ایزو ۲۷۰۰۱ چیست؟
ابتدا، ذکر این نکته ضروری است که نام کامل ISO 27001 “ISO/IEC 27001 – فناوری اطلاعات – تکنیک های امنیتی – سیستم های مدیریت امنیت اطلاعات ” است.
این استاندارد بین المللی پیشرو متمرکز بر امنیت اطلاعات است که توسط سازمان بین المللی استاندارد (ISO) با همکاری کمیسیون بین المللی الکترونیکی (IEC) منتشر شده است. هر دو سازمان های بین المللی پیشرو هستند که استانداردهای بین المللی را توسعه می دهند.
ISO-27001 بخشی از مجموعه ای از استانداردهای توسعه یافته برای مدیریت امنیت اطلاعات است: سری ISO/IEC 27000.
چارچوب ISO و هدف ISO 27001
چارچوب ISO ترکیبی از سیاست ها و فرآیندهایی است که سازمان ها باید از آنها استفاده کنند. ISO 27001 چارچوبی را برای کمک به سازمان ها، در هر اندازه یا هر صنعتی، فراهم می کند تا از اطلاعات خود به شیوه ای سیستماتیک و مقرون به صرفه، از طریق اتخاذ یک سیستم مدیریت امنیت اطلاعات (ISMS) محافظت کنند.
چرا ISO 27001 مهم است؟
این استاندارد نه تنها دانش لازم را برای حفاظت از ارزشمندترین اطلاعات شرکت ها ارائه می دهد، بلکه یک شرکت می تواند گواهینامه ISO 27001 را نیز دریافت کند و از این طریق به مشتریان و شرکای خود ثابت کند که از داده های آنها محافظت می کند.
همچنین افراد می توانند با شرکت در دوره و قبولی در آزمون گواهی ISO 27001 را دریافت کنند و از این طریق مهارت های خود را به کارفرمایان بالقوه ثابت کنند.
از آنجا که ISO 27001 یک استاندارد بین المللی است، به راحتی در سراسر جهان شناخته می شود و فرصت های تجاری را برای سازمان ها و متخصصان افزایش می دهد.
۳ هدف امنیتی ISMS چیست؟
هدف اساسی ISO 27001 حفاظت از سه جنبه از اطلاعات است:
· محرمانه بودن: فقط افراد مجاز حق دسترسی به اطلاعات را دارند.
· صداقت: فقط افراد مجاز می توانند اطلاعات را تغییر دهند.
· در دسترس بودن: اطلاعات باید در صورت نیاز برای افراد مجاز در دسترس باشد.
ISMS چیست؟
سیستم مدیریت امنیت اطلاعات (ISMS) مجموعه ای از قوانینی است که یک شرکت باید به منظور:
· شناسایی ذینفعان و انتظارات آنها از شرکت از نظر امنیت اطلاعات
· شناسایی خطراتی که برای اطلاعات وجود دارد
· تعریف کنترل ها (ضمانت ها) و سایر روش های کاهش برای برآورده کردن انتظارات شناسایی شده و مدیریت ریسک ها
· اهداف روشنی را در مورد آنچه باید با امنیت اطلاعات به دست آورد تعیین کنید
· اجرای تمام کنترل ها و سایر روش های درمان خطر
· به طور مداوم اندازه گیری کنید که آیا کنترل های اجرا شده مطابق انتظار عمل می کنند
· بهبود مستمر را انجام دهید تا کل ISMS بهتر کار کند
این مجموعه قوانین می تواند در قالب خط مشی ها، رویه ها و انواع دیگر اسناد نوشته شود یا می تواند به صورت فرآیندها و فناوری های ایجاد شده باشد که مستند نشده اند. ISO 27001 تعریف می کند که چه مدارکی مورد نیاز است، یعنی حداقل کدام باید وجود داشته باشد.
چرا به ISMS نیاز داریم؟
چهار مزیت تجاری اساسی وجود دارد که یک شرکت با اخذ گواهینامه ایزو می تواند به دست آورد:
مطابق با الزامات قانونی – تعداد روزافزونی از قوانین، مقررات و الزامات قراردادی مربوط به امنیت اطلاعات وجود دارد، و خبر خوب این است که بسیاری از آنها را می توان با اجرای ISO 27001 حل کرد – این استاندارد متدولوژی کاملی را در اختیار شما قرار می دهد. همه آنها را رعایت کنید
دستیابی به مزیت رقابتی – اگر شرکت شما گواهینامه دریافت کند و رقبای شما گواهی ندهند، ممکن است از نظر مشتریانی که در مورد ایمن نگه داشتن اطلاعات خود حساس هستند نسبت به آنها برتری داشته باشید.
