सूचना सुरक्षा प्रबंधन

सूचना सुरक्षा प्रबंधन (ISM) उन नियंत्रणों को परिभाषित और प्रबंधित करता है जिन्हें किसी संगठन को यह सुनिश्चित करने के लिए लागू करने की आवश्यकता होती है कि यह खतरे (कंप्यूटर) और भेद्यता (कंप्यूटिंग) से संपत्ति की गोपनीयता, उपलब्धता और अखंडता की समझदारी से रक्षा कर रहा है। आईएसएम के मूल में आईटी जोखिम प्रबंधन शामिल है, एक ऐसी प्रक्रिया जिसमें जोखिम का आकलन शामिल है, जिसे एक संगठन को संपत्ति के प्रबंधन और सुरक्षा के साथ-साथ सभी उपयुक्त हितधारकों (कॉर्पोरेट) के लिए जोखिमों का प्रसार करना चाहिए। इसके लिए गोपनीयता, डेटा अखंडता, उपलब्धता (सिस्टम), और संपत्तियों के प्रतिस्थापन के मूल्य का मूल्यांकन करने सहित उचित परिसंपत्ति पहचान और मूल्यांकन कदमों की आवश्यकता होती है। सूचना सुरक्षा प्रबंधन के भाग के रूप में, एक संगठन सूचना सुरक्षा पर आईएसओ/आईईसी 27001, आईएसओ/आईईसी 27002, और आईएसओ/आईईसी 27035 मानकों में पाए जाने वाले सूचना सुरक्षा प्रबंधन प्रणाली और अन्य सर्वोत्तम प्रथाओं को लागू कर सकता है।

जोखिम प्रबंधन और शमन
संक्षेप में सूचना सुरक्षा का प्रबंधन करने का मतलब संपत्ति के लिए विभिन्न खतरों और कमजोरियों को प्रबंधित करना और कम करना है, जबकि एक ही समय में संभावित खतरों और कमजोरियों पर खर्च किए गए प्रबंधन प्रयासों को वास्तव में होने की संभावना को मापकर संतुलित करना है। उदाहरण के लिए,  सर्वर कक्ष  में एक उल्कापिंड का दुर्घटनाग्रस्त होना निश्चित रूप से एक खतरा है, लेकिन एक सूचना सुरक्षा अधिकारी इस तरह के खतरे की तैयारी में बहुत कम प्रयास करेगा। ठीक वैसे ही जैसे स्वालबार्ड ग्लोबल सीड वॉल्ट के अस्तित्व के कारण लोगों को दुनिया के अंत की तैयारी शुरू नहीं करनी है। उचित संपत्ति की पहचान और मूल्यांकन होने के बाद, जोखिम प्रबंधन और उन संपत्तियों के जोखिम को कम करने में निम्नलिखित मुद्दों का विश्लेषण शामिल है:
 * धमकी: अवांछित घटनाएँ जो सूचना संपत्तियों के जानबूझकर या आकस्मिक नुकसान, क्षति, या दुरुपयोग का कारण बन सकती हैं
 * भेद्यताएँ: एक या अधिक खतरों द्वारा शोषण के लिए संवेदनशील सूचना संपत्ति और संबंधित नियंत्रण कितने संवेदनशील हैं
 * प्रभाव मूल्यांकन और संभावना: खतरों और भेद्यताओं से सूचना संपत्ति को संभावित नुकसान की भयावहता और वे संपत्ति के लिए कितना गंभीर जोखिम पैदा करते हैं; लागत-लाभ विश्लेषण भी प्रभाव मूल्यांकन का हिस्सा हो सकता है या इससे अलग हो सकता है
 * भेद्यता प्रबंधन: संभावित खतरों और कमजोरियों के प्रभाव और संभावना को कम करने के लिए प्रस्तावित विधि (ओं)

एक बार एक खतरे और/या भेद्यता की पहचान कर ली गई है और सूचना संपत्तियों पर पर्याप्त प्रभाव/संभावना के रूप में मूल्यांकन किया गया है, तो एक शमन योजना को अधिनियमित किया जा सकता है। न्यूनीकरण विधि का चयन काफी हद तक इस बात पर निर्भर करता है कि सात सूचना प्रौद्योगिकी (आईटी) डोमेन में से कौन सा खतरा और/या भेद्यता मौजूद है। सुरक्षा नीतियों (उपयोगकर्ता डोमेन) के प्रति उपयोगकर्ता की उदासीनता के खतरे को एक से बहुत अलग शमन योजना की आवश्यकता होगी। एक नेटवर्क (लैन-टू-वैन डोमेन) की अनधिकृत जांच और पोर्ट स्कैनिंग के खतरे को सीमित करने के लिए उपयोग किया जाता है।

सूचना सुरक्षा प्रबंधन प्रणाली
एक सूचना सुरक्षा प्रबंधन प्रणाली (ISMS) एक संगठन के सभी परस्पर संबंधित / अंतःक्रियात्मक सूचना सुरक्षा तत्वों के संयोजन का प्रतिनिधित्व करती है ताकि संगठन की समग्र जानकारी की बेहतर गारंटी के लिए नीतियों, प्रक्रियाओं और उद्देश्यों को बनाया, कार्यान्वित, संचार और मूल्यांकन किया जा सके। सुरक्षा। यह प्रणाली आमतौर पर एक संगठन की जरूरतों, उद्देश्यों, सुरक्षा आवश्यकताओं, आकार और प्रक्रियाओं से प्रभावित होती है। एक आईएसएमएस में जोखिम प्रबंधन और न्यूनीकरण रणनीतियों को शामिल किया जाता है और उधार दिया जाता है। इसके अतिरिक्त, किसी संगठन द्वारा आईएसएमएस को अपनाने से संकेत मिलता है कि यह सूचना सुरक्षा जोखिमों की व्यवस्थित रूप से पहचान, मूल्यांकन और प्रबंधन कर रहा है और सूचना की गोपनीयता, अखंडता और उपलब्धता आवश्यकताओं को सफलतापूर्वक संबोधित करने में सक्षम होगा। हालाँकि, ISMS विकास, कार्यान्वयन और अभ्यास से जुड़े मानवीय कारक (उपयोगकर्ता डोमेन ISMS की अंतिम सफलता सुनिश्चित करने के लिए भी विचार किया जाना चाहिए।

