استاندارد ISF چیست؟
امروزه استاندارد ISF) Information Security Forum) به عنوان تجربهای معتبر برای امنیت اطلاعات شناخته شده است. این استاندارد مجموعهی تجربیات بیش از ۲۶۰ شرکت و سازمان بین المللی معتبر در زمینهی اطلاعات و بهسازی امنیت اطلاعات آنهاست.
در طول ۱۶ سال، ISF بیش از هفتاد و پنج میلیون دلار برای گردآوری اطلاعات موثق و درست برای اعضای خود هزینه کرده است. شاید کار این استاندارد نشان دادن مجموعهی بسیار گسترده و جامع از تمامی عناوین مربوط به مدیریت ریسکهای اطلاعات در دنیاست.
استاندارد ISF فشرده و کلیدی برای برنامههای گستردهی گروه ISF است. نتایج این استاندارد که در طی سالها گسترش یافته و هر سال نسبت به سال پیش بهبود پیدا کرده است، اجرای پروژههای زیادی است که توسط ISF تعریف و انجام شده است.
هر چند ISF و نتایج آن متعلق به اعضای انحصاری آن است، اما این گروه تصمیم گرفت برخی از نکات کلیدی را در قالب مجموعهای کامل به نام The Standard of Good) Practice استاندارد تجربه برتر)، در جهت رسیدن به اهداف زیر به اشخاص غیر عضو ارائه دهد:
1- ایجاد زمینهای برای بالا بردن سطح امنیت اطلاعات سازمانها در سرتاسر جهان از طریق تجربهای برتر
2- کمک به سازمانها و شرکتهایی که عضو ISF نیستند، برای بهبود وضعیت امنیتی خود و کاهش خطرات امنیتی در سطح قابل قبول
3- کمک عملی به تولید کنندگان استانداردها برای مشخص کردن نواحی و کاهش ریسکهای اطلاعاتی
در یک مجموعه ISF با اجرای ممیزی وضعیت امنیت اطلاعات اعضای خود، آنها را قادر میسازد تا ارزیابی کلی از وضعیت امنیت اطلاعات سازمان خود داشته باشند. این ممیزی به صورت عملی و با استفاده از ابزارهای خودکار انجام میشود تا بتوانند میزان اجرای توافقهای امنیتی خود را در سازمان اندازهگیری و با سازمانهای سردمدار گروه مقایسه کنند.
استاندارد ISF برای اولین بار در سال ۱۹۹۶ منتشر شد. نسخهی جدید این استاندارد هر دو سال یک بار منتشر و کلیدها و موارد دیگر به آن افزوده میشود و در راستای استاندارد بین المللی توسعه پیدا میکند. این استاندارد بر پایهی دانش اعضای گروه ISF و نیز مهارتهای تیم مدیریت آن بنا نهاده شده است، که به صورت تمام وقت روی این استاندارد فعالیت میکند.
از استانداردهای بین المللی دیگر (همچون ISO ۱۷۷۹۹) و نتایج تجزیه و تحلیلهای ممیزیهای ISF نیز به عنوان یک منبع در آن استفاده میشود. خلاصه آنکه، این استاندارد بر پایهی ۱۶ سال برنامههای کاری ISF، ۱۲۵ پروژهی تحقیقاتی و ۲۰۰ گزارش بنا نهاده شده است. این استاندارد در بیش از ۱۰ شرکت و سازمان تولیدی و طراحی به طور آزمایشی پیادهسازی شده است تا از درستی کلیدهای آن در بخش امنیت اطلاعات اطمینان حاصل شود.
این استاندارد تجربهی برتر امنیت اطلاعات، در اصل مجموعهای است از اصول واقعی و درستی که از طریق بهترین تجربیات سازمانهای عضو به دست آمده و بر اساس نیازهای سازمانهای مختلف ایجاد شده است. بسیاری از حرفهایهای امنیت اطلاعات از این استاندارد به عنوان استانداردی ارزشمند یاد میکنند که میتوان آن را در تمام سطوح امنیتی سازمانها در سرتاسر جهان به کار برد.