ایزو ۲۷۰۰۱

ایزو ۲۷۰۰۱ برمحرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات سازمان تاکید دارد و یکی از استانداردهای سیستم مدیریت امنیت اطلاعات است. از جمله دلایل اصلی وضعیت موجود، می‌توان به فقدان زیرساخت‌های فنی و اجرائی امنیت و عدم انجام اقدامات موثر در خصوص ایمن سازی فضای تبادل اطلاعات این دستگاه‌ها اشاره نمود. سری استانداردهای ایزو ۲۷۰۰۱ در جهت ایجاد امنیت در بخش قابل توجهی از وضعیت نامطلوب امنیت اطلاعات کشور دارند.

سیستم مدیریت امنیت اطلاعات Information security management system یا به اختصار ISMS از اهمیت بالایی برخوردار است. در حال حاضر، وضعیت امنیت فضای تبادل کشور، به ویژه در حوزه دستگاه‌های دولتی و خصوصی، در سطح نامطلوبی قرار دارد. به همین علت از ISO 27001 استقبال بسیار زیادی شده است. پیاده‌سازی ایزو ۲۷۰۰۱ گام بسیار مهمی در دستیابی به اهداف امنیتی در حوزه سیستم اطلاعات مدیریت است. واحد فناوری اطلاعات و ارتباطات تاکید زیادی بر استفاده از این استاندارد دارد.

سری استاندارد‌های ایزو ۲۷۰۰۱ از برجسته ترین استاندارد‌ها و راهنما‌های فنی در زمینه مدیریت امنیت اطلاعات و ارتباطات محسوب می‌گردند. این استاندارد در اکتبر سال ۲۰۰۵ به وسیله سازمان بین‌المللی استاندارد سازی و کمیسیون الکتروتکنیک بین‌المللی تدوین شده است. ایزو ۲۷۰۰۱ استاندارد بسیار معروفی در دنیا است و ویژگی‌های سیستم مدیریت امنیت اطلاعات (ISMS) را تعریف می‌کند. این سیستم به سازمان اجازه می‌دهد تا ایمنی خود را با کاهش ریسک ادراک شده و اطمینان از مکمل بودن عملکرد و نیاز مشتریان و الزامات قانونی کنترل کند.

از دید سیستم مدیریت امنیت اطلاعات

امنیت اطلاعاتی حفظ محرمانگی،جامعیت،دقت و در دسترس بودن اطلاعات میباشد. سیستم مدیریت امنیت اطلاعات ریسک‌های بحرانی اطلاعات سازمان را کاهش می‌دهد و این استاندارد برمحرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات سازمان تاکید دارد. نا بسامانی موجود در وضعیت امنیت فضای تبادل اطلاعات دستگاه‌های دولتی از یکسو موجب بروز اخلال در عملکرد صحیح دستگاه‌ها شده و کاهش اعتبار این دستگاه‌ها را در پی خواهد داشت. و از سوی دیگر موجب اتلاف سرمایه‌ها ی ملی خواهد شد. لذا همزمان با تدوین سند راهبردی امنیت فضای تبادل اطلاعات (افتا) کشور، توجه به مقوله ایمن سازی فضای تبادل اطلاعات دستگاه‌های دولتی، ضروری، نقش موثرتری در فرایند تدوین سند راهبردی امنیت فضای تبادل اطلاعات کشور خواهد داشت.

هدف از پیاده سازی ایزو ۲۷۰۰۱

هدف اصلی ایزو ۲۷۰۰۱ تدوین استانداردهای پایه‌ای جهت کنترل‌های امنیتی مورد نیاز برای حفاظت از سیستم‌های اطلاعاتی و ارتباطی است. به واسطه فقدان زیر ساخت هایی از قبیل نظام ارزیابی امنیتی فضای تبادل اطلاعات، نظام صدور گواهی و زیر ساختار کلید عمومی، نظام تحلیل و مدیریت مخاطرات امنیتی، نظام پیشگیری و مقابله با حوادث فضای تبادل اطلاعات، نظام مقابله با جرائم فضای تبادل اطلاعات و سایر زیرساخت‌های امنیت فضای تبادل اطلاعات در کشور می‌باشد. از سوی دیگر وجود زیر ساخت‌های قوی، قطعا تاثیر بسزایی در ایمن سازی فضای تبادل اطلاعات دستگاه‌های دولتی خواهد داشت.

