Blog

استاندارد 27001 (استاندارد ایزو امنیت اطلاعات)

توسط در ایزو سازمان شما, سازمان ها و ادارات, کلیه گواهینامه ها 3 نوامبر 2021

ISO/IEC 27000 مدیریت امنیت اطلاعات، در مورد ایمن نگه داشتن دارایی های اطلاعاتی، سازمان ها می توانند به خانواده ISO / IEC 27000 اعتماد کنند. ISO / IEC 27001 به طور گسترده ای شناخته شده است، و الزاماتی را برای سیستم مدیریت امنیت اطلاعات (ISMS) فراهم می کند، اگرچه بیش از ده استاندارد در خانواده ISO / IEC 27000 وجود دارد.

استفاده از ISO/IEC 27000 مدیریت امنیت اطلاعات سازمانها را از هر نوع قادر می سازد تا امنیت دارایی هایی مانند اطلاعات مالی، مالکیت معنوی، مشخصات کارمندان یا اطلاعات سپرده شده توسط اشخاص ثالث را مدیریت کنند.

مقدمه ISO/IEC 27000 مدیریت امنیت اطلاعات:

با توجه به موضوع امنیت اطلاعات برای سازمان ها به ویژه نگاه سیستماتیک امنیت اطلاعات، همچنین ایجاد چارچوب ها و مکانیزم های قابل قبول برای حوزه مدیریت امنیت اطلاعات، تهیه و تدوین استاندارد از سالیان گذشته در دستور کار مجامع بین الملل و سازمان های ذینفع قرار گرفته است. به صورت خاص در حوزه سیستم مدیریت امنیت اطلاعات (ISMS) استاندارد های خانواده سازمان جهانی (ISO)، در حال حاضر به عنوان معتبر ترین استاندارد ها  ISO/IEC 27000 مدیریت امنیت اطلاعات نام برده می شود.

مقاله فوق توسط گروه مهندسین هوداک سیستم فرتاک برای آشنایی با خانواده استاندارد ISO/IEC 27000 مدیریت امنیت اطلاعات تدوین و منتشر شده است.

مقدمه ISO/IEC 27000 مدیریت امنیت اطلاعات:

ISO 27001 ( ایزو 27001) استانداردی بین المللی در مورد نحوه مدیریت امنیت اطلاعات است. ایزو 27001 در ابتدا به طور مشترک توسط سازمان استاندارد سازی ایزو (ISO) و کمیسیون بین المللی الکترونیک (IEC) تدوین و در سال 2005 منتشر شد. نسخه جدید استاندارد ایزو 27001 سال 2013 مورد بازنگری قرار گرفت و گواهینامه ایزو 27001 در نسخه جدید 2017 میلادی توسط نهاد های صادر کننده گواهینامه ایزو صادر می گردد.

هدف از تدوین ISO/IEC 27000 مدیریت امنیت اطلاعات کمک به سازمان ها برای ایجاد امنیت بیشتر در دارایی های اطلاعاتی است که در اختیار دارند. سازمان های IT، انفورماتیک، بانک ها و موسسات اطلاعاتی می توانند گواهینامه ایزو 27001 اخذ نمایند.

تاریخچه ISO/IEC 27000 مدیریت امنیت اطلاعات:

اولین بار موسسه استاندارد انگلستان (BSI) و با نام BSI 7799 استاندارد مدیریت امنیت اطلاعات را تدوین نمود. استاندارد ISO 27001 توسط دپارتمان دولتی تجارت و صنعت انگلستان (DTI) نوشته شده و دارای چندین بخش است که به طور جداگانه به آن پرداخته می شود. بخش اول استاندارد مدیریت امنیت اطلاعات در سال 1995 منتشر و در سال 1998 بازنویسی شد، سپس سال 2000 توسط موسسه استاندارد بین المللی ISO تحت عنوان ISO/IEC 17799  ارائه شد.

استاندارد ایزو 27000 توسط سازمان ایزو در سال 2005 بازنگری شده و بالاخره در زیر گروه استانداردهای امنیتی ISO 27000 قرار گرفت و استاندارد ISO/IEC 27002 بر اساس آن در جولای 2007 عرضه شد.

اجرای بخش دوم ISO/IEC 27000 مدیریت امنیت اطلاعات:

بخش دوم استاندارد ایزو 27001 توسط کمیته فنی BSI7799 برای اولین بار در سال 1999 با عنوان Information Security Management Systems – Specification with guidance for use ارائه شد. تمرکز بخش دوم بر روی پیاده سازی سیستم های مدیریت امنیت اطلاعات (ISMS) می باشد. نسخه دوم BS7799-2 در سال 2002 توسط یک مدل جدید به نام PDCA معرفی شد، که رابطه با تضمین کیفیت را ارائه می دهد. ارائه این مدل به استاندارد مدیریت کیفیت ISO 9000 نزدیک است.