कार्यान्वयन और शिक्षा रणनीति घटक
एक प्रभावी सूचना सुरक्षा प्रबंधन (जोखिम प्रबंधन और शमन सहित) को लागू करने के लिए एक प्रबंधन रणनीति की आवश्यकता होती है जो निम्नलिखित पर ध्यान देती है:
 * ऊपरी स्तर के प्रबंधन को सूचना सुरक्षा पहलों का पुरजोर समर्थन करना चाहिए, सूचना सुरक्षा अधिकारियों को पूरी तरह कार्यात्मक और प्रभावी शिक्षा कार्यक्रम और, विस्तार से, सूचना सुरक्षा प्रबंधन प्रणाली के लिए आवश्यक संसाधनों को प्राप्त करने का अवसर प्रदान करना चाहिए।
 * सूचना सुरक्षा रणनीति और प्रशिक्षण को एकीकृत किया जाना चाहिए और विभागीय रणनीतियों के माध्यम से संचार किया जाना चाहिए ताकि यह सुनिश्चित किया जा सके कि सभी कर्मचारी संगठन की सूचना सुरक्षा योजना से सकारात्मक रूप से प्रभावित हैं।
 * एक सूचना गोपनीयता प्रशिक्षण और जागरूकता जोखिम मूल्यांकन एक संगठन को हितधारकों के ज्ञान और सुरक्षा के प्रति दृष्टिकोण में महत्वपूर्ण अंतराल की पहचान करने में मदद कर सकता है।
 * प्रशिक्षण और जागरूकता कार्यक्रम की समग्र प्रभावशीलता को मापने के लिए उचित मूल्यांकन पद्धतियां सुनिश्चित करती हैं कि नीतियां, प्रक्रियाएं और प्रशिक्षण सामग्री प्रासंगिक बनी रहे।
 * ऐसी नीतियां और प्रक्रियाएं जो उचित रूप से विकसित, कार्यान्वित, संप्रेषित और लागू की गई हैं, जोखिम को कम करती हैं और न केवल जोखिम में कमी सुनिश्चित करती हैं, बल्कि लागू कानूनों, विनियमों, मानकों और नीतियों का निरंतर अनुपालन भी सुनिश्चित करती हैं।
 * मील का पत्थर (परियोजना प्रबंधन) और सूचना सुरक्षा प्रबंधन के सभी पहलुओं के लिए समय-सीमा भविष्य की सफलता सुनिश्चित करने में मदद करती है।

उपरोक्त सभी के लिए पर्याप्त बजटीय विचारों के बिना-मानक नियामक, आईटी, गोपनीयता और सुरक्षा मुद्दों को आवंटित धन के अतिरिक्त-एक सूचना सुरक्षा प्रबंधन योजना/प्रणाली पूरी तरह से सफल नहीं हो सकती है।

प्रासंगिक मानक
खतरों और कमजोरियों को कम करने के लिए उपयुक्त कार्यक्रमों और नियंत्रणों को लागू करने में संगठनों की सहायता के लिए उपलब्ध मानकों में ISO/IEC 27000 मानकों का परिवार, ITIL, COBIT और ओपन इंफॉर्मेशन सिक्योरिटी मैच्योरिटी मॉडल|O-ISM3 2.0 शामिल हैं। ISO/IEC 27000 परिवार सूचना सुरक्षा प्रबंधन और ISMS को नियंत्रित करने वाले कुछ सबसे प्रसिद्ध मानकों का प्रतिनिधित्व करता है और वैश्विक विशेषज्ञ राय पर आधारित है। वे सूचना सुरक्षा प्रबंधन प्रणालियों की सर्वोत्तम स्थापना, कार्यान्वयन, तैनाती, निगरानी, ​​समीक्षा, रखरखाव, अद्यतन और सुधार के लिए आवश्यकताओं को निर्धारित करते हैं। आईटीआईएल सूचना प्रौद्योगिकी के बुनियादी ढांचे, सेवा और सुरक्षा के प्रभावी प्रबंधन के लिए अवधारणाओं, नीतियों और सर्वोत्तम प्रथाओं के संग्रह के रूप में कार्य करता है, जो आईएसओ/आईईसी 27001 से कुछ ही तरीकों से भिन्न है। ISACA द्वारा विकसित COBIT, सूचना सुरक्षा कर्मियों को नकारात्मक प्रभावों को कम करने और सूचना सुरक्षा और जोखिम प्रबंधन को नियंत्रित करते हुए सूचना प्रबंधन और शासन के लिए रणनीतियों को विकसित करने और लागू करने में मदद करने के लिए एक ढांचा है।  और O-ISM3 2.0 उद्यम के द ओपन ग्रुप का प्रौद्योगिकी-तटस्थ सूचना सुरक्षा मॉडल है।

यह भी देखें

 * प्रमाणित सूचना प्रणाली सुरक्षा पेशेवर
 * मुख्य सूचना सुरक्षा अधिकारी
 * सुरक्षा सूचना प्रबंधन

बाहरी संबंध

 * ISACA
 * The Open Group