İnformasiya Təhlükəsizliyi İdarəetmə Sistemi

İnformasiya Təhlükəsizliyi İdarəetmə Sistemi (Abr: İTİS) — təşkilatın ümumi idarəetmə sisteminin bir hissəsi.^[1] O, biznes risklərinə əsaslanan yanaşma əsasında informasiya təhlükəsizliyinin yaradılması, tətbiqi, fəaliyyəti, monitorinqi, analizi, saxlanılması və təkmilləşdirilməsini təmin edir.^[2]

ISO/IEC 27001 standartının tələblərinə müvafiq şəkildə qurulduqda, İTİS PDCA modeli (Plan–Do–Check–Act, yəni Planlaşdır–İcra et–Yoxla–Təkmilləşdir) əsasında formalaşdırılır:

Plan (planlaşdırma): İTİS-in yaradılması mərhələsi; aktivlərin siyahısının tərtibi, risklərin qiymətləndirilməsi və müvafiq tədbirlərin seçilməsi;
Do (icra): seçilmiş təhlükəsizlik tədbirlərinin həyata keçirilməsi və tətbiqi mərhələsi;
Check (yoxlama): İTİS-in effektivliyinin və fəaliyyət göstəricilərinin qiymətləndirilməsi mərhələsi; adətən bu mərhələ daxili auditlər vasitəsilə həyata keçirilir;
Act (təkmilləşdirmə): aşkarlanmış çatışmazlıqların aradan qaldırılması, eləcə də profilaktik və korrektiv tədbirlərin görülməsi mərhələsi.

Rusiyada bu sahə GOST R ISO/IEC 27001-2006 ("İnformasiya texnologiyası. Təhlükəsizliyin təmin olunması üsul və vasitələri. İnformasiya təhlükəsizliyi idarəetmə sistemləri. Tələblər") standartı ilə tənzimlənir.

İTİS-in tətbiq mərhələləri

İnformasiya təhlükəsizliyinin müxtəlif aspektlərinə cavabdeh olan vəzifəli şəxslərin müəyyənləşdirilməsi, sistemin səmərəli fəaliyyəti üçün mühüm ilkin addımdır.^[3]

İTİS-in effektiv fəaliyyətini təmin etmək üçün davamlı dövri proses tətbiq olunur. Bu proses aşağıdakı mərhələləri əhatə edir:^[4]

Hazırlıq (planlaşdırma): sistemin məqsədlərinin, resurslarının və təhlükəsizlik tələblərinin müəyyən edilməsi;
Tətbiq (planın icrası): nəzərdə tutulan təhlükəsizlik tədbirlərinin həyata keçirilməsi;
Yoxlama (monitorinq və analiz): görülən tədbirlərin səmərəliliyinin və funksionallığının qiymətləndirilməsi;
Təkmilləşdirmə: aşkar edilmiş nöqsanların aradan qaldırılması və sistemin optimallaşdırılması.

Beləliklə, İTİS-in məqsədi yalnız məlumatların mühafizəsini təmin etmək deyil, həm də təşkilat daxilində təhlükəsizlik mədəniyyətini və davamlı inkişaf prosesini formalaşdırmaqdır.^[4]

İstinadlar

↑ Terroza, A.K.S. "Information Security Management System (ISMS) Overview" (PDF). The Institute of Internal Auditors. 12 may 2015. 7 avqust 2016 tarixində arxivləşdirilib (PDF). İstifadə tarixi: 16 iyun 2018.
↑ "Need: The Need for ISMS". Threat and Risk Management. European Union Agency for Network and Information Security. İstifadə tarixi: 16 iyun 2018.
↑ Alavi, R.; Islam, S.; Mouratidis, H. A Conceptual Framework to Analyze Human Factors of Information Security Management System (ISMS) in Organizations // Human Aspects of Information Security, Privacy, and Trust. Lecture Notes in Computer Science. 8533. 2014. 297–305. doi:10.1007/978-3-319-07620-1_26. ISBN 978-3-319-07619-5.
↑ ¹ ² Ciekanowski, Marek; Zurawski, Slawomir; Ciekanowski, Zbigniew; Pauliuchuk, Yury; Czech, Artur. "Chief Information Security Officer: A Vital Component of Organizational Information Security Management". European Research Studies Journal. XXVII (2). 1 aprel 2024: 35–46. doi:10.35808/ersj/3370. ISSN 1108-2976.

[TerrozaInfo15-1] Terroza, A.K.S. "Information Security Management System (ISMS) Overview" (PDF). The Institute of Internal Auditors. 12 may 2015. 7 avqust 2016 tarixində arxivləşdirilib (PDF). İstifadə tarixi: 16 iyun 2018.

[ENISANeed-2] "Need: The Need for ISMS". Threat and Risk Management. European Union Agency for Network and Information Security. İstifadə tarixi: 16 iyun 2018.

[AlaviAConcept14-3] Alavi, R.; Islam, S.; Mouratidis, H. A Conceptual Framework to Analyze Human Factors of Information Security Management System (ISMS) in Organizations // Human Aspects of Information Security, Privacy, and Trust. Lecture Notes in Computer Science. 8533. 2014. 297–305. doi:10.1007/978-3-319-07620-1_26. ISBN 978-3-319-07619-5.

[:5-4] ¹ ² Ciekanowski, Marek; Zurawski, Slawomir; Ciekanowski, Zbigniew; Pauliuchuk, Yury; Czech, Artur. "Chief Information Security Officer: A Vital Component of Organizational Information Security Management". European Research Studies Journal. XXVII (2). 1 aprel 2024: 35–46. doi:10.35808/ersj/3370. ISSN 1108-2976.

[1]

[2]

[3]

[4]