Məzmuna keç

İnformasiya Təhlükəsizliyi İdarəetmə Sistemi

Vikipediya, azad ensiklopediya

İnformasiya Təhlükəsizliyi İdarəetmə Sistemi (Abr: İTİS) — təşkilatın ümumi idarəetmə sisteminin bir hissəsi.[1] O, biznes risklərinə əsaslanan yanaşma əsasında informasiya təhlükəsizliyinin yaradılması, tətbiqi, fəaliyyəti, monitorinqi, analizi, saxlanılması və təkmilləşdirilməsini təmin edir.[2]

ISO/IEC 27001 standartının tələblərinə müvafiq şəkildə qurulduqda, İTİS PDCA modeli (Plan–Do–Check–Act, yəni Planlaşdır–İcra et–Yoxla–Təkmilləşdir) əsasında formalaşdırılır:

  1. Plan (planlaşdırma): İTİS-in yaradılması mərhələsi; aktivlərin siyahısının tərtibi, risklərin qiymətləndirilməsi və müvafiq tədbirlərin seçilməsi;
  2. Do (icra): seçilmiş təhlükəsizlik tədbirlərinin həyata keçirilməsi və tətbiqi mərhələsi;
  3. Check (yoxlama): İTİS-in effektivliyinin və fəaliyyət göstəricilərinin qiymətləndirilməsi mərhələsi; adətən bu mərhələ daxili auditlər vasitəsilə həyata keçirilir;
  4. Act (təkmilləşdirmə): aşkarlanmış çatışmazlıqların aradan qaldırılması, eləcə də profilaktik və korrektiv tədbirlərin görülməsi mərhələsi.

Rusiyada bu sahə GOST R ISO/IEC 27001-2006 ("İnformasiya texnologiyası. Təhlükəsizliyin təmin olunması üsul və vasitələri. İnformasiya təhlükəsizliyi idarəetmə sistemləri. Tələblər") standartı ilə tənzimlənir.

İTİS-in tətbiq mərhələləri

[redaktə | vikimətni redaktə et]

İnformasiya təhlükəsizliyinin müxtəlif aspektlərinə cavabdeh olan vəzifəli şəxslərin müəyyənləşdirilməsi, sistemin səmərəli fəaliyyəti üçün mühüm ilkin addımdır.[3]

İTİS-in effektiv fəaliyyətini təmin etmək üçün davamlı dövri proses tətbiq olunur. Bu proses aşağıdakı mərhələləri əhatə edir:[4]

  1. Hazırlıq (planlaşdırma): sistemin məqsədlərinin, resurslarının və təhlükəsizlik tələblərinin müəyyən edilməsi;
  2. Tətbiq (planın icrası): nəzərdə tutulan təhlükəsizlik tədbirlərinin həyata keçirilməsi;
  3. Yoxlama (monitorinq və analiz): görülən tədbirlərin səmərəliliyinin və funksionallığının qiymətləndirilməsi;
  4. Təkmilləşdirmə: aşkar edilmiş nöqsanların aradan qaldırılması və sistemin optimallaşdırılması.

Beləliklə, İTİS-in məqsədi yalnız məlumatların mühafizəsini təmin etmək deyil, həm də təşkilat daxilində təhlükəsizlik mədəniyyətini və davamlı inkişaf prosesini formalaşdırmaqdır.[4]

İstinadlar

[redaktə | vikimətni redaktə et]
  1. Terroza, A.K.S. "Information Security Management System (ISMS) Overview" (PDF). The Institute of Internal Auditors. 12 may 2015. 7 avqust 2016 tarixində arxivləşdirilib (PDF). İstifadə tarixi: 16 iyun 2018.
  2. "Need: The Need for ISMS". Threat and Risk Management. European Union Agency for Network and Information Security. İstifadə tarixi: 16 iyun 2018.
  3. Alavi, R.; Islam, S.; Mouratidis, H. A Conceptual Framework to Analyze Human Factors of Information Security Management System (ISMS) in Organizations // Human Aspects of Information Security, Privacy, and Trust. Lecture Notes in Computer Science. 8533. 2014. 297–305. doi:10.1007/978-3-319-07620-1_26. ISBN 978-3-319-07619-5.
  4. 1 2 Ciekanowski, Marek; Zurawski, Slawomir; Ciekanowski, Zbigniew; Pauliuchuk, Yury; Czech, Artur. "Chief Information Security Officer: A Vital Component of Organizational Information Security Management". European Research Studies Journal. XXVII (2). 1 aprel 2024: 35–46. doi:10.35808/ersj/3370. ISSN 1108-2976.

Xarici keçidlər

[redaktə | vikimətni redaktə et]
Mənbə — "https://az.wikipedia.org/w/index.php?title=İnformasiya_Təhlükəsizliyi_İdarəetmə_Sistemi&oldid=8357515"