سیکا؛ سامانه یکپارچه کسب و کار

استاندارد ایزو 27001 ویرایش 2022

استاندارد ایزو 27001 ویرایش 2022
ISO 27001 تنها استاندارد بین المللی قابل ممیزی است که الزامات مورد نیاز سیستم مدیریت امنیت اطلاعات را معیّن کرده و انتخاب کنترل امنیتی مناسب را تضمین می کند؛ همچنین به سازمان کمک می کند اطلاعات خود را محافظت کند و اعتماد بخش‌های ذینفع و به ویژه مشتریان را جلب نماید و برای تهیه، پیاده سازی، اجرا، نظارت، بررسی، نگهداری، و ارتقا سیستم مدیریت امنیت اطلاعات رویکردی پروسه‌ای فراهم می سازد.

استاندارد ایزو 27001 چیست؟

ISO 27001 تنها استاندارد بین المللی قابل ممیزی است که الزامات مورد نیاز سیستم مدیریت امنیت اطلاعات را معیّن کرده و انتخاب کنترل امنیتی مناسب را تضمین می کند؛ همچنین به سازمان کمک می کند اطلاعات خود را محافظت کند و اعتماد بخش های ذینفع و به ویژه مشتریان را جلب نماید و برای تهیه، پیاده سازی، اجرا، نظارت، بررسی، نگهداری، و ارتقا سیستم مدیریت امنیت اطلاعات رویکردی پروسه ای فراهم می سازد.

این استاندارد که مجموعه ای از کنترلرها و چک لیست های پیشنهاد شده امنیتی میباشد برای استفاده همزمان با استاندارد ISO/IEC 27002 و به منظور صدور گواهینامه تدوین گردیده است. نکته قابل توجه این است که هنوز دریافت گواهینامه ISO 27001 امری اختیاری است و می تواند توسط ارگانها و یا سازمانها اجرا نشود.هر چند که اجرای این استاندارد در کنار استاندار ایزو 9001 یا IMS موجب یکپارچگی و بهبود کیفیت تولیدات و خدمات سازمان ها می شود.

گواهینامه ایزو 27001 مبین این موضوع است که یک سیستم مدیریت امنیت اطلاعات طبق یک استاندارد برتر گواهی گردیده است. گواهینامه ای که توسط یک مرجع ثبت وصدور گواهینامه شخص ثالث صادر می شود بیانگر این است که شما پیش بینی های لازم جهت حفاظت اطلاعات حساس در برابر دسترسی ها و تغییرات غیر مجاز را مبذول نموده اید.

مبدأ استاندارد ISO 27001

BS 7799 استانداردی میباشد که در سال 1995 برای اولین بار توسط BSI Group (گروه استانداردهای انگلستان) ایجاد شد. این استاندارد توسط دپارتمان صنعت و تجارت (DTI) دولت بریتانیا نوشته شد و شامل چندین بخش است. اولین بخش شامل بهترین تجربیات مدیریت امنیت اطلاعات است و در سال 1998 بازبینی شد.

پس از مباحثات بسیار بین صاحبان استاندارد در جهان، استاندارد ISO 27001 در سال 2000 توسط بنیاد ISOتحت عنوان ISO/IEC 17799 انطباق لازم را پیدا کرد. این استاندارد نام ”تکنولوژی اطلاعات – کد تجربی مدیریت امنیت اطلاعات“ را با خود حمل می‌کرد.

استاندارد ISO/IEC 17799 در جوئن 2005 بازبینی شد و در نهایت در سا ل2007 تحت عنوان ISO/IEC 27002 در سری استانداردهای ISO 27000 جای گرفت. قسمت دوم BS7799 برای اولین بار در سال 1999 توسط BSIو با کد ” BS7799 – قسمت 2“تحت عنوان ”سیستم‌های مدیریت امنیت اطلاعات – مشخصات، به همراه راهنمای کاربرد“ منتظر شد. BS 7799-2 بر چگونگی پیاده ساری یک سیستم مدیریت امنیت اطلاعات (ISMS) تمرکز دارد. این استاندارد بعداً به استاندارد ISO 27001 تبدیل شد.

ISMS چیست؟

ISMS یک رویکرد کل‌نگر برای تضمین محرمانه بودن، یکپارچگی و در دسترس بودن (CIA) دارایی‌های اطلاعاتی شرکت است. ISO 27001 شامل خط‌مشی‌ها، رویه‌ها و سایر کنترل‌هایی است که افراد، فرایندها و فناوری را در بر می‌گیرد.

براساس ارزیابی‌های منظم ریسک امنیت اطلاعات،ISMS  یک رویکرد کارآمد، مبتنی بر ریسک و بی‌طرف از فناوری برای ایمن نگه داشتن دارایی‌های اطلاعاتی شما است.

می‌توانید سیستم مدیریت امنیت اطلاعات خود را با استفاده از جعبه ابزار ایزو 27001  بسازید که شامل تمام خط‌مشی‌ها، رویه‌ها و الگوهای از پیش نوشته شده مورد نیاز شما می‌باشد.