بخش سوم BS 7799 در سال 2005، با موضوع تحلیل و مدیریت مخاطرات منتشر شد. این استاندارد نیز در ردیف ISO/IEC 27001 قرار می گیرد. بر اساس سیاست ها و ساختارهای مدیریت امنیت اطلاعات ارائه شده در دو نسخه مذکور، استاندارد ISO/IEC 27001 در نوامبر سال 2005 منتشر شد.

مقدمه ای بر ISO/IEC 27000 مدیریت امنیت اطلاعات:

مدمه ای بر سیستم مدیریت امنیت اطلاعات شامل: محرمانگی ( اطمینان در مورد منابع فقط برای افراد مجاز سازمان)، یکپارچه گی (تامین دقت لازم و کامل منابع، داده ها و نحوه پردازش آن ها)، دسترس پذیری (اطمینان از اینکه افراد مجاز در هر زمانی به منابع دسترسی داشته باشند).

ایزو 27001 استانداردی سطح بالا برای سازمان هایی که امنیت اطلاعات آن ها بسیار مهم بوده و ایزو 27001 منابع و دارایی های سازمان را به عنوان سرمایه آن سازمان در نظر می گیرد. هدف سیستم مدیریت امنیت اطلاعات حفاظت از این سرمایه می باشد، تا با این کار بتوان استمرار کسب و کار را تضمین نمود، آسیب پذیری آن را به حداقل برساند و بازگشت سرمایه را به بالا ترین مرز ممکن خود نزدیک نماید.

مزایای ISO/IEC 27000 مدیریت امنیت اطلاعات:

ISO 27001 سیستم مدیریت امنیت اطلاعات مبنایی را برای ایمن سازی سرمایه های سازمانی و روش هایی را برای مدیریت فرآیند امنیت اطلاعات ارایه می نماید. امنیت اطلاعات سازمان ها می تواند نیاز تجارت سازمان را در سه ضلعی محرمانگی، یکپارچه گی و دسترسی پذیری بر طرف سازد.

برخورداری از متالوژی سازمان یافته بین المللی برای مدیریت امنیت اطلاعات، داشتن فرآیند مشخص برای ارزیابی، اجرا و نگهداری همچنین امنیت اطلاعات، برخورداری از مجموعه سیاست ها، استاندارد ها، روال تعیین شده در استاندارد ایزو 27001 جزو مزایای مهم ISO/IEC 27000 مدیریت امنیت اطلاعات می باشد. در سیستم مدیریت امنیت اطلاعات، بر خلاف سیستمهای سنتی، به منظور تشخیص و جلوگیری از مواجهه با چالشهای امنیتی ، بهترین الگو امنیتی برای سازمان می باشد.

اجزای تشکیل دهنده ISO/IEC 27000 مدیریت امنیت اطلاعات:

اجزای تشکیل دهنده استاندارد ایزو 27001 دارای کنترل های امنیتی در 11 دامنه بسیار مهم می باشند. سازمان هایی که خواهان پیاده سازی الزامات استاندارد ایزو 27001 هستند باید هر 11 دامنه امنیتی را اجرا نمایند. این 11 دامنه مبنای ارزیابی مخاطرات امنیتی و گسترش امنیت در نظر گرفته می شوند که شامل:

ساختار امنیت اطلاعات، مدیریت سرمایه، امنیت منابع انسانی، امنیت فیزیکی و محیطی، مدیریت ارتباطات و عملیات، کنترل های دسترسی، ایجاد پیاده سازی و نگهداری سیستم های اطلاعاتی، مدیریت بحران امنیت اطلاعات، مدیریت تداوم کسب وکار، تطابق سیسات های امنیتی می باشد.

ممیزی ایزو 27001 عبارت است از نگرش مدیریت شده به ضعف های این نواحی که می تواند به محرمانگی، یکپارچه گی و قابلیت دسترسی سیستم تکنولوژی اطلاعات تاثیر گذار باشد.

خانواده ISO/IEC 27000 مدیریت امنیت اطلاعات:

خانواده استاندارد های مدیریت امنیت اطلاعات شامل استاندارد های بین المللی زیر می باشد که با عنوان کلی فناوری اطلاعات و تکنیک های امنیتی معرفی می شوند.

ISO / IEC 27000: 2009 سیستم های مدیریت امنیت اطلاعات – نمای کلی و واژگان، سیستم های مدیریت امنیت اطلاعات – مرور و لغت نامه، سیستم های مدیریت امنیت اطلاعات – نیازمندی ها، آئین نامه کاری مدیریت امنیت اطلاعات، راهنمای پیاده سازی سیستم مدیریت امنیت اطلاعات، مدیریت امنیت اطلاعات – سنجش، مدیریت مخاطرات امنیت اطلاعات، نیازمندی های ممیزان و ارائه دهندگان سیستم های مدیریت امنیت اطلاعات، راهنمای ممیزی سیستم های مدیریت امنیت اطلاعات، راهنمای مدیریت امنیت اطلاعات برای سازمان های مخابراتی بر مبنای ISO/IEC 27002.

 

 

دیدگاه خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    سبد خرید