راه اندازی سیستم مدیریت امنیت اطلاعات یک فرایند بسیار دشوار است. با این وجود ، نتیجه بسیار مهمی برای آن سازمان است که استانداردهایی برای اطمینان از امنیت اطلاعات و چگونگی محافظت بهتر از اطلاعات تعیین می شود.
سیستم مدیریت امنیت اطلاعات مسیری که هر موسسه در هنگام تأسیس دنبال می کند تقریباً یکسان است.
محدوده مطالعات امنیت اطلاعات
اولین کاری که باید انجام دهیم تعیین محدوده و محدودیت مطالعه است. یک سیستم را می توان برای یک سازمان کل یا یک بخش خاص تنظیم کرد. در هر صورت محدودیت مطالعه باید کامل و درست باشد. محدوده باید با تصمیم مدیریت عالی و اهداف امنیت اطلاعات سازمان مشخص شود.
سیاست امنیتی اطلاعات
این سیاست توسط مدیریت ارشد تعیین می شود و اهداف مطالعه را تعیین می کند و خطرات مورد ارزیابی و معیارهای مدیریت ریسک را تعیین می کند. مدیریت بالا باید همیشه در پشت سیاست امنیت اطلاعات قرار بگیرد.
روش ارزیابی خطر
یک روش ارزیابی خطر باید مطابق با سیاست امنیتی اطلاعات شناسایی شود. بر این اساس، سطح ریسک قابل قبول باید شناسایی شود و معیارها باید تعیین شود. اطالعاتی که باید با ایجاد یک نقشه ریسک محافظت شوند باید با توجه به میزان تاثیر و احتمال وقوع خطر مشخص شود.
شناسایی خطرات
خطراتی که وجود اطلاعات را تهدید می کنند باید با استفاده از روش ارزیابی ریسک تعیین شود. در این مطالعه، موجودی دارایی های اطلاعاتی تهیه خواهد شد. دارایی های اطلاعاتی که باید در سیستم مدیریت امنیت اطلاعات گنجانده شوند براساس نوع و شدت آنها فهرست می شود. ظهور اطلاعات محرمانه می تواند به سازمان آسیب بزرگی وارد کند، اما ایجاد یکسانی اطلاعات غیر قابل استفاده می تواند کمتر آسیب برساند.
ارزیابی خطرات
در این مرحله اقدامات لازم برای تعیین خطرات صورت می گیرد. با کنترل مناسب می توان خطر را از بین برد و یا به میزان قابل قبول کاهش داد. یا، عوامل خطرساز حذف می شوند و خطر اجتناب می شود.
تصویب مدیریت ارشد
پس از اتمام مطالعه مدیریت ریسک، لازم است که از مدير ارشد برای تصویب آن تصويب شود.
اگر یک خطر را نمی توان به طور کامل از بین برد ، بسته به تصمیم مدیریت ارشد ، این یک خطر قابل قبول است.
ایزو 27001 سیستم مدیریت امنیت اطلاعاتبرای خدمات مشاوره ای ، سازمان هایی که می خواهند صاحب مجوز صدور گواهینامه TURCERT شوند می توانند از مدیران و کارمندان باتجربه بدن صدور گواهینامه TURCERT درخواست دهند.