(ISMS (Information Secure Management Systemیا سیستم مدیریت امنیت اطلاعاتاولین بار طی مراحل تحریر وتوسعه استاندارد بریتانیایی 7799 در سالهای انتهایی دهه 1980 میلادی مورد بحث و توجه قرار گرفت. آخرین تعریف «سیستم مدیریت امنیت اطلاعات» از نظر استاندارد بین المللی آن عبارت است از :
«سیستم مدیریت امنیت اطلاعات بخشی از سیستم مدیریت کلی و سراسری در یک سازمان است که برپایه رویکرد مخاطرات کسب و کار (Business Risk Approach) قرارداشته و هدف آن، پایه گذاری، پیاده سازی ، بهره برداری، نظارت، بازبینی، نگهداری و بهبود امنیت اطلاعات است.»
«سیستم مدیریت امنیت اطلاعات» برای حصول اطمینان از کفایت و تناسب کنترلهای امنیتی محافظ داراییهای اطلاعاتی طراحی شدهاست تا به این وسیله به مشتریان و دیگر گروههای ذینفع درباره امنیت اطلاعات موجود در سازمان اطمینان خاطردادهشود.
با ارائه اولین استاندارد مدیریت امنیت اطلاعات در سال1995، نگرش سیستماتیک به مقولهایمن سازی فضای تبادل اطلاعات شکل گرفت.بر اساس این نگرش، تامین امنیت فضای تبادلاطلاعات سازمانها، دفعتا مقدور نمی باشد و لازم است این امر بصورت مداوم در یک چرخهایمن سازی شامل مراحل طراحی، پیاده سازی، ارزیابی و اصلاح، انجام گیرد.برای این منظور لازماست هر سازمان بر اساس یک متدولوژی مشخص، اقدامات زیر را انجام دهد:
-1 تهیه طرح ها و برنامه های امنیتی موردنیاز سازمان
-2 ایجاد تشکیلات موردنیاز جهت ایجاد و تداوم امنیت فضای تبادل اطلاعات سازمان
-3 اجرای طرح ها و برنامه های امنیتی سازمان
برای امنیت اطلاعات سه اصل مهم را باید در نظر گرفت که عبارتند از:
محرمانگی :اطمینان از اینکه اطلاعات فقط در دسترس افراد مجاز قرار دارد
صحت :تامین صحت ، دقت و کامل بودن اطلاعات و روشهای پردازش آنها
دسترس پذیری: اطمینان از اینکه کاربران مجاز در صورت نیاز به اطلاعات و دارائیهای مربوطه به آنها دسترسی دارند .
,
