امنیت اطلاعات در سایه استاندارد ایزو ۲۷۰۰۱

وقتی صحبت از ایمن نگه‌داشتن دارایی‌های اطلاعاتی می‌شود، سازمان‌ها می‌توانند به خانواده ISO/IEC 27000 تکیه‌کنند.

گواهینامه ایزو ۲۷۰۰۱ به شرکت هایی اهدا می گردد که نسبت به اخذ گواهی این استاندارد کاربردی و جذاب اقدام کرده باشند.

بیش از دوازده استاندارد در خانواده ISO/IEC 27000 وجود دارد. استفاده از آن‌ها، سازمان را قادر می‌سازد تا امنیت دارایی‌هایی مانند اطلاعات مالی، مالکیت معنوی، جزئیات کارکنان یا اطلاعاتی را که توسط اشخاص ثالث به امانت سپرده شده است، مدیریت کنند.

مراحل گرفتن ایزو معتبر نیز تابع شرایطی است که پس از آموزش و اجرای الزامات استاندارد باید رعایت گردد.

 

 

ایزو 27001 )مدیریت امنیت اطلاعات( چیست؟

ISO/IEC 27001به طور گسترده‌ای شناخته شده‌است و الزامات یک سیستم مدیریت امنیت اطلاعات (ISMS) را فراهم می‌کند. تنها استاندارد بین‌المللی قابل ممیزی است که الزامات مورد‌نیاز سیستم مدیریت امنیت اطلاعات را معیّن می‌کند و کنترل امنیتی مناسب را تضمین می‌کند.
این استاندارد به سازمان کمک می‌کند اطلاعات خود را محافظت کند و اعتماد بخش‌های ذینفع و به ویژه مشتریان را جلب نماید. ایزو 27001 برای تهیه، پیاده سازی، اجرا، نظارت، بررسی، نگهداری، و ارتقا سیستم مدیریت امنیت اطلاعات رویکردی پروسه‌ای فراهم می‌سازد.

اگر علاقه مند به دریافت یک گواهینامه ایزو بودید فراموش نکنید که برای اخذ ایزو می بایست حتما مدارک تحت اعتبار ASCB یا IAF صادر گردند.

ISMS  چیست؟

ISMS یک رویکرد کل‌نگر برای تضمین محرمانه بودن، یکپارچگی و در دسترس بودن (CIA) دارایی‌های اطلاعاتی شرکت است. ISO 27001 شامل خط‌مشی‌ها، رویه‌ها و سایر کنترل‌هایی است که افراد، فرآیندها و فناوری را در بر می‌گیرد. براساس ارزیابی‌های منظم ریسک امنیت اطلاعات، ISMS یک رویکرد کارآمد، مبتنی بر ریسک و بی‌طرف از فناوری برای ایمن نگه داشتن دارایی‌های اطلاعاتی شما است. شما می‌توانید سیستم مدیریت امنیت اطلاعات خود را با استفاده از جعبه ابزار ایزو27001  بسازید که شامل تمام خط‌مشی‌ها، رویه‌ها و الگوهای از پیش نوشته شده مورد نیاز شما می‌باشد.

تاریخچه ایزو 27001

BS 7799 استانداردی است که در سال ۱۹۹۵ برای اولین‌بار توسط BSI Group (گروه استانداردهای انگلستان) ایجاد شد. این استاندارد شامل چندین بخش است. اولین بخش شامل بهترین تجربیات مدیریت امنیت اطلاعات است و در سال ۱۹۹۸ بازبینی شد.

پس از مباحثات بسیار بین صاحبان استاندارد در جهان، استاندارد ISO 27001 در سال ۲۰۰۰ توسط بنیاد ISO تحت عنوان ISO/IEC 17799 انطباق لازم را پیدا کرد. این استاندارد نام ”تکنولوژی اطلاعات – کد تجربی مدیریت امنیت اطلاعات“ را با خود حمل می‌کرد.

الزامات ایزو 27001

  • محدوده سیستم مدیریت امنیت اطلاعات
  • سیاست و اهداف امنیت اطلاعات
  • ارزیابی ریسک و روش درمان ریسک
  • بیانیه کاربرد
  • طرح درمان ریسک
  • ارزیابی ریسک و گزارش درمان ریسک
  • تعریف نقش‌ها و مسئولیت‌های امنیتی.

