सूचना सुरक्षा प्रबंधन

सूचना सुरक्षा प्रबंधन (ISM) उन नियंत्रणों को परिभाषित और प्रबंधित करता है जिन्हें किसी संगठन को यह सुनिश्चित करने के लिए लागू करने की आवश्यकता होती है कि यह खतरे और भेद्यता से संपत्ति की गोपनीयता, उपलब्धता और अखंडता की समझदारी से रक्षा कर रहा है। आईएसएम के मूल में सूचना संकट प्रबंधन सम्मिलित है, एक ऐसी प्रक्रिया जिसमें संकट का आकलन सम्मिलित है, जिसे एक संगठन को संपत्ति के प्रबंधन और सुरक्षा के साथ-साथ सभी उपयुक्त हितधारकों के लिए संकटों का प्रसार करना चाहिए। इसके लिए उचित संपत्ति की पहचान और मूल्यांकन के कदमों की आवश्यकता होती है, जिसमें गोपनीयता, अखंडता, उपलब्धता और संपत्ति के प्रतिस्थापन के मूल्य का मूल्यांकन सम्मिलित है। सूचना सुरक्षा प्रबंधन के भाग के रूप में, एक संगठन सूचना सुरक्षा पर आईएसओ/आईईसी 27001, आईएसओ/आईईसी 27002, और आईएसओ/आईईसी 27035 मानकों में पाए जाने वाले सूचना सुरक्षा प्रबंधन प्रणाली और अन्य सर्वोत्तम प्रणाली को लागू कर सकता है।

संकट प्रबंधन और शमन
संक्षेप में सूचना सुरक्षा का प्रबंधन करने का मतलब संपत्ति के लिए विभिन्न खतरों और कमजोरियों को प्रबंधित करना और कम करना है, साथ ही एक ही समय में संभावित खतरों और कमजोरियों पर खर्च किए गए प्रबंधन प्रयासों को वास्तव में होने की संभावना को मापकर संतुलित करना है। उदाहरण के लिए, सर्वर कक्ष में एक उल्कापिंड का दुर्घटनाग्रस्त होना निश्चित रूप से एक खतरा है, लेकिन एक सूचना सुरक्षा अधिकारी इस तरह के खतरे की तैयारी में बहुत कम प्रयास करेगा। जिस तरह लोगों को सिर्फ एक वैश्विक बीज बैंक के अस्तित्व के कारण दुनिया के अंत की तैयारी प्रारम्भ नहीं करनी है।

उचित संपत्ति की पहचान और मूल्यांकन होने के बाद, संकट प्रबंधन और उन संपत्तियों के संकट को कम करने में निम्नलिखित विषयों का विश्लेषण सम्मिलित है:
 * ख़तरा: अवांछित घटनाएँ जो सूचना संपत्तियों के जानबूझकर या आकस्मिक नुकसान, क्षति, या दुरुपयोग का कारण बन सकती हैं
 * भेद्यताएँ: एक या अधिक खतरों द्वारा शोषण के लिए संवेदनशील सूचना संपत्ति और संबंधित नियंत्रण कितने संवेदनशील हैं
 * प्रभाव और संभावना: खतरों और भेद्यताओं से सूचना संपत्ति को संभावित नुकसान की भयावहता और वे संपत्ति के लिए कितना गंभीर संकट पैदा करते हैं; लागत-लाभ विश्लेषण भी प्रभाव मूल्यांकन का भाग हो सकता है या इससे अलग हो सकता है
 * भेद्यता प्रबंधन: संभावित खतरों और कमजोरियों के प्रभाव और संभावना को कम करने के लिए प्रस्तावित विधि(याँ)।

एक बार एक खतरे और/या भेद्यता की पहचान कर ली गई है और सूचना संपत्तियों पर पर्याप्त प्रभाव/संभावना के रूप में मूल्यांकन किया गया है, तो एक शमन योजना को अधिनियमित किया जा सकता है। न्यूनीकरण विधि का चयन काफी हद तक इस बात पर निर्भर करता है कि सात सूचना प्रौद्योगिकी (आईटी) डोमेन में से कौन सा खतरा और/या भेद्यता निहित है। सुरक्षा नीतियों (उपयोगकर्ता डोमेन) के प्रति उपयोगकर्ता की उदासीनता के खतरे को एक से बहुत अलग शमन योजना की आवश्यकता होगी। एक नेटवर्क (लैन-टू-वैन डोमेन) की अनधिकृत जांच और स्कैनिंग के खतरे को सीमित करने के लिए उपयोग किया जाता है।

सूचना सुरक्षा प्रबंधन प्रणाली
एक सूचना सुरक्षा प्रबंधन प्रणाली (आईएसएमएस) एक संगठन के सभी परस्पर संबंधित / अंतःक्रियात्मक सूचना सुरक्षा तत्वों के संयोजन का प्रतिनिधित्व करती है ताकि संगठन की समग्र जानकारी सुरक्षा के बेहतर दायित्व के लिए नीतियों, प्रक्रियाओं और उद्देश्यों को बनाया, कार्यान्वित, संचार और मूल्यांकन किया जा सके। यह प्रणाली प्रायः एक संगठन की जरूरतों, उद्देश्यों, सुरक्षा आवश्यकताओं, आकार और प्रक्रियाओं से प्रभावित होती है। एक आईएसएमएस में संकट प्रबंधन और न्यूनीकरण रणनीतियों को सम्मिलित किया जाता है और यह अपना योगदान देता है। इसके अतिरिक्त, किसी संगठन द्वारा आईएसएमएस को अपनाने से संकेत मिलता है "कि यह सूचना सुरक्षा संकटों की व्यवस्थित रूप से पहचान, मूल्यांकन और प्रबंधन कर रहा है और सूचना की गोपनीयता, अखंडता और उपलब्धता आवश्यकताओं को सफलतापूर्वक संबोधित करने में सक्षम होगा।" हालाँकि, आईएसएमएस विकास, कार्यान्वयन और अभ्यास से जुड़े मानवीय कारक (उपयोगकर्ता डोमेन ) आईएसएमएस की अंतिम सफलता सुनिश्चित करने के लिए भी विचार किया जाना चाहिए।

