प्रथाओं की दिशा में मदद करते हैं। यह वह जगह है जहाँ सूचना सुरक्षा प्रबंधन प्रणाली चलन में आती है - आइए एक नज़र डालते हैं।

ISMS क्या है?

एक सूचना सुरक्षा प्रबंधन प्रणाली (ISMS) नीतियों और नियंत्रणों का एक ढांचा है जो सुरक्षा और जोखिमों को व्यवस्थित रूप से और आपके पूरे उद्यम-सूचना सुरक्षा के लिए प्रबंधित करता है।

एक सूचना सुरक्षा प्रबंधन प्रणाली (ISMS) संगठन के संवेदनशील डेटा को व्यवस्थित रूप से प्रबंधित करने के लिए नीतियों और प्रक्रियाओं का एक समूह है। आईएसएमएस का लक्ष्य जोखिम को कम करना है और सुरक्षा भंग के प्रभाव को सक्रिय रूप से सीमित करके व्यावसायिक निरंतरता सुनिश्चित करना है।

ये सुरक्षा नियंत्रण सामान्य सुरक्षा मानकों का पालन कर सकते हैं या आपके उद्योग पर अधिक केंद्रित हो सकते हैं। उदाहरण के लिए, आईएसओ 27001 आईएसएमएस नीतियों और नियंत्रणों को बनाने, प्रबंधित करने और कार्यान्वित करने के तरीके का विवरण देने का एक सेट है। आईएसओ विशिष्ट कार्यों को अनिवार्य नहीं करता है; इसके बजाय, यह उचित आईएसएमएस रणनीतियों को विकसित करने पर दिशानिर्देश प्रदान करता है। आईएसएमएस के लिए रूपरेखा आमतौर पर जोखिम मूल्यांकन और जोखिम प्रबंधन पर केंद्रित है। जोखिम शमन और लागत (जोखिम) के बीच संतुलित व्यापार के लिए एक संरचित दृष्टिकोण के रूप में इसके बारे में सोचें। स्वास्थ्य देखभाल या राष्ट्रीय रक्षा जैसे तंग विनियमित उद्योग कार्यक्षेत्रों में काम करने वाले संगठनों को सुरक्षा गतिविधियों और जोखिम शमन रणनीति के व्यापक दायरे की आवश्यकता हो सकती है

सूचना सुरक्षा में निरंतर सुधार:-

जबकि ISMS समग्र सूचना सुरक्षा प्रबंधन क्षमताओं को स्थापित करने के लिए डिज़ाइन किया गया है, डिजिटल परिवर्तन के लिए संगठनों को अपनी सुरक्षा नीतियों और नियंत्रणों के चल रहे सुधार और विकास को अपनाने की आवश्यकता होती है। ISMS द्वारा परिभाषित संरचना और सीमाएं केवल एक सीमित समय सीमा के लिए लागू हो सकती हैं और कार्यबल उन्हें प्रारंभिक अवस्था में अपनाने के लिए संघर्ष कर सकता है। संगठनों के लिए चुनौती इन सुरक्षा नियंत्रण तंत्रों को उनके जोखिम, संस्कृति और संसाधनों के परिवर्तन के रूप में विकसित करना है। आईएसओ 27001 के अनुसार, आईएसएम कार्यान्वयन आईएसएम प्रक्रियाओं में निरंतर सुधार के लिए एक प्लान-डू-चेक-एक्ट (PCDA) मॉडल का अनुसरण करता है: योजना। समस्याओं की पहचान करें और सुरक्षा जोखिम का मूल्यांकन करने के लिए उपयोगी जानकारी एकत्र करें। उन नीतियों और प्रक्रियाओं को परिभाषित करें जिनका उपयोग समस्या के मूल कारणों को दूर करने के लिए किया जा सकता है। सूचना सुरक्षा प्रबंधन क्षमताओं में निरंतर सुधार स्थापित करने के तरीके विकसित करना। करना। तैयार सुरक्षा नीतियों और प्रक्रियाओं को लागू करें। कार्यान्वयन आईएसओ मानकों का पालन करता है, लेकिन वास्तविक कार्यान्वयन आपकी कंपनी के लिए उपलब्ध संसाधनों पर आधारित है। चेक। आईएसएमएस नीतियों और नियंत्रणों की प्रभावशीलता की निगरानी करें। मूर्त परिणामों के साथ-साथ आइएसएम प्रक्रियाओं से जुड़े व्यवहारिक पहलुओं का मूल्यांकन करें। अधिनियम। निरंतर सुधार पर ध्यान दें। ISMS नीतियों और नियंत्रणों के PCDA मॉडल कार्यान्वयन के भविष्य के पुनरावृत्तियों को संबोधित करने के लिए परिणामों को साझा करें, ज्ञान साझा करें और फीडबैक लूप का उपयोग करें।