دامنه کاربرد ایزو ۲۷۰۰۱ تمام سازمان‌هایی است که اهمیت اطلاعات و محرمانه نگه داشتن آنها را می‌دانند واطلاعات حساس و محرمانه آنها باید به هر طریقی محافظت شود. مزایای پیاده سازی ایزو  ۲۷۰۰۱ عبارتند از:

  • تعییین مراحل ایمن سازی و نحوه شکل‌گیری چرخه امنیت
  • تکنیک‌های مورد استفاده در هر مرحله ایمن سازی و جزئیات آن
  • مشخص کردن تهدیدات و کاهش چشمگیر اثرات آنها در ارزیابی مناسب خطر
  • خط‌مشی امنیتی و طرح‌ها و برنامه‌های تدوین شده و مورد نیاز سازمان در این زمینه
  • اطمینان دادن به مشتریان، تامین‌کنندگان و سهامداران که شما در حفاظت اطلاعات جدی هستید
  • شناسایی، ارزیابی و تدوین راه کارهای برخورد با مخاطرات (RISKS) در سازمان
  •  مجاب کردن افراد به حفظ اطلاعات
  • نیاز و نحوه ایجاد تشکیلات سیاست گذاری
  • تشکیلات اجرایی و فنی در زمینه امنیت فضای تبادل اطلاعات (افتا)
  • کمک به مدیریت در تبعیت از قانون و مقررات و الزامات قراردادی
  • بدست آوردن مزیت رقابتی و ارتقای سیمای سازمان
  • ایجاد اعتماد بین سهامداران و مشتریان در مورد حفاظت داده‌ها

خلاصه و جمع‌بندی

هدف از تدوین استاندارد ملی، تعیین الزامات جهت استقرار، پیاده‌سازی نگهداری و بهبود مستمر در سیستم مدیریت امنیت اطلاعات است. پذیرش سیستم مدیریت امنیت اطلاعات تصمیمی راهبردی برای سازمان است. استقرار و پیاده سازی سیستم مدیریت امنیت اطلاعات تحت تأثیر نیازها و اهداف و الزامات امنیتی سازمان، فرآیندهای سازمانی مورد استفاده و اندازه و ساختار سازمان است و انتظار می‌رود به مرور زمان، همه این عوامل تاثیر گذار، تغییر کند.

سیستم مدیریت امنیت اطلاعات از محرمانگی، یکپارچگی و دسترس پذیری اطلاعات با به کاربردن فرآیند مدیریت مخاطرات محافظت می‌کند و به علاقه‌مندان اطمینان می‌دهد که مخاطرات به حد کافی مدیریت می‌شود. مهم است که سیستم مدیریت امنیت اطلاعات، جزئی از فرآیندهای سازمان و ساختار کلی مدیریتی و به صورت یکپارچه با آن باشد و امنیت اطلاعات در طراحی فرایندها سازمان‌های اطلاعاتی و کنترل‌ها در نظر گرفته شود. انتظار می‌رود پیاده سازی سیستم مدیریت امنیت اطلاعات، متناسب با نیازهای سازمان باشد.

این استاندارد ملی، می‌تواند توسط طرف‌های درونی و بیرونی برای ارزیابی توانایی سازمان در برآورده سازی الزامات امنیت اطلاعات خود سازمان به کار برده شود. ترتیب ارائه الزامات در این استاندارد ملی، منعکس کننده اهمیت یا ترتیب پیاده سازی آن‌ها نیست. اقلام فهرست شده، فقط برای ارجاع، شماره گذاری شده اند. استاندارد ایزو ۲۷۰۰۰ مرور کلی و واژگان سیستم‌های مدیریت امنیت اطلاعات توصیف می‌کند، که همراه با واژگان و تعاریف مرتبط به خانواده‌ استانداردهای سیستم مدیریت امنیت اطلاعات اشاره دارد.