कार्यान्वयन और शिक्षा रणनीति घटक
एक प्रभावी सूचना सुरक्षा प्रबंधन (संकट प्रबंधन और शमन सहित) को लागू करने के लिए एक प्रबंधन रणनीति की आवश्यकता होती है जो निम्नलिखित पर ध्यान देती है:
 * ऊपरी स्तर के प्रबंधन को सूचना सुरक्षा पहलों का दृढ़ता से समर्थन करना चाहिए, सूचना सुरक्षा अधिकारियों को "पूरी तरह कार्यात्मक और प्रभावी शिक्षा कार्यक्रम के लिए आवश्यक संसाधनों को प्राप्त करने के लिए" और, विस्तार से, सूचना सुरक्षा प्रबंधन प्रणाली का अवसर प्रदान करना चाहिए।
 * सूचना सुरक्षा रणनीति और प्रशिक्षण को एकीकृत किया जाना चाहिए और विभागीय रणनीतियों के माध्यम से संचार किया जाना चाहिए ताकि यह सुनिश्चित किया जा सके कि सभी कर्मचारी संगठन की सूचना सुरक्षा योजना से सकारात्मक रूप से प्रभावित हैं।
 * एक सूचना गोपनीयता प्रशिक्षण और जागरूकता "संकट मूल्यांकन" एक संगठन को हितधारकों के ज्ञान और सुरक्षा के प्रति दृष्टिकोण में महत्वपूर्ण अंतराल की पहचान करने में सहायता कर सकता है।
 * "प्रशिक्षण और जागरूकता कार्यक्रम की समग्र प्रभावशीलता को मापने" के लिए उचित मूल्यांकन पद्धतियां सुनिश्चित करती हैं कि नीतियां, प्रक्रियाएं और प्रशिक्षण सामग्री प्रासंगिक बनी रहे।
 * ऐसी नीतियां और प्रक्रियाएं जो उचित रूप से विकसित, कार्यान्वित, संप्रेषित और लागू की गई हैं, "संकट को कम करती हैं और न केवल संकट में कमी सुनिश्चित करती हैं, बल्कि लागू नियमों, विनियमों, मानकों और नीतियों का निरंतर अनुपालन भी सुनिश्चित करती हैं।"
 * सूचना सुरक्षा प्रबंधन के सभी पहलुओं के लिए उपलब्धियां और समयरेखा भविष्य की सफलता सुनिश्चित करने में सहायक हैं।

उपरोक्त सभी के लिए पर्याप्त बजटीय विचारों के बिना-मानक नियामक, आईटी, गोपनीयता और सुरक्षा विषयों को आवंटित धन के अतिरिक्त-एक सूचना सुरक्षा प्रबंधन योजना/प्रणाली पूरी तरह से सफल नहीं हो सकती है।

प्रासंगिक मानक
खतरों और कमजोरियों को कम करने के लिए उपयुक्त कार्यक्रमों और नियंत्रणों को लागू करने में संगठनों की सहायता के लिए उपलब्ध मानकों में आईएसओ/आईईसी 27000 मानकों का परिवार, आईटीआईएल फ्रेमवर्क, सीओबीआईटी फ्रेमवर्क और ओ-आईएसएम3 2.0 सम्मिलित हैं। आईएसओ/आईईसी 27000 परिवार सूचना सुरक्षा प्रबंधन और आईएसएमएस को नियंत्रित करने वाले कुछ सबसे प्रसिद्ध मानकों का प्रतिनिधित्व करता है और वैश्विक विशेषज्ञ विचार पर आधारित है। वे "सूचना सुरक्षा प्रबंधन प्रणालियों की सर्वोत्तम स्थापना, कार्यान्वयन, नियोजन, निगरानी, ​​समीक्षा, रखरखाव, अद्यतन और सुधार" के लिए आवश्यकताओं को निर्धारित करते हैं। आईटीआईएल सूचना प्रौद्योगिकी के बुनियादी ढांचे, सेवा और सुरक्षा के प्रभावी प्रबंधन के लिए अवधारणाओं, नीतियों और सर्वोत्तम प्रथाओं के संग्रह के रूप में कार्य करता है, जो आईएसओ/आईईसी 27001 से कुछ ही तरीकों से भिन्न है। आई एस ए सी ए द्वारा विकसित सीओबीआईटी, सूचना सुरक्षा कर्मियों को नकारात्मक प्रभावों को कम करने और सूचना सुरक्षा और संकट प्रबंधन को नियंत्रित करते हुए सूचना प्रबंधन और शासन के लिए रणनीतियों को विकसित करने और लागू करने में सहायक एक ढांचा है,  और ओ-आईएसएम3 2.0 उद्यमों के लिए द ओपन ग्रुप का प्रौद्योगिकी-तटस्थ सूचना सुरक्षा मॉडल है।

यह भी देखें

 * प्रमाणित सूचना प्रणाली सुरक्षा व्यावसायिक
 * मुख्य सूचना सुरक्षा अधिकारी
 * सुरक्षा सूचना प्रबंधन

बाहरी संबंध

 * ISACA
 * The Open Group