امروزه نقش اطلاعات در سازمانها به عنوان يکي از حياتي ترين سرمايه ها به وضوح به چشم مي آيد. گسترش شبکه های اطلاعاتی و ديگر فناوريهای پردازش و انتقال اطلاعات، از يک سو به پيشرفت سازمانها و رفاه مشتريان کمک کرده و از سويي ديگر تهديدهای جديدی را متوجه کسب و کار سازمانها نموده است. صرفنظر از اينکه در مورد چه اطلاعاتی صحبت می کنيم (رکوردهای محرمانه مشتريان، مستندات سازمانی و ...) ، حفاظت از اطلاعات به منظور استمرار کسب و کار، بازگشت سرمايه و ايجاد فرصتهای تجاری برای سازمانها بسيار حائز اهميت است . به همين خاطر امنيت اطلاعات به بحث روز سازمانها در تمام دنيا و نيز کشور ما تبديل شده است.

اما يکی از موانع بزرگ دستيابی به امنيت پايدار، عدم توجه مناسب مديران سازمان به امنيت اطلاعات است، به طوری که در بسياری از سازمانها به امنيت به عنوان يک سربار نگاه می کنند، نه يک سرمايه گذاری سود آور . حمايت، مسؤليت پذيری و سرمايه گذاری مادی و معنوی مديريت سازمان، از مهمترين شروط موفقيت است.

نگاه صرفاً فنی به مقوله امنيت اطلاعات از ديگر معضلات موجود است. متاسفانه اغلب مديران معتقدند که تمام آنچه که به عنوان راه حل امنيتی مورد نياز است، فناوريست ، در حالی که بسياری از سازمانها علیرغم صرف هزينه های گزاف جهت خريد تجهيزات، نرم افزارها و ديگر فناوريهای نوين، نتوانسته اند به سطح مطلوب امنيت اطلاعات دست پيدا کنند.

نکته مهم اينجاست که امنيت حاصله از به کارگيری فناوريهای امنيتی، نيازمند پشتيبانی خط مشيها، روالها و سازوکارهای مديريتی است و از اين رو استقرار يک سيستم مديريت امنيت اطلاعات در سازمان به منظور اطمينان از به کارگيری کنترلهای امنيتی متناسب، ضروری و حياتی است . سيستم مديريت امنيت اطلاعات يا ISMS شامل انواع خط مشی ها، روالها و فرآيندهای فنی و اجرايي است که در اين مقاله به اجمال معرفی خواهد شد.

منبع : داده‌پردازان دوران