وقتی صحبت از ایمن نگهداشتن داراییهای اطلاعاتی میشود، سازمانها میتوانند به خانواده ISO/IEC 27000 تکیهکنند.
گواهینامه ایزو ۲۷۰۰۱ به شرکت هایی اهدا می گردد که نسبت به اخذ گواهی این استاندارد کاربردی و جذاب اقدام کرده باشند.
بیش از دوازده استاندارد در خانواده ISO/IEC 27000 وجود دارد. استفاده از آنها، سازمان را قادر میسازد تا امنیت داراییهایی مانند اطلاعات مالی، مالکیت معنوی، جزئیات کارکنان یا اطلاعاتی را که توسط اشخاص ثالث به امانت سپرده شده است، مدیریت کنند.
مراحل گرفتن ایزو معتبر نیز تابع شرایطی است که پس از آموزش و اجرای الزامات استاندارد باید رعایت گردد.
ایزو 27001 )مدیریت امنیت اطلاعات( چیست؟
ISO/IEC 27001به طور گستردهای شناخته شدهاست و الزامات یک سیستم مدیریت امنیت اطلاعات (ISMS) را فراهم میکند. تنها استاندارد بینالمللی قابل ممیزی است که الزامات موردنیاز سیستم مدیریت امنیت اطلاعات را معیّن میکند و کنترل امنیتی مناسب را تضمین میکند.
این استاندارد به سازمان کمک میکند اطلاعات خود را محافظت کند و اعتماد بخشهای ذینفع و به ویژه مشتریان را جلب نماید. ایزو 27001 برای تهیه، پیاده سازی، اجرا، نظارت، بررسی، نگهداری، و ارتقا سیستم مدیریت امنیت اطلاعات رویکردی پروسهای فراهم میسازد.
اگر علاقه مند به دریافت یک گواهینامه ایزو بودید فراموش نکنید که برای اخذ ایزو می بایست حتما مدارک تحت اعتبار ASCB یا IAF صادر گردند.
ISMS چیست؟
ISMS یک رویکرد کلنگر برای تضمین محرمانه بودن، یکپارچگی و در دسترس بودن (CIA) داراییهای اطلاعاتی شرکت است. ISO 27001 شامل خطمشیها، رویهها و سایر کنترلهایی است که افراد، فرآیندها و فناوری را در بر میگیرد. براساس ارزیابیهای منظم ریسک امنیت اطلاعات، ISMS یک رویکرد کارآمد، مبتنی بر ریسک و بیطرف از فناوری برای ایمن نگه داشتن داراییهای اطلاعاتی شما است. شما میتوانید سیستم مدیریت امنیت اطلاعات خود را با استفاده از جعبه ابزار ایزو27001 بسازید که شامل تمام خطمشیها، رویهها و الگوهای از پیش نوشته شده مورد نیاز شما میباشد.
تاریخچه ایزو 27001
BS 7799 استانداردی است که در سال ۱۹۹۵ برای اولینبار توسط BSI Group (گروه استانداردهای انگلستان) ایجاد شد. این استاندارد شامل چندین بخش است. اولین بخش شامل بهترین تجربیات مدیریت امنیت اطلاعات است و در سال ۱۹۹۸ بازبینی شد.
پس از مباحثات بسیار بین صاحبان استاندارد در جهان، استاندارد ISO 27001 در سال ۲۰۰۰ توسط بنیاد ISO تحت عنوان ISO/IEC 17799 انطباق لازم را پیدا کرد. این استاندارد نام ”تکنولوژی اطلاعات – کد تجربی مدیریت امنیت اطلاعات“ را با خود حمل میکرد.
الزامات ایزو 27001
- محدوده سیستم مدیریت امنیت اطلاعات
- سیاست و اهداف امنیت اطلاعات
- ارزیابی ریسک و روش درمان ریسک
- بیانیه کاربرد
- طرح درمان ریسک
- ارزیابی ریسک و گزارش درمان ریسک
- تعریف نقشها و مسئولیتهای امنیتی.
