iso27001

ISO/IEC 27001

ISO/IEC 27001 چیست؟

حفاظت از اطلاعات به جزء انکارناپذیری از مدیریت هر کسب و کار تبدیل شده و در رقابت تنگاتنگ امروزی، صرف داشتن به روزترین اطلاعات تضمین کننده موفقیت سازمان ها نمی باشد بلکه حفاظت از این داشته ها و بکارگیری صحیح آنها، می تواند برنده بازی را تعیین نماید. جالب اینکه موضوع حفاظت از اطلاعات، صرفا محدود به حفظ مزیت رقابتی در شرکت های خصوصی نبوده بلکه هر موسسه غیرانتفاعی عمومی یا دولتی نیز نیازمند ایجاد یک سیستم مدیریت امنیت اطلاعات ( ISMS)در خود است چرا که بدون جمع آوری، پردازش، بکارگیری و حفاظت از اطلاعات، انجام هر رسالت سازمانی در سازمان ها غیرممکن خواهد بود.

بر این اساس، احساس نیاز به وجود مدلی برای مدیریت امنیت اطلاعات در صنایع مختلف، منجر به انتشار اولین استاندارد ISMS با عنوان  BS7799 گردید و به دنبال آن سازمان جهانی ISO در سال ۲۰۰۵ این استاندارد را با کمی تغییر با عنوان ISO27001 منتشر کرد که امروزه به معتبرترین و پرکاربردترین استاندارد در این زمینه در دنیا تبدیل شده است. اگر چه می توان اهداف خرد متعددی برای این استاندارد تعریف کرد لیکن ۳ موضوع ذیل اصلی ترین دستاوردهای صحیح یک نظام مدیریت امنیت اطلاعات در سازمان ها خواهد بود:

  • محرمانه بودن اطلاعات Confidentiality: ویژگی عدم دسترسی افراد غیر مجاز به اطلاعات
  • یکپارچگی اطلاعات Integrity: عدم تخریب و صحیح و کامل ماندن اطلاعات
  • در دسترس بودن Availability : دسترسی مناسب افراد ذیصلاح به سطح مناسب و تعریف شده ای از اطلاعات

استاندارد مدیریت امنیت اطلاعات ISO/IEC 27001 با قابلیت تفسیر و استفاده در کلیه سازمان ها مورد تدوین قرار گرفته است. این استاندارد الزاماتی را به منظور برقراری، پیاده سازی، جاری سازی، پایش، بازنگری و بهبود سیستم مدیریت امنیت اطلاعات در سازمان ها بیان می کند تا آنان نیز با به کارگیری آن بتوانند پاسخگو به کلیه ریسک های مرتبط با کسب و کار خود باشند. همچنین این استاندارد با تعریف کنترل های امنیتی ( ۱۳۳ کنترل) منطبق با نیازمندی سازمان ها به نیاز آنان در این حوزه پاسخ می دهد.

از جمله اصول بنیادینی که در این استاندارد بین المللی مورد اشاره قرار می گیرد موارد ذیل می باشد:

  • تداوم حیات سازمانی
  • کاهش صدمات بر کسب و کار
  • افزایش نرخ بازگشت سرمایه و فرصت های کسب و کار

مهمترین نکته در تجزیه و تحلیل ریسک در این استاندارد بین المللی، تجزیه و تحلیل بر دارایی های اطلاعاتی سازمان ها می باشد. از جمله دارایی هایی که در این استاندارد بین المللی به آن ها اشاره شده است موارد ذیل می باشد:

  • دارایی های اطلاعاتی
  • دارایی های نرم افزاری
  • دارایی های فیزیکی
  • دارایی های خدماتی
  • دارایی های انسانی
  • دارایی های نا ملموس

همچنین از جمله نکات کلیدی دیگر در این استاندارد بین المللی مدیریت ریسک است به نحوی که می توان مراحل انجام آن را ارزیابی، درمان، پایش، بازنگری و بهبود دانست. مدل ها و استاندارد های مختلفی برای انجام این کار تعریف شده است که از جمله مهمترین آن ها می توان به استاندارد های خانواده NIST سری ۸۰۰۰  و ISO 31000 اشاره کرد.

از جمله استانداردهای موجود در خانواده ISO 27000 می توان به استاندارد های ذیل اشاره کرد:

عنوان Title Standards
مفاهیم و واژگان Vocabulary & Fundamentals ISO 27000
الزامات Requirements ISO 27001
راهنمای عملکرد Code of Practice (ISO 17799) ISO 27002
راهنمای پیاده سازی Implementation Guide ISO 27003
شاخص ها و اندازه گیری کنترل ها Metrics & Measurement ISO 27004
راهنمای مدیریت ریسک Guidelines for Risk Management ISO 27005
الزامات ارزیابی و صدور گواهی نامه Assessment & Certification ISO 27006
راهنمای ممیزی ISMS Guidelines for auditing ISMS ISO 27007
راهنمای ممیزی کنترل ها Guidance on auditing information security controls ISO 27008

از جمله مسیرهای حرفه ای تعریف شده برای این استاندارد بین المللی همانند استاندارد های بین المللی دیگر مسیر ذیل است که توسط انجمن جهانی IRCA انگلستان مورد مدیریت و هدایت قرار می گیرد.

  • ISO/IEC 27001 Principle & Requirement
  • ISO/IEC 27001 Internal Audit
  • ISO/IEC 27001 Implementer
  • ISO/IEC 27001 Auditor & Lead Auditor
  • Information Security & Risk Management
  • ISO/IEC 27002 Foundation

Back to top