نظام إدارة أمن المعلوماتISMS هو مجموعة من السياسات المعنية بإدارة أمن المعلومات أو أنها ذات صلة بالمخاطر المتعلقة بالمعلومات.[1]
المبدأ الذي يحكم نظام إدارة امن المعلومات هو أن المنظمة ينبغي عليها تصميم وتنفيذ والحفاظ على مجموعة مترابطة من السياسات والعمليات ونظم إدارة المخاطر لأصولها في مجال المعلومات الخاصة بها، وبالتالي ضمان مستويات مقبولة من مخاطر أمن المعلومات.
وصف نظام إدارة أمن المعلومات
كما هو الحال مع جميع العمليات الإدارية، يجب على نظام إدارة أمن المعلومات ان تظل فعالة وتتسم بالكفاءة على المدى الطويل، والتكيف مع التغيرات في البيئة الخارجية وتنظيمها الداخلي. ولذلك أدرجت مواصفة (ISO / IEC 27001:2005) دورة "Plan-Do-Check-Act" أو خطط نفذ تحقق صحح، أو (خطط - إعمل - دقق - نفذ).
الحاجة لنظام إدارة امن المعلومات
يقول خبراء الأمن، وتؤكد ذلك الإحصائيات، أن مسؤولي أمن تكنولوجيا المعلومات يجب أن يتوقعوا تخصيص ما يقرب من ثلث وقتهم لمعالجة الجوانب التقنية. وينبغي أن يقضوا ثلثي الوقت المتبقي في تطوير سياسات وإجراءات، وأداء الأمن.
عوامل نجاح نظام إدارة أمن المعلومات
لكي تكون نظام إدارة أمن المعلومات فعالة، يجب توافر ما يأتي:
الدعم المستمر والتزام الإدارة العليا المنظمة، الثابت والواضح.
الإدارة المركزية، استنادا إلى إستراتيجية وسياسة مشتركة عبر المؤسسة بأكملها.
أن يكون جزءا من الإدارة العامة للمنظمة ومتصلة بها ويعكس النهج الذي تتبعه المنظمة لإدارة المخاطر، وأهداف الرقابة والضوابط ودرجة الضمان المطلوبة.
أن تستند لها انشطة وأهداف أمنية ومتطلبات وأهداف الأعمال ومتطلبات الأمن وبرئاسة إدارة الأعمال.
الاضطلاع بالمهام الضرورية فقط وتجنب الإفراط في السيطرة وإهدار الموارد القيمة.
الانسجام التام مع فلسفة وعقلية المنظمة بتوفير نظام بدلا من منع الأفراد من القيام بما يعملون به، وسوف تمكنهم من القيام بذلك في الرقابة والمساءلة على إثبات الوفاء بها.
أن يستند إلى التدريب المستمر والتوعية للموظفين وتفادي اللجوء إلى التدابير التأديبية و «البوليسية» أو الممارسات «العسكرية».