اصول ایزو 27001
- استاندارد ISO 27001 چارچوبی را برای پیاده سازی ISMS فراهم می کند و از دارایی های اطلاعاتی شما محافظت کند و در عین حال مدیریت، اندازه گیری و بهبود فرآیند را آسان تر می کند. این به شما کمک می کند سه بعد امنیت اطلاعات را بررسی کنید:
- محرمانه بودن
- صداقت
- دردسترسبودن
دامنههای ISO 27001 چیست؟
- سیاست امنیتی
- سازماندهی امنیت اطلاعات
- مدیریت دارایی
- امنیت منابع انسانی
- امنیت محیطی و فیزیکی
- ارتباطات و عملکردها
- مدیریت
- کنترل دسترسی
- به خدمت گیری، توسعه و نگهداری سیستمهای اطلاعاتی
- مدیریت حوادث مربوط به امنیت اطلاعات
- مدیریت دوام تجارت
- مطابقت
مزایای ایزو 27001
استفاده از ایزو 27001 (سیستم مدیریت امنیت اطلاعات) مزایای زیر را برای سازمان دربر دارد:
- نمایشدهنده وجود تضمین مستقل برای کنترلهای داخلی و مطابقت با الزامات دوام تجارت است .
بهطور مستقل نشان میدهد که قوانین اجرایی نظارت میشوند. - با تحقق الزامات قراردادی و اطمینان به مشتری که امنیت اطلاعاتش در سطح بالایی است یک فرصت رقابتی ایجاد میشود.
- بهصورت مستقل مشخص میشود که ریسکهای سازمانی شناسایی، سنجش و مدیریت شدهاند، و همزمان پروسهها، راهکارها و مستندات امنیت اطلاعات رسمی میشوند.
- اثباتکننده تعهد مدیریت ارشد نسبت به امنیت اطلاعات است.
- پروسه سنجش مداوم به نظارت پیوسته و بهبود روند کمک میکند.
نسخه فعلی ایزو 27001
ISO 27001:2013 مشخصات بین المللی شناخته شده برای سیستم مدیریت امنیت اطلاعات (ISMS) است و یکی از محبوب ترین استانداردها برای امنیت اطلاعات است. جدیدترین نسخه این استاندارد، ISO / IEC 27001:2013 است و بهبودهایی را که در سال 2017 انجام شده است را نیز اجرا میکند.
نحوه پیادهسازی ISO 27001
برای پیادهسازی ایزو 27001 موارد زیر را در نظر بگیری:
- محدوده پروژه تضمین تعهد مدیریت و بودجه.
- شناسایی اشخاص ذینفع و الزامات قانونی، مقرراتی و قراردادی.
- انجام ارزیابی ریسک.
- بررسی و اجرای کنترلهای موردنیاز.
- توسعه شایستگی داخلی برای مدیریت پروژه.
- تهیه مستندات مناسب برگزاری دوره آموزشی آگاهی کارکنان.
- گزارشدهی بهعنوانمثال بیانیه کاربرد و طرح درمان ریسک.
- اندازهگیری، نظارت، بررسی و ممیزی مستمر.
- انجام اقدامات اصلاحی و پیشگیرانه لازم.
جمعبندی
کوچکترین اختلالی در عملکرد سازمان منجر به قطع عملیاتهای کاری شده و خسارتهای بسیار زیادی را به سازمان وارد خواهد کرد. بنا به توصیه کارشناسان امنیتی، سازمانها باید از اصول و رویههای امنیتی استاندارد پیروی کرده و اقدامات لازم جهت فراهم کردن یک فرهنگ جامع امنیتی را در سازمانشان انجام دهند.
استاندارد ایزو ۲۷۰۰۱ یکی از معروفترین استانداردهای مدیریت امنیت اطلاعات است که به سازمان شما کمک میکند تا از اطلاعاتتان به خوبی محافظت کرده و به مشتریانتان اطمینان خاطر دهید از دادههای خصوصی آنها به روشی کاملاً امن حفاظت میشود.
این استاندارد بینالمللی از طریق ایجاد یک سیاست جامع در سازمان، سازماندهی اطلاعات و دادههای محرمانه و کنترل دسترسیها کلیه مخاطرات و تهدیدات امنیتی را مدیریت میکند. ایزو ۲۷۰۰۱ همچنین در صورت وقوع حوادث امنیتی، مانع از گسترش آنها شده و پیامدهای منفی ناشی از چنین حوادثی را به شدت کاهش میدهد.
منبع:
ایزوسیستم
www.isosystem.org