ISO/IEC 27001
ISO/IEC 27001، بخشی از خانواده استانداردهای رو به رشد ISO/IEC 27001 است،که یک استاندارد سیستم مدیریت امنیت اطلاعات (ISMS) است که در اکتبر 2005 توسط سازمان بین المللی استاندارد (ISO) و کمیسیون بین المللی الکتروتکنیکی (IEC) منتشر شد. نام کامل آن ISO/IEC 27001:2005 است – فناوری اطلاعات – تکنیک های امنیتی – مدیریت امنیت اطلاعات
سیستم ها – الزامات
ISO/IEC 27001 به طور رسمی یک سیستم مدیریتی را مشخص می کند که قرار است امنیت اطلاعات را تحت کنترل صریح مدیریت قرار دهد. مشخصات رسمی بودن به این معنی است که الزامات خاصی را الزامی می کند.
سازمانهایی که ادعا میکنند ISO/IEC 27001 را پذیرفتهاند، میتوانند به طور رسمی ممیزی شوند و مطابق با استاندارد گواهی شوند (اطلاعات بیشتر در زیر).
استاندارد چگونه کار می کند؟
اکثر سازمان ها دارای تعدادی کنترل امنیت اطلاعات هستند. با این حال، بدون امنیت اطلاعات سیستم مدیریت (ISMS)، کنترلها تا حدودی نامرتب و از هم گسیخته هستند، که اغلب به عنوان راهحلهای اصلی برای موقعیتهای خاص یا صرفاً به عنوان یک قرارداد پیادهسازی شدهاند. کنترلهای امنیتی در عملیات معمولاً جنبههای خاصی از فناوری اطلاعات یا امنیت دادهها را به طور خاص مورد بررسی قرار میدهند. به طور کلی دارایی های اطلاعاتی غیر فناوری اطلاعات (مانند کارهای اداری و دانش اختصاصی) کمتر محافظت می شود. علاوه بر این، برنامه ریزی تداوم کسب و کار و امنیت فیزیکی ممکن است کاملا مستقل از فناوری اطلاعات یا امنیت اطلاعات مدیریت شوند، در حالی که شیوه های منابع انسانی ممکن است اشاره کمی به نیاز به تعریف و تخصیص نقش ها و مسئولیت های امنیت اطلاعات در سراسر سازمان داشته باشد.
ISO/IEC 27001 به مدیریت نیاز دارد:
- به طور سیستماتیک خطرات امنیت اطلاعات سازمان را با در نظر گرفتن تهدیدها، آسیب پذیری ها و تأثیرات بررسی کند.
- طراحی و اجرای مجموعه ای منسجم و جامع از کنترل های امنیت اطلاعات و/یا سایر اشکال درمان ریسک (مانند اجتناب از ریسک یا انتقال ریسک) برای رسیدگی به ریسک هایی که غیرقابل قبول تلقی می شوند. و
یک فرآیند مدیریتی فراگیر را اتخاذ کنید تا اطمینان حاصل شود که کنترلهای امنیت اطلاعات همچنان نیازهای امنیت اطلاعات سازمان را به طور مداوم برآورده میکنند.
در حالی که مجموعه های دیگری از کنترل های امنیت اطلاعات ممکن است به طور بالقوه در یک ISO/IEC 27001 ISMS و یا حتی به جای ISO/IEC 27002 (آیین عملکرد مدیریت امنیت اطلاعات) استفاده شوند، این دو استاندارد معمولاً با هم در ارتباط اند. ضمیمه A ISO/IEC 27001 به طور خلاصه کنترل های امنیت اطلاعات را از ISO/IEC 27002 فهرست می کند، در حالی که ISO/IEC 27002 اطلاعات اضافی و توصیه های اجرایی در مورد کنترل ها را ارائه می دهد.
سازمانهایی که مجموعهای از کنترلهای امنیت اطلاعات را مطابق با ISO/IEC 27002 پیادهسازی میکنند، احتمالاً به طور همزمان بسیاری از الزامات ISO/IEC 27001 را برآورده میکنند، اما ممکن است برخی از عناصر سیستم مدیریت کلی را نداشته باشند. عکس این قضیه نیز صادق است، به عبارت دیگر، گواهی انطباق با ISO/IEC 27001 تضمین می کند که سیستم مدیریت امنیت اطلاعات وجود دارد، اما اطلاعات کمی در مورد وضعیت مطلق امنیت اطلاعات در سازمان می گوید. کنترلهای امنیتی فنی مانند آنتی ویروس و فایروالها معمولاً در ممیزیهای گواهینامه ISO/IEC 27001 ممیزی نمیشوند: اساساً فرض میشود که سازمان تمام کنترلهای امنیتی اطلاعات لازم را اتخاذ کرده است زیرا ISMS کلی وجود دارد و با برآورده کردن الزاماتISO کافی تلقی میشود. IEC 27001 علاوه بر این، مدیریت محدوده ISMS را برای اهداف صدور گواهینامه تعیین می کند و ممکن است آن را مثلاً به یک واحد تجاری یا مکان محدود کند. گواهی ISO/IEC 27001 لزوماً به این معنی نیست که بقیه سازمان، خارج از محدوده ، رویکرد مناسبی برای مدیریت امنیت اطلاعات دارد.
سایر استانداردهای خانواده ISO/IEC 27001
استانداردها راهنمایی های بیشتری را در مورد جنبه های خاصی از طراحی، پیاده سازی و اجرای ISMS ارائه می دهند
در مورد مدیریت ریسک امنیت اطلاعات (ISO/IEC 27005) مثال خوبی است.