هزینه های کمتر – فلسفه اصلی ISO 27001 جلوگیری از وقوع حوادث امنیتی است – و هر حادثه کوچک یا بزرگ هزینه دارد. بنابراین، با جلوگیری از آنها، شرکت شما در هزینه های بسیار زیادی صرفه جویی خواهد کرد. و بهترین چیز این است که سرمایه گذاری در ISO 27001 بسیار کمتر از صرفه جویی در هزینه است.
سازماندهی بهتر – معمولاً شرکتهایی که به سرعت در حال رشد هستند، زمان توقف و تعریف فرآیندها و رویههای خود را ندارند – در نتیجه، اغلب کارکنان نمیدانند چه کاری، چه زمانی و توسط چه کسی باید انجام شود. پیاده سازی ISO 27001 به حل چنین شرایطی کمک می کند، زیرا شرکت ها را تشویق می کند تا فرآیندهای اصلی خود را بنویسند (حتی آنهایی که مرتبط با امنیت نیستند)، و آنها را قادر می سازد تا زمان از دست رفته توسط کارکنان خود را کاهش دهند.
ISO 27001 چگونه کار می کند؟
تمرکز ISO 27001 حفاظت از محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات در یک شرکت است. این کار با یافتن مشکلات بالقوه ای که ممکن است برای اطلاعات رخ دهد (به عنوان مثال، ارزیابی ریسک)، و سپس تعریف کارهایی که برای جلوگیری از وقوع چنین مشکلاتی باید انجام شود (به عنوان مثال، کاهش خطر یا درمان خطر) انجام می شود.
بنابراین، فلسفه اصلی ISO 27001 مبتنی بر فرآیندی برای مدیریت ریسک است: از طریق اجرای کنترلهای امنیتی (یا پادمانها) خطرات را در کجا پیدا کنید و سپس به طور سیستماتیک آنها را درمان کنید.
ISO 27001 از یک شرکت میخواهد که تمام کنترلهایی را که باید اجرا شوند در سندی به نام بیانیه کاربردپذیری فهرست کند.
دو بخش از استاندارد
استاندارد به دو بخش تقسیم می شود. بخش اول، اصلی شامل ۱۱ بند (۰ تا ۱۰) است. بخش دوم که ضمیمه A نام دارد، دستورالعملی برای ۱۱۴ هدف و کنترل کنترل ارائه می کند. بندهای ۰ تا ۳ (مقدمه، دامنه، مراجع هنجاری، اصطلاحات و تعاریف) معرفی استاندارد ISO 27001 را تعیین می کند. بندهای ۴ تا ۱۰ زیر که الزامات ISO 27001 را ارائه می کند که در صورت تمایل شرکت به رعایت استاندارد الزامی است، در این مقاله با جزئیات بیشتر مورد بررسی قرار می گیرد.
الزامات ISO 27001 چیست؟
الزامات بخش های ۴ تا ۱۰ را می توان به صورت زیر خلاصه کرد:
بند ۴: زمینه سازمان – یکی از پیش نیازهای اجرای موفقیت آمیز یک سیستم مدیریت امنیت اطلاعات، درک زمینه سازمان است.
بند ۵: رهبری – الزامات ISO 27001 برای رهبری مناسب چندگانه است. تعهد مدیریت عالی برای یک سیستم مدیریتی الزامی است. اهداف باید بر اساس اهداف استراتژیک یک سازمان تعیین شوند.
بند ۶: برنامه ریزی – برنامه ریزی در یک محیط ISMS باید همیشه خطرات و فرصت ها را در نظر بگیرد. ارزیابی ریسک امنیت اطلاعات پایه و اساس محکمی را برای تکیه بر آن فراهم می کند.
بند ۷: پشتیبانی – منابع، شایستگی کارکنان، آگاهی و ارتباطات موضوعات کلیدی حمایت از هدف هستند. یکی دیگر از الزامات، مستندسازی اطلاعات بر اساس ISO 27001 است.
بند ۸: عملیات – فرآیندها برای اجرای امنیت اطلاعات اجباری هستند. این فرآیندها باید برنامه ریزی، اجرا و کنترل شوند.
بند ۹: ارزیابی عملکرد – الزامات استاندارد ISO 27001 نظارت، اندازه گیری، تجزیه و تحلیل و ارزیابی سیستم مدیریت امنیت اطلاعات را انتظار دارد.
بند ۱۰: بهبود – بهبود ارزیابی را دنبال می کند. عدم انطباق ها باید با اقدام و از بین بردن علل در صورت لزوم برطرف شود. علاوه بر این، یک فرآیند بهبود مستمر باید اجرا شود، حتی اگر چرخه PDCA (Plan-Do-Check-Act) طولانی نباشد.
جهت کسب اطلاعات بیشتر می توانید از وب سایت ایزو فرتاک بازدید نمایید.