ایزو ۲۷۰۰۱ : مدیریت امنیت اطلاعات
ایزو ۲۷۰۰۱ برمحرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات سازمان تاکید دارد و یکی از استانداردهای سیستم مدیریت امنیت اطلاعات است. از جمله دلایل اصلی وضعیت موجود، میتوان به فقدان زیرساختهای فنی و اجرائی امنیت و عدم انجام اقدامات موثر در خصوص ایمن سازی فضای تبادل اطلاعات این دستگاهها اشاره نمود. سری استانداردهای ایزو ۲۷۰۰۱ در جهت ایجاد امنیت در بخش قابل توجهی از وضعیت نامطلوب امنیت اطلاعات کشور دارند.
سیستم مدیریت امنیت اطلاعات Information security management system یا به اختصار ISMS از اهمیت بالایی برخوردار است. در حال حاضر، وضعیت امنیت فضای تبادل کشور، به ویژه در حوزه دستگاههای دولتی و خصوصی، در سطح نامطلوبی قرار دارد. به همین علت از ISO 27001 استقبال بسیار زیادی شده است. پیادهسازی ایزو ۲۷۰۰۱ گام بسیار مهمی در دستیابی به اهداف امنیتی در حوزه سیستم اطلاعات مدیریت است. واحد فناوری اطلاعات و ارتباطات تاکید زیادی بر استفاده از این استاندارد دارد.
سری استانداردهای ایزو ۲۷۰۰۱ از برجسته ترین استانداردها و راهنماهای فنی در زمینه مدیریت امنیت اطلاعات و ارتباطات محسوب میگردند. این استاندارد در اکتبر سال ۲۰۰۵ به وسیله سازمان بینالمللی استاندارد سازی و کمیسیون الکتروتکنیک بینالمللی تدوین شده است. ایزو ۲۷۰۰۱ استاندارد بسیار معروفی در دنیا است و ویژگیهای سیستم مدیریت امنیت اطلاعات (ISMS) را تعریف میکند. این سیستم به سازمان اجازه میدهد تا ایمنی خود را با کاهش ریسک ادراک شده و اطمینان از مکمل بودن عملکرد و نیاز مشتریان و الزامات قانونی کنترل کند.
از دید سیستم مدیریت امنیت اطلاعات
امنیت اطلاعاتی حفظ محرمانگی،جامعیت،دقت و در دسترس بودن اطلاعات میباشد. سیستم مدیریت امنیت اطلاعات ریسکهای بحرانی اطلاعات سازمان را کاهش میدهد و این استاندارد برمحرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات سازمان تاکید دارد. نا بسامانی موجود در وضعیت امنیت فضای تبادل اطلاعات دستگاههای دولتی از یکسو موجب بروز اخلال در عملکرد صحیح دستگاهها شده و کاهش اعتبار این دستگاهها را در پی خواهد داشت. و از سوی دیگر موجب اتلاف سرمایهها ی ملی خواهد شد. لذا همزمان با تدوین سند راهبردی امنیت فضای تبادل اطلاعات (افتا) کشور، توجه به مقوله ایمن سازی فضای تبادل اطلاعات دستگاههای دولتی، ضروری، نقش موثرتری در فرایند تدوین سند راهبردی امنیت فضای تبادل اطلاعات کشور خواهد داشت.
هدف از پیاده سازی ایزو ۲۷۰۰۱
هدف اصلی ایزو ۲۷۰۰۱ تدوین استانداردهای پایهای جهت کنترلهای امنیتی مورد نیاز برای حفاظت از سیستمهای اطلاعاتی و ارتباطی است. به واسطه فقدان زیر ساخت هایی از قبیل نظام ارزیابی امنیتی فضای تبادل اطلاعات، نظام صدور گواهی و زیر ساختار کلید عمومی، نظام تحلیل و مدیریت مخاطرات امنیتی، نظام پیشگیری و مقابله با حوادث فضای تبادل اطلاعات، نظام مقابله با جرائم فضای تبادل اطلاعات و سایر زیرساختهای امنیت فضای تبادل اطلاعات در کشور میباشد. از سوی دیگر وجود زیر ساختهای قوی، قطعا تاثیر بسزایی در ایمن سازی فضای تبادل اطلاعات دستگاههای دولتی خواهد داشت.