लोकप्रिय ISMS चौखटे:-

आईएसओ 27001 सूचना सुरक्षा में एक अग्रणी है, लेकिन अन्य ढांचे भी मूल्यवान मार्गदर्शन प्रदान करते हैं। ये अन्य ढांचे अक्सर आईएसओ 27001 या अन्य उद्योग-विशिष्ट दिशानिर्देशों से उधार लेते हैं। आईटीआईएल, व्यापक रूप से अपनाया गया ITSM फ्रेमवर्क, एक समर्पित घटक है, जिसे सूचना सुरक्षा प्रबंधन (ISM) कहा जाता है। ISM का लक्ष्य यह सुनिश्चित करने के लिए आईटी और व्यावसायिक सुरक्षा को संरेखित करना है कि InfoSec सभी गतिविधियों में प्रभावी रूप से प्रबंधित है। COBIT, एक अन्य आईटी-केंद्रित ढांचा, महत्वपूर्ण समय व्यतीत करता है कि कैसे संपत्ति प्रबंधन और कॉन्फ़िगरेशन प्रबंधन सूचना सुरक्षा के साथ-साथ लगभग हर दूसरे ITSM फ़ंक्शन- यहां तक ​​कि InfoSec से संबंधित नहीं हैं।

आईएसएमएस सुरक्षा नियंत्रण:-

ISMS सुरक्षा आईएसओ 27001 मानक में निर्दिष्ट सूचना सुरक्षा के कई डोमेन फैलाती है। सूची में निम्नलिखित उद्देश्यों के साथ व्यावहारिक दिशानिर्देश हैं:-

सूचना सुरक्षा नीतियां:-

एक समग्र दिशा और सहायता उचित सुरक्षा नीतियों को स्थापित करने में मदद करती है। सुरक्षा नीति आपकी कंपनी के लिए विशिष्ट है, जो आपके बदलते व्यवसाय और सुरक्षा आवश्यकताओं के संदर्भ में तैयार है।

सूचना सुरक्षा का संगठन:-

यह कॉरपोरेट नेटवर्क के भीतर खतरों और जोखिमों को संबोधित करता है, जिसमें बाहरी संस्थाओं से साइबर हमले, धमकियां, सिस्टम की खराबी और डेटा हानि शामिल हैं।

परिसंपत्ति प्रबंधन:-

यह घटक कॉर्पोरेट आईटी नेटवर्क के भीतर और बाहर संगठनात्मक परिसंपत्तियों को कवर करता है। इसमें संवेदनशील व्यापारिक सूचनाओं का आदान-प्रदान शामिल हो सकता है।

मानव संसाधन सुरक्षा:-

अपने कर्मियों, गतिविधियों और मानवीय त्रुटियों से संबंधित नीतियां और नियंत्रण, जिसमें अनिर्णायक सुरक्षा चूक को कम करने के लिए अंदरूनी खतरों और कार्यबल प्रशिक्षण से जोखिम को कम करने के उपाय शामिल हैं। शारीरिक और पर्यावरण सुरक्षा:-

