ISO/IEC 27001

‏ISO/IEC 27001، بخشی از خانواده استانداردهای رو به رشد ISO/IEC 27001 است،که  یک استاندارد سیستم مدیریت امنیت اطلاعات  (ISMS) است که در اکتبر 2005 توسط سازمان بین المللی استاندارد  (ISO) و کمیسیون بین المللی الکتروتکنیکی     (IEC)  منتشر شد. نام کامل آن ISO/IEC 27001:2005   است – فناوری اطلاعات – تکنیک های امنیتی – مدیریت امنیت اطلاعات

سیستم ها – الزامات

‏ISO/IEC 27001 به طور رسمی یک سیستم مدیریتی را مشخص می کند که قرار است امنیت اطلاعات را تحت کنترل صریح مدیریت قرار دهد. مشخصات رسمی بودن به این معنی است که الزامات خاصی را الزامی می کند.

 سازمان‌هایی که ادعا می‌کنند ISO/IEC 27001 را پذیرفته‌اند، می‌توانند به طور رسمی ممیزی شوند و مطابق با استاندارد گواهی شوند (اطلاعات بیشتر در زیر).

استاندارد چگونه کار می کند؟

اکثر سازمان ها دارای تعدادی کنترل امنیت اطلاعات هستند. با این حال، بدون امنیت اطلاعات سیستم مدیریت ‏(ISMS)، کنترل‌ها تا حدودی نامرتب و از هم گسیخته هستند، که اغلب به عنوان راه‌حل‌های اصلی برای موقعیت‌های خاص یا صرفاً به عنوان یک قرارداد پیاده‌سازی شده‌اند. کنترل‌های امنیتی در عملیات معمولاً جنبه‌های خاصی از فناوری اطلاعات یا امنیت داده‌ها را به طور خاص مورد بررسی قرار می‌دهند. به طور کلی دارایی های اطلاعاتی غیر فناوری اطلاعات (مانند کارهای اداری و دانش اختصاصی) کمتر محافظت می شود. علاوه بر این، برنامه ریزی تداوم کسب و کار و امنیت فیزیکی ممکن است کاملا مستقل از فناوری اطلاعات یا امنیت اطلاعات مدیریت شوند، در حالی که شیوه های منابع انسانی ممکن است اشاره کمی به نیاز به تعریف و تخصیص نقش ها و مسئولیت های امنیت اطلاعات در سراسر سازمان داشته باشد.

‏ISO/IEC 27001 به مدیریت نیاز دارد:

  • به طور سیستماتیک خطرات امنیت اطلاعات سازمان را با در نظر گرفتن تهدیدها، آسیب پذیری ها و تأثیرات بررسی کند.
  • طراحی و اجرای مجموعه ای منسجم و جامع از کنترل های امنیت اطلاعات و/یا سایر اشکال درمان ریسک (مانند اجتناب از ریسک یا انتقال ریسک) برای رسیدگی به ریسک هایی که غیرقابل قبول تلقی می شوند. و

یک فرآیند مدیریتی فراگیر را اتخاذ کنید تا اطمینان حاصل شود که کنترل‌های امنیت اطلاعات همچنان نیازهای امنیت اطلاعات سازمان را به طور مداوم برآورده می‌کنند.

 در حالی که مجموعه های دیگری از کنترل های امنیت اطلاعات ممکن است به طور بالقوه در یک ISO/IEC 27001‏ ‏ISMS  و یا حتی به جای ISO/IEC 27002  (آیین عملکرد مدیریت امنیت اطلاعات) استفاده شوند، این دو استاندارد معمولاً با هم در ارتباط اند. ضمیمه A ISO/IEC 27001‏ به طور خلاصه کنترل های امنیت اطلاعات را از ISO/IEC‏ 27002 فهرست می کند، در حالی که ISO/IEC 27002‏ اطلاعات اضافی و توصیه های اجرایی در مورد کنترل ها را ارائه می دهد.

 سازمان‌هایی که مجموعه‌ای از کنترل‌های امنیت اطلاعات را مطابق با  ISO/IEC 27002 پیاده‌سازی می‌کنند، احتمالاً به طور همزمان بسیاری از الزامات ‏ ISO/IEC 27001 را برآورده می‌کنند، اما ممکن است برخی از عناصر سیستم مدیریت کلی را نداشته باشند. عکس این قضیه نیز صادق است، به عبارت دیگر، گواهی انطباق با ISO/IEC 27001  تضمین می کند که سیستم مدیریت امنیت اطلاعات وجود دارد، اما اطلاعات کمی در مورد وضعیت مطلق امنیت اطلاعات در سازمان می گوید. کنترل‌های امنیتی فنی مانند آنتی ویروس و فایروال‌ها معمولاً در ممیزی‌های گواهینامه ‏ ISO/IEC 27001 ممیزی نمی‌شوند: اساساً فرض می‌شود که سازمان تمام کنترل‌های امنیتی اطلاعات لازم را اتخاذ کرده است زیرا ISMS‏ کلی وجود دارد و با برآورده کردن الزامات‏ISO  کافی تلقی می‌شود. IEC 27001‏ علاوه بر این، مدیریت محدوده ISMS را برای اهداف صدور گواهینامه تعیین می کند و ممکن است آن را مثلاً به یک واحد تجاری یا مکان محدود کند. گواهی ‏ISO/IEC 27001  لزوماً به این معنی نیست که بقیه سازمان، خارج از محدوده ، رویکرد مناسبی برای مدیریت امنیت اطلاعات دارد.

سایر استانداردهای خانواده ISO/IEC 27001‏

استانداردها راهنمایی های بیشتری را در مورد جنبه های خاصی از طراحی، پیاده سازی و اجرای ISMS ارائه می دهند

در مورد مدیریت ریسک امنیت اطلاعات (ISO/IEC 27005) مثال خوبی است.