تاریخچه ایزو 27001

BS 7799 استانداردی است که در سال 1995 برای اولین‌بار توسط BSI Group (گروه استانداردهای انگلستان) ایجاد شد. این استاندارد شامل چندین بخش است. اولین بخش شامل بهترین تجربیات مدیریت امنیت اطلاعات است و در سال 1998 بازبینی شد.

پس از مباحثات بسیار بین صاحبان استاندارد در جهان، استاندارد ISO 27001 در سال 2000 توسط بنیاد ISO تحت عنوان ISO/IEC 17799 انطباق لازم را پیدا کرد. این استاندارد نام ”تکنولوژی اطلاعات – کد تجربی مدیریت امنیت اطلاعات“ را با خود حمل می‌کرد.
الزامات ایزو 27001

بخشی از الزامات این استاندارد را می‌توان در موارد زیر خلاصه کرد:

    محدوده سیستم مدیریت امنیت اطلاعات
    سیاست و اهداف امنیت اطلاعات
    ارزیابی ریسک و روش درمان ریسک
    بیانیه کاربرد
    طرح درمان ریسک
    ارزیابی ریسک و گزارش درمان ریسک
    تعریف نقش‌ها و مسئولیت‌های امنیتی

اصول ایزو 27001

استاندارد ایزو 27001 چارچوبی را برای پیاده سازی ISMS فراهم می کند و از دارایی های اطلاعاتی شما محافظت کند و در عین حال مدیریت، اندازه گیری و بهبود فرآیند را آسان‌تر می‌کند. این به شما کمک می کند سه بعد امنیت اطلاعات را بررسی کنید:

    محرمانه بودن
    صداقت
    دردسترس‌بودن

دامنه‌ی کاربرد

ایزو 27001 بخش زیادی از امور مربوط به امنیت اطلاعات را پوشش می‌دهد. برخی از این زمینه ها شامل موارد زیر است:

    سیاست امنیتی
    سازماندهی امنیت اطلاعات
    مدیریت دارایی
    امنیت منابع انسانی
    امنیت محیطی و فیزیکی
    ارتباطات و عملکردها
    مدیریت
    کنترل دسترسی
    به خدمت گیری، توسعه و نگهداری سیستم‌های اطلاعاتی
    مدیریت حوادث مربوط به امنیت اطلاعات
    مدیریت دوام تجارت
    مطابقت

مزایای ایزو 27001

استفاده از ایزو 27001 (سیستم مدیریت امنیت اطلاعات) مزایای زیر را برای سازمان دربر دارد:

    نمایش‌دهنده وجود تضمین مستقل برای کنترل‌های داخلی و مطابقت با الزامات دوام تجارت است.
    به‌طور مستقل نشان می‌دهد که قوانین اجرایی نظارت می‌شوند.
    با اطمینان به مشتری که امنیت اطلاعاتش در سطح بالایی است یک فرصت رقابتی ایجاد می‌شود.
    به‌صورت مستقل مشخص می‌شود که ریسک‌های سازمانی شناسایی، سنجش و مدیریت شده‌اند.
    اثبات‌کننده تعهد مدیریت ارشد نسبت به امنیت اطلاعات است.
    پروسه سنجش مداوم به نظارت پیوسته و بهبود روند کمک می‌کند.

نحوه پیاده‌سازی ISO 27001

برای پیاده‌سازی ایزو 27001 باید موارد زیر را در نظر بگیرید:

    محدوده پروژه تضمین تعهد مدیریت و بودجه.
    شناسایی اشخاص ذی‌نفع و الزامات قانونی، مقرراتی و قراردادی.
    انجام ارزیابی ریسک.
    بررسی و اجرای کنترل‌های موردنیاز.
    توسعه شایستگی داخلی برای مدیریت پروژه.
    تهیه مستندات مناسب برگزاری دوره آموزشی آگاهی کارکنان.
    گزارش‌دهی به‌عنوان‌مثال بیانیه کاربرد و طرح درمان ریسک.
    اندازه‌گیری، نظارت، بررسی و ممیزی مستمر.
    انجام اقدامات اصلاحی و پیشگیرانه لازم.

چرخه عمر ایزو 27001

ISO 27001 مشخصات بین المللی شناخته شده برای سیستم مدیریت امنیت اطلاعات (ISMS) است و یکی از محبوب ترین استانداردها برای امنیت اطلاعات است. نسخه ISO / IEC 27001:2013 این استاندارد بهبودهایی را که در سال 2017 انجام شده است را نیز اجرا می‌کند. جدیدترین نسخه این استاندارد در سال 2022 به روز رسانی شده است.


0 نظر

ارسال پیام

سیکا؛ سامانه یکپارچه کسب و کار

سیکا؛ سامانه یکپارچه کسب و کار سیکا؛ سایه‌سار کسب و کار شما

با تایید این پیام، با سیاست حفظ حریم خصوصی و استفاده از کوکی های ما موافقت می کنید.