سیستم مدیریت امنیت اطلاعات (ISMS) چیست؟

استاندارد ISO27001 به چه معناست؟

نام کامل این استاندارد ISO/IEC 27001 است.
این استاندارد پیشرو و متمرکز بر امنیت اطلاعات، توسط سازمان بین‌المللی استانداردسازی (ISO) و با مشارکت کمیسیون بین‌المللی الکتروتکنیک (IEC) انتشار یافته است. این دو، سازمان‌های پیشتازی هستند که استانداردهای بین‌المللی را تدوین می‌کنند.
ISO27001 بخشی از مجموعه استانداردهایی است که برای کنترل امنیت اطلاعات تهیه شده است. (از سری ISO/IEC 27000)

هدف استاندارد ISO27001 چیست؟

این استاندارد برای کمک به سازمان‌ها از هر نوع و هر اندازه، جهت محافظت از اطلاعات خود به روش سیستماتیک و مقرون‌ به ‌صرفه از طریق پیاده‌سازی سیستم مدیریت امنیت اطلاعات (ISMS) ایجاد گردیده است.

چرا ISO27001 مهم است؟

این استاندارد نه تنها دانش و مهارت‌های لازم برای محافظت از ارزشمندترین دارایی هر سازمان یعنی اطلاعات را در اختیار سازمان‌ها قرار می‌دهد، بلکه سازمان‌ها می‌توانند نشان دهند که از داده‌های خود محافظت کرده و بدین ترتیب می‌توانند گواهینامه ISO27001 را دریافت کنند.

سه هدف امنیتی استاندارد ISO27001 چیست؟

هدف اصلی استاندارد ISO27001 محافظت از سه جنبه اطلاعاتی است:

محرمانگی: فقط افراد مجاز حق دسترسی به اطلاعات را دارند.

یکپارچگی: فقط افراد مجاز می‌توانند اطلاعات را تغییر دهند.

دسترس‌پذیری: اطلاعات باید هر زمان که لازم باشد برای افراد مجاز در دسترس باشد.

سیستم مدیریت امنیت اطلاعات (ISMS) چیست؟

سیستم مدیریت امنیت اطلاعات مجموعه قوانینی است که سازمان‌ها برای ایجاد موارد زیر این قوانین را باید وضع کنند:

• شناسایی ذینفعان و انتظارات آنان از نظر امنیت اطلاعات سازمان
• شناسایی مخاطرات امنیت اطلاعات سازمان
• شناسایی کنترل‌ها و سایر روش‌های مورد نیاز به منظور پاسخگویی به انتظارات و مخاطرات شناسایی شده
• تعیین اهداف مشخص به منظور حصول امنیت اطلاعات
• پیاده‌سازی تمامی کنترل‌ها و روش‌های برطرف‌سازی مخاطرات
• سنجش مداوم کنترل‌های اجرا شده مطابق با انتظار
• بهبود مستمر سیستم مدیریت امنیت اطلاعات به منظور عملکرد بهتر

مستندات این مجموعه قوانین می‌تواند در قالب خط‌ مشی، روش‌اجرایی، دستورالعمل و یا دیگر اسناد نگارش گردد. استاندارد ISO27001 مشخص می‌کند که کدام مستند در حال حاضر مورد نیاز است یا به عبارت دیگر دست‌کم باید وجود داشته باشد.

چرا به ISMS احتیاج داریم؟

یک سازمان با اجرای استاندارد امنیت اطلاعات می‌تواند چهار مزیت مهم و اساسی را بدست آورد:

مطابقت با الزامات قانونی – تعداد روزافزونی قوانین، مقررات و الزامات قراردادی مربوط به امنیت اطلاعات وجود دارد که بسیاری از این دست قوانین با اجرای استاندارد ISO27001 قابل حل بوده و این استاندارد روش جامع و کاملی برای مطابقت‌ها در اختیار شما قرار می‌دهد.

مزیت رقابتی – اگر سازمان گواهینامه مربوطه را دریافت کند نسبت به سازمان‌‌های هم‌ردیف خود دارای مزیت خواهید بود.

هزینه‌های پایین‌تر – فلسفه اصلی‌ ISO27001 جلوگیری از وقوع حوادث امنیتی است. بدیهی است که هر حادثه‌ای چه کوچک یا بزرگ هزینه‌بر خواهد بود بنابراین با پیشگیری‌‌های لازم صرفه‌جویی زیادی در هزینه‌های شما صورت خواهد گرفت و در واقع سرمایه‌گذاری در ISO27001 به مراتب کمتر از هزینه‌های مربوط به حوادث امنیتی است.

سازمان بهتر – معمولا سازمان‌های در حال رشد سریع فرصت لازم به منظور متوقف کردن فعالیت‌های خود را ندارند، و اجرای استاندارد ISO27001 کمک می‌کند کارکنان سازمان اطلاعات کافی در مورد اینکه فعالیت‌ها چه زمانی و توسط چه کسی باید صورت گیرد را بدست می‌آورند. همچنین سازمان آگاهی لازم به منظور تدوین فرآیندهای اصلی خود (حتی مواردی که به امنیت اطلاعات مربوط نیستند) کسب می‌کند و بدین ترتیب زمان از دست رفته کارمندان کاهش می‌یابد.

استاندارد ISO27001 چگونه عمل می‌کند:

تمرکز اصلی استاندارد ISO27001 بر حفظ محرمانگی، در دسترس بودن و یکپارچگی اطلاعات سازمان است. این کار با کشف مشکلات احتمالی به‌وجود آمده بر روی اطلاعات (به عبارت دیگر ارزیابی ریسک) و سپس راهکارهای لازم به منظور جلوگیری از مشکلات به‌وجود آمده (به عبارت دیگر کاهش یا برطرف‌سازی مخاطرات) صورت می‌گیرد.

بنابراین فلسفه اصلی ISO27001 مبتنی بر فرآیند مدیریت مخاطرات است و از طریق اجرای کنترل‌های امنیتی می‌توانید ریسک‌های مربوطه را تشخیص داده و به طور سیستماتیک مخاطرات را برطرف‌سازی کنید.

استاندارد ISO27001 از سازمان می‌خواهد تمامی کنترل‌هایی که قرار است پیاده‌سازی شوند در سندی به نام بیانیه کاربردپذیری لیست شوند.