دامنه کاربرد ایزو ۲۷۰۰۱ تمام سازمانهایی است که اهمیت اطلاعات و محرمانه نگه داشتن آنها را میدانند واطلاعات حساس و محرمانه آنها باید به هر طریقی محافظت شود. مزایای پیاده سازی ایزو ۲۷۰۰۱ عبارتند از:
- تعییین مراحل ایمن سازی و نحوه شکلگیری چرخه امنیت
- تکنیکهای مورد استفاده در هر مرحله ایمن سازی و جزئیات آن
- مشخص کردن تهدیدات و کاهش چشمگیر اثرات آنها در ارزیابی مناسب خطر
- خطمشی امنیتی و طرحها و برنامههای تدوین شده و مورد نیاز سازمان در این زمینه
- اطمینان دادن به مشتریان، تامینکنندگان و سهامداران که شما در حفاظت اطلاعات جدی هستید
- شناسایی، ارزیابی و تدوین راه کارهای برخورد با مخاطرات (RISKS) در سازمان
- مجاب کردن افراد به حفظ اطلاعات
- نیاز و نحوه ایجاد تشکیلات سیاست گذاری
- تشکیلات اجرایی و فنی در زمینه امنیت فضای تبادل اطلاعات (افتا)
- کمک به مدیریت در تبعیت از قانون و مقررات و الزامات قراردادی
- بدست آوردن مزیت رقابتی و ارتقای سیمای سازمان
- ایجاد اعتماد بین سهامداران و مشتریان در مورد حفاظت دادهها
خلاصه و جمعبندی
هدف از تدوین استاندارد ملی، تعیین الزامات جهت استقرار، پیادهسازی نگهداری و بهبود مستمر در سیستم مدیریت امنیت اطلاعات است. پذیرش سیستم مدیریت امنیت اطلاعات تصمیمی راهبردی برای سازمان است. استقرار و پیاده سازی سیستم مدیریت امنیت اطلاعات تحت تأثیر نیازها و اهداف و الزامات امنیتی سازمان، فرآیندهای سازمانی مورد استفاده و اندازه و ساختار سازمان است و انتظار میرود به مرور زمان، همه این عوامل تاثیر گذار، تغییر کند.
سیستم مدیریت امنیت اطلاعات از محرمانگی، یکپارچگی و دسترس پذیری اطلاعات با به کاربردن فرآیند مدیریت مخاطرات محافظت میکند و به علاقهمندان اطمینان میدهد که مخاطرات به حد کافی مدیریت میشود. مهم است که سیستم مدیریت امنیت اطلاعات، جزئی از فرآیندهای سازمان و ساختار کلی مدیریتی و به صورت یکپارچه با آن باشد و امنیت اطلاعات در طراحی فرایندها سازمانهای اطلاعاتی و کنترلها در نظر گرفته شود. انتظار میرود پیاده سازی سیستم مدیریت امنیت اطلاعات، متناسب با نیازهای سازمان باشد.
این استاندارد ملی، میتواند توسط طرفهای درونی و بیرونی برای ارزیابی توانایی سازمان در برآورده سازی الزامات امنیت اطلاعات خود سازمان به کار برده شود. ترتیب ارائه الزامات در این استاندارد ملی، منعکس کننده اهمیت یا ترتیب پیاده سازی آنها نیست. اقلام فهرست شده، فقط برای ارجاع، شماره گذاری شده اند. استاندارد ایزو ۲۷۰۰۰ مرور کلی و واژگان سیستمهای مدیریت امنیت اطلاعات توصیف میکند، که همراه با واژگان و تعاریف مرتبط به خانواده استانداردهای سیستم مدیریت امنیت اطلاعات اشاره دارد.
نگارنده: محبوبه برابسته | مقاله انواع ایزو ISO | ۱۱ آبان ۹۴
«ایزو ۲۷۰۰۱» را در بازار اندروید ببین:
؟؟؟؟؟؟
برای تبلیغات در بخش ایزو میتوانید با ما تماس بگیرید.