استاندارد ISO27001 به چه معناست؟
نام کامل این استاندارد ISO/IEC 27001 است.
این استاندارد پیشرو و متمرکز بر امنیت اطلاعات، توسط سازمان بینالمللی استانداردسازی (ISO) و با مشارکت کمیسیون بینالمللی الکتروتکنیک (IEC) انتشار یافته است. این دو، سازمانهای پیشتازی هستند که استانداردهای بینالمللی را تدوین میکنند.
ISO27001 بخشی از مجموعه استانداردهایی است که برای کنترل امنیت اطلاعات تهیه شده است. (از سری ISO/IEC 27000)
هدف استاندارد ISO27001 چیست؟
این استاندارد برای کمک به سازمانها از هر نوع و هر اندازه، جهت محافظت از اطلاعات خود به روش سیستماتیک و مقرون به صرفه از طریق پیادهسازی سیستم مدیریت امنیت اطلاعات (ISMS) ایجاد گردیده است.
چرا ISO27001 مهم است؟
این استاندارد نه تنها دانش و مهارتهای لازم برای محافظت از ارزشمندترین دارایی هر سازمان یعنی اطلاعات را در اختیار سازمانها قرار میدهد، بلکه سازمانها میتوانند نشان دهند که از دادههای خود محافظت کرده و بدین ترتیب میتوانند گواهینامه ISO27001 را دریافت کنند.
سه هدف امنیتی استاندارد ISO27001 چیست؟
هدف اصلی استاندارد ISO27001 محافظت از سه جنبه اطلاعاتی است:
محرمانگی: فقط افراد مجاز حق دسترسی به اطلاعات را دارند.
یکپارچگی: فقط افراد مجاز میتوانند اطلاعات را تغییر دهند.
دسترسپذیری: اطلاعات باید هر زمان که لازم باشد برای افراد مجاز در دسترس باشد.
نمودار زیر اهداف کلیدی یک سیستم امنیت اطلاعات را نشان می دهد:
سیستم مدیریت امنیت اطلاعات (ISMS) چیست؟
سیستم مدیریت امنیت اطلاعات مجموعه قوانینی است که سازمانها برای ایجاد موارد زیر این قوانین را باید وضع کنند:
- شناسایی ذینفعان و انتظارات آنان از نظر امنیت اطلاعات سازمان
- شناسایی مخاطرات امنیت اطلاعات سازمان
- شناسایی کنترلها و سایر روشهای مورد نیاز به منظور پاسخگویی به انتظارات و مخاطرات شناسایی شده
- تعیین اهداف مشخص به منظور حصول امنیت اطلاعات
- پیادهسازی تمامی کنترلها و روشهای برطرفسازی مخاطرات
- سنجش مداوم کنترلهای اجرا شده مطابق با انتظار
- بهبود مستمر سیستم مدیریت امنیت اطلاعات به منظور عملکرد بهتر
مستندات این مجموعه قوانین میتواند در قالب خط مشی، روشاجرایی، دستورالعمل و یا دیگر اسناد نگارش گردد. استاندارد ISO27001 مشخص میکند که کدام مستند در حال حاضر مورد نیاز است یا به عبارت دیگر دستکم باید وجود داشته باشد.
چرا به ISMS احتیاج داریم؟
یک سازمان با اجرای استاندارد امنیت اطلاعات میتواند چهار مزیت مهم و اساسی را بدست آورد:
مطابقت با الزامات قانونی – تعداد روزافزونی قوانین، مقررات و الزامات قراردادی مربوط به امنیت اطلاعات وجود دارد که بسیاری از این دست قوانین با اجرای استاندارد ISO27001 قابل حل بوده و این استاندارد روش جامع و کاملی برای مطابقتها در اختیار شما قرار میدهد.
مزیت رقابتی – اگر سازمان گواهینامه مربوطه را دریافت کند نسبت به سازمانهای همردیف خود دارای مزیت خواهید بود.
هزینههای پایینتر – فلسفه اصلی ISO27001 جلوگیری از وقوع حوادث امنیتی است. بدیهی است که هر حادثهای چه کوچک یا بزرگ هزینهبر خواهد بود بنابراین با پیشگیریهای لازم صرفهجویی زیادی در هزینههای شما صورت خواهد گرفت و در واقع سرمایهگذاری در ISO27001 به مراتب کمتر از هزینههای مربوط به حوادث امنیتی است.
سازمان بهتر – معمولا سازمانهای در حال رشد سریع فرصت لازم به منظور متوقف کردن فعالیتهای خود را ندارند، و اجرای استاندارد ISO27001 کمک میکند کارکنان سازمان اطلاعات کافی در مورد اینکه فعالیتها چه زمانی و توسط چه کسی باید صورت گیرد را بدست میآورند. همچنین سازمان آگاهی لازم به منظور تدوین فرآیندهای اصلی خود (حتی مواردی که به امنیت اطلاعات مربوط نیستند) کسب میکند و بدین ترتیب زمان از دست رفته کارمندان کاهش مییابد.
استاندارد ISO27001 چگونه عمل میکند:
تمرکز اصلی استاندارد ISO27001 بر حفظ محرمانگی، در دسترس بودن و یکپارچگی اطلاعات سازمان است. این کار با کشف مشکلات احتمالی بهوجود آمده بر روی اطلاعات (به عبارت دیگر ارزیابی ریسک) و سپس راهکارهای لازم به منظور جلوگیری از مشکلات بهوجود آمده (به عبارت دیگر کاهش یا برطرفسازی مخاطرات) صورت میگیرد.
بنابراین فلسفه اصلی ISO27001 مبتنی بر فرآیند مدیریت مخاطرات است و از طریق اجرای کنترلهای امنیتی میتوانید ریسکهای مربوطه را تشخیص داده و به طور سیستماتیک مخاطرات را برطرفسازی کنید.
استاندارد ISO27001 از سازمان میخواهد تمامی کنترلهایی که قرار است پیادهسازی شوند در سندی به نام بیانیه کاربردپذیری لیست شوند.