استاندارد ISO 27000

استاندارد ISO 27000

در ابتدا پیرامون ISMS که مخفف عبارت Information security management system می باشد توضیحاتی را عنوان خواهیم نمود. ISMS همان طور که از نامش پیداست، یک سیستم مدیریتی مختص به امنیت اطلاعات می باشد که برخاسته از آیین نامه ISO/IEC 27002 جهت مدیریت امنیت اطلاعات است و توسط سازمان بین المللی استانداردسازی یا همان International Organization for Standardization در سال 2000 انتشار یافته است.

در ادامه اطلاعات کامل تری را خواهید یافت.

مقدمه ای بر سیستم مدیریت امنیت اطلاعات
* محرمانگی: اطمینان از اینکه منابع فقط برای افراد مجاز سازمان در دسترس میباشند.
* یکپارچگی: تامین دقت لازم و کامل بودن منابع و دادهها و روش های پرداز ش آنها
* دسترس پذیری: اطمینان از این که افراد مجاز در تمامی زمانهای تعیین شده، به منابع و داده ها و سرمایه های موجود دسترسی داشته باشند.
ISO/IEC 27001 یک استاندارد بین المللی شناخته شده برای مدیریت امنیت اطلاعات است؛ این استاندارد به طور مستقیم از استاندارد مدیریت امنیت اطلاعات (BS 7799) متعلق به موسسه استاندارد انگلستان گرفته شده است.
ISO/IEC 27001 یک استاندارد سطح بالا است که برای سیستمهای تجاری گوناگون قابل پیادهسازی می باشد. در واقع ویژگی های این استاندارد سبب می شود که در سازمانهای مختلف و در زمینه های کاربردی مختلف قابل پیاده سازی باشد.

ISO/IEC 27001 منابع و دادههای هر سازمان را به عنوان سرمایه های آن سازمان در نظر می گیرد. هدف سیستم مدیریت امنیت اطلاعات حفاظت از این سرمایه هاست تا با این کار بتوان استمرار کسب و کار را تضمین نمود، آسیب پذیری آن را به حداقل رسانیده، بازگشت سرمایه را به بالا ترین مرز ممکن خود نزدیک کرد.

طبق تعریف ISO/IEC 27001، امنیت اطلاعات به منظور تضمین سه اصل زیر مورد نیاز میباشد:

مزایای استاندارد ISO/IEC 27001:2005
امنیت اطلاعات می تواند نیازهای تجارت را در سه ضلعی محرمانگی، یکپارچگی و دسترس پذیری بر طرف سازد. در سیستم مدیریت امنیت اطلاعات، بر خلاف سیستمهای سنتی، به منظور تشخیص و جلوگیری از مواجهه با چالش های امنیتی و بازیابی داده های آسیب دیده به حالت اولیه خود، بهترین الگوها و مناسب ترین راهنمایی ها پس از انجام ارزیابی های مختلف در دسترس می باشند. ISO/IEC 27001 مبنایی را برای ایمن سازی سرمایههای سازمانی و روش هایی را برای مدیریت فرایند امنیت اطلاعات ارایه می نماید.
* برخورداری از یک متدولوژی سازمان یافته بین المللی برای مدیریت امنیت اطلاعات
* داشتن فرایندهای مشخص برای ارزیابی، اجرا، نگهداری و مدیریت امنیت اطلاعات
* برخورداری از مجموعه سیاست ها، استانداردها، روال ها و رهنمون های مناسب[/SIZE] ISO/IEC 27001 برای سازمان ها مزایای زیر را به ارمغان می آورد:

اجزای تشکیل دهنده استاندارد ISO/IEC 27001:2005
سرمایه های سازمانی به طور روزمره با تهدیدهای متعددی مواجه هستند و این در حالی است که سازمانها روز به روز به سرمایه های خود وابسته تر می شوند. بیشتر سیستم های اطلاعاتی به خودی خود ایمن نیستند و اعمال راه حل های تکنیکی فقط بخشی از یک راه حل کلی امنیت اطلاعات می باشد.
راه اندازی تجهیزات امنیت اطلاعات بسیار ضروری است، اما برای انجام چنین کاری، هر سازمانی باید در ابتدا محیطهای تهدیدآمیز خود را شناسایی نمایند. این محیط ها دامنه طراحی و پیاده سازی سیستم مدیریت امنیت اطلاعات قلمداد می شوند.
با شناسایی دامنه های مخاطرات امنیتی، برای کاهش موجبات این مخاطرات می توان کنترل های مناسبی را طراحی نمود. ISO/IEC 27001 دارای کنترل های امنیتی در دامنه های بسیار جامع می باشد که این دامنه ها مبنای ارزیابی مخاطرات امنیتی و گسترش امنیت در نظر گرفته می شوند. دامنه های مذکور عبارتند از:

  1. ساختار امنیت اطلاعات: Organization of Information Security
  2. مدیریت سرمایه: Asset Management
  3. امنیت منابع انسانی: Human Resource Security
  4. امنیت فیزیکی و محیطی: Physical & Environmental Security
  5. مدیریت ارتباطات و عملیات: Communications & Operations Management
  6. کنترلهای دسترسی: Access Controls
  7. ایجاد، پیادهسازی و نگهداری سیستمهای اطلاعاتی: Information System Acquisition, Development and Maintenance
  8. مدیریت بحران امنیت اطلاعات: Information Security Incident Management
  9. مدیریت تداوم کسب و کار: Business Continuity Management
  10. تطابق: Compliance 1. سیاست های امنیتی Security Policy :
    ISO/IEC 27001-BS 7799 مجموعه دامنه هایی را بدست می دهد که در مدیریت امنیت هر سازمان مورد نیاز میباشند. ممیزی عبارت است از نگرشی مدیریت شده به ضعفهای این نواحی که می تواند بر محرمانگی، یکپارچگی و قابلیت دسترسی سیستم های تکنولوژی اطلاعات تاثیرگذار باشد. ISO/IEC 27001 اظهار می دارد که در هر ناحیه، ممیز باید اوضاع کنونی را با توجه به معیار ها یا استاندارد های امنیتی -که می توانند سازمان را به بهترین نحو محافظت کنند- ارزیابی نماید.

استاندارد ISO/IEC 27001:2005 و یک روش پردازش برای مدیریت داده ها
یک روش پردازش، کاربران خود را برای اهمیت دادن به نکات زیر ترغیب می نماید:
* درک نیازهای امنیت داده ای در تجارت و نیاز به ایجاد سیاست ها و اهدافی برای امنیت داده ها
* اجرا و اعمال کنترل هایی در متن مدیریت تمامی مخاطرات امنیتی تجاری یک سازمان
* نظارت و بازبینی کارایی و تاثیر ISMS
* بهینه سازی پیوسته بر اساس معیارهای موردنظر.
این استاندارد از یک مدل شناخته شده تحت عنوان مدل Plan-Do-Check-Act یا PDCA به عنوان یک اصل پذیرفته شده استفاده می نماید. این مدل بایستی به تمامی فرایندهای سیستم مدیریت امنیت اطلاعات اعمال گردد. شکل زیر نشان می دهد که ISMS چگونه نیازها و انتظارات امنیت دادههای سازمان را به عنوان ورودی گرفته با انجام عملیات و فرایندهای لازم خروجی های مورد نیاز امنیت اطلاعات (مانند امنیت دادههای مدیریت شده) را فراهم می آورد.

ISO/IEC 27001 یک روش پردازشی برای ایجاد، اجرا، اعمال، نظارت، نگهداری و بهینه سازی کارایی سیستم مدیریت امنیت اطلاعات یک سازمان را ترویج میدهد. هر سازمانی برای اینکه درست کار کند، بایستی فعالیتهای زیادی را تعریف و مدیریت نماید. هر فعالیتی که برای تبدیل ورودی ها به خروجی ها با استفاده از منابع سازمان مدیریت گردد می تواند یک فرایند در نظر گرفته شود. به کار بردن مجموعهای از فرایندها در یک سازمان همراه با شناسایی و فعل و انفعالات و مدیریت آنها می تواند یک “روش پردازش” تلقی گردد.

استاندارد ISO 27000