با توجه به نقش اطلاعات به عنوان كالاي با ارزش در تجارت امروز، لزوم حفاظت از آن ضروري بنظر مي‌رسد. براي دستيابي به اين هدف هر سازمان بسته به سطح اطلاعات (از نظر ارزش اقتصادي يا امنيتي آن) نيازمند به طراحي سيستم مديريت امنيت اطلاعات است تا از اين طريق بتواند از سرمايه هاي اطلاعاتي خود حفاظت نمايد. بالطبع، سازمانهاي دولتي نيز نه تنها از اين قاعده مستثني نيستند، بلكه بيش از ساير سازمانها، نيازمند توجه به مقوله امنيت اطلاعات هستند.در سازمانهاي نظامي، اهميت حفاظت از منابع اطلاعاتي بيش از بنگاه هاي اقتصادي مي باشد. در اين سازمانها، اطلاعاتي وجود دارد كه از جنبه هاي سياسي و استراتژيك، داراي اهميت فوق العاده و بعضاً حياتي هستند و از اينرو، از بعد مالي و اقتصادي شايد نتوان ارزشي براي آنها متصور شد. بديهي است كه انتشار يا سوء استفاده از چنين اطلاعاتي، نه تنها از نظر اقتصادي زيان بار خواهد بود، بلكه تبعات منفي سياسي، اجتماعي و نظامي بسيار وسيعي براي كل كشور بهمراه خواهد داشت.با گسترش شبكه هاي كامپيوتري و مجهز شدن سازمانها به اينگونه شبكه‌ها، محافظت مناسب از امنيت اطلاعات موجود در شبكه ها بسيار مهم مي باشد. براي اين منظور لازم است هر سازمان بر اساس يك متدولوژي مشخص، ضمن تهيه طرح ها و برنامه هاي امنيتي مورد نياز، تشکيلات لازم جهت ايجاد و تداوم امنيت اطلاعات خود را نيز ايجاد نمايد.يکي از مهمترين استانداردهاي موجود، استاندارد مديريتي ISO/IEC 17799 مي باشد. اين استاندارد در حال حاضر بصورت فراگير در سرتاسر جهان مورد استفاده قرار مي گيرد و بسياري از سازمانهاي معتبر تلاش مي کنند که ضمن پياده سازي اين استاندارد، از مراکز صدور گواهي، تأئيديه مبتني بر اجراي موفقيت آميز آنرا نيز کسب نمايند.مطابق اين استاندارد، امنيت يک فرآيند يکباره نيست، بلکه يک فرآيند مداوم است که بايستي دائما تکرار گردد. چرخه امن سازي يا استقرار سيستم مديريت امنيت اطلاعات (ISMS)، شامل چهار مرحله Plan-Do-Check-Act (PDCA) بوده و بر اساس استانداردهاي مطرح اين حوزه مطابق شکل زير است.با توجه به ابعاد مختلف مقوله امنيت، در اين چرخه سعي مي گردد از همه ابعاد، اين مقوله بررسی گرديده و پيشنهادات و راهکارهاي امنيتي مرتبط در طرح جامع امنيت اطلاعات ارائه و در فاز بعد، پياده سازي گردد. خروجي فاز اول استقرار سيستم مديريت امنيت اطلاعات يعني فاز طراحي (Plan)، طرح جامع امنيت اطلاعات مي باشد. اين طرح، پس از تهيه، بررسی و تحليل شده و به تاييد بخشهاي مرتبط در صنعت خواهد رسيد. سپس در فاز دوم استقرار سيستم مديريت امنيت اطلاعات يعني فاز اجرا (Do) طرح آماده شده اجرا خواهد گرديد. لازم به ذکر است براي تکميل اين چرخه و استمرار آن لازم است پس از اتمام فاز دوم،کليه موارد و راهکارهايي از طرح جامع امنيت اطلاعات که مربوط به فازهاي بررسي(Check)و عمل (Act)مي باشد، کاملا و با دقت توسط صنعت بکار گرفته شده و استمرار داشته باشند. بديهي است ساز وکارهاي لازم براي انجام اين دو فاز (فازهاي سوم و چهارم چرخه استقرار سيستم مديريت امنيت اطلاعات) اعم از تجهيزات، اسناد، تشکيلات و ساير نيازمنديهاي لازم، در طرح جامع امنيت اطلاعات (خروجي فاز اول) ديده شده و از سويي اين شرکت در زمان پياده سازي اجراي فاز دوم، مشاوره لازم براي استمرار اين چرخه در آينده توسط سازمان را نيز ارائه خواهد نمود.
بطور کلي استقرار سيستم مديريت امنيت اطلاعات در 2 فاز اصلي صورت خواهد پذيرفت:
فاز اول: طراحي، که منجر به تهيه طرح جامع امنيت اطلاعات مي گردد
فاز دوم: اجرا، که منجر به پياده سازي طرح جامع امنيت اطلاعات مي گردد
از آنجا که موضوع قرارداد في مابين در خصوص فاز اول (تهيه طرح جامع امنيت اطلاعات) مي باشد، در ادامه، فعاليتهاي انجام شده در اين فاز تشريح مي گردد.
 

فهرست:
1مقدمه   
مراحل اجراي فاز اول: طراحي   
2-1مقدمه   
2-2مرحله اول: شناخت سازمان   
2-3مرحله دوم: شناخت آسيب پذيريها   
2-4مرحله سوم: تحليل ريسک   
2-5مرحله چهارم: ارائه مکانيزمهاي کنترلي   
2-6مرحله پنجم: تهيه طرح جامع امنيت اطلاعات   
2-6-1پيشنهاد تدوين سند سياست امنيت اطلاعات   
2-6-2پيشنهاد تشكيلات امنيت فناوري اطلاعات   
2-6-3طرح جامع امنيت شبکه   
برنامه آگاهي رساني، تربيت نيروي انساني و آموزش امنيت شبكه   
2-6-5طرح مقابله با حوادث امنيت اطلاعات و CERT   
2-6-6امنيت فيزيکي و محيطي   
2-7جمع بندي   
3زمانبندي   
فهرست شكل‌ها و جداول
شکل1: مدل PDCA بکار گرفته شده مطابق فرآيندهاي ISMS
جدول1: ساختار تدوين دوره هاي آموزشي مورد نياز در زمينه امنيت   
جدول 2: جمع بندي کليه خدمات مورد نياز بمنظور پياده سازي طرح جامع امنيت اطلاعات (انجام فاز DO)   
جدول 3: زمانبندي اجراي فاز طراحي (PLAN) فرآيند پياده سازي سيستم مديريت امنيت اطلاعات (ISMS )