اصول ایزو 27001

  • استاندارد ISO 27001 چارچوبی را برای پیاده سازی ISMS فراهم می کند و از دارایی های اطلاعاتی شما محافظت کند و در عین حال مدیریت، اندازه گیری و بهبود فرآیند را آسان تر می کند. این به شما کمک می کند سه بعد امنیت اطلاعات را بررسی کنید:
  • محرمانه بودن
  • صداقت
  • دردسترس‌بودن

دامنه‌های ISO 27001 چیست؟

  • سیاست امنیتی
  • سازماندهی امنیت اطلاعات
  • مدیریت دارایی
  • امنیت منابع انسانی
  • امنیت محیطی و فیزیکی
  • ارتباطات و عملکردها
  • مدیریت
  • کنترل دسترسی
  • به خدمت گیری، توسعه و نگهداری سیستم‌های اطلاعاتی
  • مدیریت حوادث مربوط به امنیت اطلاعات
  • مدیریت دوام تجارت
  • مطابقت

مزایای ایزو 27001
استفاده از ایزو 27001 (سیستم مدیریت امنیت اطلاعات) مزایای زیر را برای سازمان دربر دارد:

  • نمایش‌دهنده وجود تضمین مستقل برای کنترل‌های داخلی و مطابقت با الزامات دوام تجارت است .
    به‌طور مستقل نشان می‌دهد که قوانین اجرایی نظارت می‌شوند.
  • با تحقق الزامات قراردادی و اطمینان به مشتری که امنیت اطلاعاتش در سطح بالایی است یک فرصت رقابتی ایجاد می‌شود.
  • به‌صورت مستقل مشخص می‌شود که ریسک‌های سازمانی شناسایی، سنجش و مدیریت شده‌اند، و هم‌زمان پروسه‌ها، راهکارها و مستندات امنیت اطلاعات رسمی می‌شوند.
  • اثبات‌کننده تعهد مدیریت ارشد نسبت به امنیت اطلاعات است.
  • پروسه سنجش مداوم به نظارت پیوسته و بهبود روند کمک می‌کند.

 

 

نسخه فعلی ایزو 27001

ISO 27001:2013 مشخصات بین المللی شناخته شده برای سیستم مدیریت امنیت اطلاعات (ISMS) است و یکی از محبوب ترین استانداردها برای امنیت اطلاعات است. جدیدترین نسخه این استاندارد، ISO / IEC 27001:2013 است و بهبودهایی را که در سال 2017 انجام شده است را نیز اجرا می‌کند.

نحوه پیاده‌سازی ISO 27001

برای پیاده‌سازی ایزو 27001 موارد زیر را در نظر بگیری:

  • محدوده پروژه تضمین تعهد مدیریت و بودجه.
  • شناسایی اشخاص ذی‌نفع و الزامات قانونی، مقرراتی و قراردادی.
  • انجام ارزیابی ریسک.
  • بررسی و اجرای کنترل‌های موردنیاز.
  • توسعه شایستگی داخلی برای مدیریت پروژه.
  • تهیه مستندات مناسب برگزاری دوره آموزشی آگاهی کارکنان.
  • گزارش‌دهی به‌عنوان‌مثال بیانیه کاربرد و طرح درمان ریسک.
  • اندازه‌گیری، نظارت، بررسی و ممیزی مستمر.
  • انجام اقدامات اصلاحی و پیشگیرانه لازم.

جمع‌بندی

کوچکترین اختلالی در عملکرد سازمان منجر به قطع عملیات‌های کاری شده و خسارت‌های بسیار زیادی را به سازمان وارد خواهد کرد. بنا به توصیه کارشناسان امنیتی، سازمان‌ها باید از اصول و رویه‌های امنیتی استاندارد پیروی کرده و اقدامات لازم جهت فراهم کردن یک فرهنگ جامع امنیتی را در سازمان‌شان انجام دهند.

استاندارد ایزو ۲۷۰۰۱ یکی از معروفترین استانداردهای مدیریت امنیت اطلاعات است که به سازمان شما کمک می‌کند تا از اطلاعات‌تان به خوبی محافظت کرده و به مشتریان‌تان اطمینان خاطر دهید از داده‌های خصوصی آنها به روشی کاملاً امن حفاظت می‌شود.

این استاندارد بین‌المللی از طریق ایجاد یک سیاست جامع در سازمان، سازمان‌دهی اطلاعات و داده‌های محرمانه و کنترل دسترسی‌ها کلیه مخاطرات و تهدیدات امنیتی را مدیریت می‌کند. ایزو ۲۷۰۰۱ همچنین در صورت وقوع حوادث امنیتی، مانع از گسترش آنها شده و پیامدهای منفی ناشی از چنین حوادثی را به شدت کاهش می‌دهد.

 

منبع:

ایزوسیستم

www.isosystem.org

این مطلب یک رپورتاژ آگهی بوده و آی‌تی‌رسان در تهیه آن نقشی نداشته است

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

به بالا بروید
TCH