استفاده گسترده سازمانهای قرن بیست و یکم از فناوری اطلاعات منجر به تحولات عظیمی در ساختار کسب و کار آنها شده است. اما فناوری اطلاعات نیز همانند سایر تکنولوژیها، ظرافتها و نکات خاصی را به همراه دارد، که عدم توجه به آنها، استفاده بهینه از این فناوری را تحت تاثیر قرار داده و حتی ممکن است سازمان را با تهدید یا چالشهایی روبرو سازد. امروزه یکی از مهمترین ابعاد فناوری اطلاعات، امنیت آن میباشد. آمار روزافزون هکشدن و نفوذ به وبسایتها، افشای اطلاعات محرمانه، انتشار ویروسها و کرمهای رایانهای، جاسوسی و خرابکاری رایانه ای، جعل هویت و دسترسی غیرمجاز و بسیاری از تهدیدات دیگر، هشداری برای توجه سازمانها به این مقوله است. عدم پرداختن به امنیت اطلاعات ممکن است تبعاتی برای کسب و کار داشته باشد که جبران آن ماهها و سالها به طول بینجامد. یکی از مسائلی که میتواند حیات و برتری سازمانها را در محیط پر ریسک و رقابتی حفظ کند، توانایی امنیتی این سازمانها در مقابله با تهدیدات فضای مجازی میباشد.
به همین منظور و در راستای تاکید نهادهای متولی امر در کشور” سیستم مدیریت امنیت اطلاعات ” (ISMS) تحت استانداردهای موسسه بین المللی استاندارد (ISO ) گامیست مفید در جهت نیل به اهداف فوق . استاندارد فوق برای موسسات و ارگان هایی که به نحوی درگیر با ایجاد ، ذخیره سازی، استفاده ، پردازش یا انتقال اطلاعات هستند در جهت بهینه سازی و ایجاد یک سیستم مدیریت امنیت اطلاعات کارآمدتهیه شده است . استاندارد انگلیسی BS7799 در زمینه سیستم مدیریت امنیت اطلاعات (ISMS) در سال ۱۹۹۵ معرفی و در سال ۲۰۰۰ میلادی موسسه بین المللی استاندارد (ISO)، بخش اول آنرا تحت عنوان استانداردISO/IEC17799 ارائه کرد. این موسسه در سال ۲۰۰۵، نسخه جدید این استاندارد تحت عنوان ISO/IEC27001 را ارائه نمود.
ISO/IEC 27001 منابع و دادههای هر سازمان را به عنوان سرمایههای آن سازمان در نظر می گیرد. هدف سیستم مدیریت امنیت اطلاعات حفاظت از این سرمایههاست تا با این کار بتوان استمرار کسب و کار را تضمین نمود، آسیب پذیری آن را به حداقل رسانیده، بازگشت سرمایه را به بالا ترین مرز ممکن خود نزدیک کرد. طبق تعریف ISO/IEC 27001، امنیت اطلاعات به منظور تضمین سه اصل زیر مورد نیاز میباشد:
- محرمانگی: اطمینان از اینکه منابع فقط برای افراد مجاز سازمان دردسترس میباشند.
- یکپارچگی: تامین دقت لازم و کامل بودن منابع و دادهها و روش های پرداز ش آنها
- دسترس پذیری: اطمینان از این که افراد مجاز در تمامی زمانهای تعیین شده،به منابع و دادهها و سرمایههای موجود دسترسی داشته باشند.