ये दिशानिर्देश भौतिक आईटी हार्डवेयर को नुकसान, हानि, या अनधिकृत पहुंच से बचाने के लिए सुरक्षा उपायों को कवर करते हैं। हालांकि कई संगठन डिजिटल परिवर्तन का लाभ उठा रहे हैं और सुरक्षित क्लाउड नेटवर्क ऑफ-प्रिमाइसेस में संवेदनशील जानकारी बनाए रखते हैं, उस जानकारी तक पहुंचने के लिए उपयोग किए जाने वाले भौतिक उपकरणों की सुरक्षा पर विचार किया जाना चाहिए।

संचार और संचालन प्रबंधन:-

सिस्टम को सुरक्षा नीतियों और नियंत्रणों के सम्मान और रखरखाव के साथ संचालित किया जाना चाहिए। दैनिक आईटी संचालन, जैसे सेवा प्रावधान और समस्या प्रबंधन, आईटी सुरक्षा नीतियों और आईएसएमएस नियंत्रणों का पालन करना चाहिए। पहुँच नियंत्रण:-

यह नीति डोमेन अधिकृत कर्मियों तक पहुंच को सीमित करने और विषम व्यवहार के लिए नेटवर्क ट्रैफ़िक की निगरानी करने से संबंधित है। एक्सेस अनुमतियाँ प्रौद्योगिकी के डिजिटल और भौतिक दोनों माध्यमों से संबंधित हैं। व्यक्तियों की भूमिकाओं और जिम्मेदारियों को अच्छी तरह से परिभाषित किया जाना चाहिए, केवल आवश्यक होने पर व्यावसायिक जानकारी तक पहुंच के साथ। सूचना प्रणाली का अधिग्रहण, विकास और रखरखाव:-

अधिग्रहण, विकास और रखरखाव के चरणों सहित आईटी प्रणाली के पूरे जीवनकाल में सुरक्षा सर्वोत्तम प्रथाओं को बनाए रखा जाना चाहिए। सूचना सुरक्षा और घटना प्रबंधन:-

उपयोगकर्ताओं को समाप्त करने के लिए प्रभाव को कम करने वाले तरीकों में आईटी मुद्दों को पहचानें और हल करें। जटिल नेटवर्क अवसंरचना वातावरणों में, उन्नत प्रौद्योगिकी समाधानों की आवश्यकता हो सकती है ताकि इनवॉइस घटना मेट्रिक्स की पहचान की जा सके और संभावित मुद्दों को कम किया जा सके। व्यापार लगातारिता प्रबंधन:-

जब भी संभव हो व्यावसायिक प्रक्रियाओं में व्यवधान से बचें। आदर्श रूप से, क्षति को कम करने के लिए किसी भी आपदा की स्थिति को तुरंत ठीक किया जाता है। अनुपालन:-

प्रति नियामक निकायों के लिए सुरक्षा आवश्यकताओं को लागू किया जाना चाहिए। क्रिप्टोग्राफी:-

संवेदनशील जानकारी की सुरक्षा के लिए सबसे महत्वपूर्ण और प्रभावी नियंत्रणों में से, यह अपने आप में एक चांदी की गोली नहीं है। इसलिए, ISMS शासन करता है कि क्रिप्टोग्राफ़िक नियंत्रण कैसे लागू और प्रबंधित किए जाते हैं। आपूर्तिकर्ता संबंध:-

तृतीय-पक्ष विक्रेताओं और व्यापार भागीदारों को नेटवर्क और संवेदनशील ग्राहक डेटा तक पहुंच की आवश्यकता हो सकती है। कुछ आपूर्तिकर्ताओं पर सुरक्षा नियंत्रण लागू करना संभव नहीं हो सकता है। हालांकि, आईटी सुरक्षा नीतियों और अनुबंध संबंधी दायित्वों के माध्यम से संभावित जोखिमों को कम करने के लिए पर्याप्त नियंत्रण को अपनाया जाना चाहिए।