استاندارد ISF چیست؟

امروزه استاندارد ISF) Information Security Forum) به عنوان تجربه‌‏ای معتبر برای امنیت اطلاعات شناخته شده است. این استاندارد مجموعه‏‌ی تجربیات بیش از ۲۶۰ شرکت و سازمان بین المللی معتبر در زمینه‌‏ی اطلاعات و بهسازی امنیت اطلاعات آنهاست.

در طول ۱۶ سال، ISF بیش از هفتاد و پنج میلیون دلار برای گردآوری اطلاعات موثق و درست برای اعضای خود هزینه کرده است. شاید کار این استاندارد نشان دادن مجموعه‏‌ی بسیار گسترده و جامع از تمامی عناوین مربوط به مدیریت ریسک‏های اطلاعات در دنیاست.

استاندارد ISF فشرده و کلیدی برای برنامه‌‏های گسترده‏‌ی گروه ISF است. نتایج این استاندارد که در طی سال‏ها گسترش یافته و هر سال نسبت به سال پیش بهبود پیدا کرده است، اجرای پروژه‏‌های زیادی است که توسط ISF تعریف و انجام شده است.

هر چند ISF و نتایج آن متعلق به اعضای انحصاری آن است، اما این گروه تصمیم گرفت برخی از نکات کلیدی را در قالب مجموعه‌‏ای کامل به نام The Standard of Good) Practice استاندارد تجربه برتر)، در جهت رسیدن به اهداف زیر به اشخاص غیر عضو ارائه دهد:

1- ایجاد زمینه‏ای برای بالا بردن سطح امنیت اطلاعات سازمان‏ها در سرتاسر جهان از طریق تجربه‏‌ای برتر

2- کمک به سازمان‏ها و شرکت‏هایی که عضو ISF نیستند، برای بهبود وضعیت امنیتی خود و کاهش خطرات امنیتی در سطح قابل قبول

3- کمک عملی به تولید کنندگان استانداردها برای مشخص کردن نواحی و کاهش ریسک‏های اطلاعاتی

در یک مجموعه ISF با اجرای ممیزی وضعیت امنیت اطلاعات اعضای خود، آنها را قادر می‏سازد تا ارزیابی کلی از وضعیت امنیت اطلاعات سازمان خود داشته باشند. این ممیزی به صورت عملی و با استفاده از ابزارهای خودکار انجام می‏شود تا بتوانند میزان اجرای توافق‏های امنیتی خود را در سازمان اندازه‏‌گیری و با سازمان‏های سردمدار گروه مقایسه کنند.

استاندارد ISF برای اولین بار در سال ۱۹۹۶ منتشر شد. نسخه‏‌ی جدید این استاندارد هر دو سال یک بار منتشر و کلیدها و موارد دیگر به آن افزوده می‏شود و در راستای استاندارد بین المللی توسعه پیدا می‏کند. این استاندارد بر پایه‏‌ی دانش اعضای گروه ISF و نیز مهارت‏های تیم مدیریت آن بنا نهاده شده است، که به صورت تمام وقت روی این استاندارد فعالیت می‏کند.

از استانداردهای بین المللی دیگر (همچون ISO ۱۷۷۹۹) و نتایج تجزیه و تحلیل‌‏های ممیزی‏‌های ISF نیز به عنوان یک منبع در آن استفاده می‏شود. خلاصه آنکه، این استاندارد بر پایه‏‌ی ۱۶ سال برنامه‏‌های کاری ISF، ۱۲۵ پروژه‌‏ی تحقیقاتی و ۲۰۰ گزارش بنا نهاده شده است. این استاندارد در بیش از ۱۰ شرکت و سازمان تولیدی و طراحی به طور آزمایشی پیاده‌‏سازی شده است تا از درستی کلیدهای آن در بخش امنیت اطلاعات اطمینان حاصل شود.

این استاندارد تجربه‏‌ی برتر امنیت اطلاعات، در اصل مجموعه‏‌ای است از اصول واقعی و درستی که از طریق بهترین تجربیات سازمان‏های عضو به دست آمده و بر اساس نیازهای سازمان‏های مختلف ایجاد شده است. بسیاری از حرفه‏‌ای‏‌های امنیت اطلاعات از این استاندارد به عنوان استانداردی ارزشمند یاد می‏کنند که می‏توان آن را در تمام سطوح امنیتی سازمان‏ها در سرتاسر جهان به کار برد.