درباره ایزو 27001

 

ایزو 27001 چیست ؟

ISO 27001 چارچوبی برای مدیریت امنیت اطلاعات است و دکتر ماکان آریا پارسا می گوید که ISO 27001، که تحت عنوان عنوان کامل ISO / IEC 27001: 2013 شناخته می شود، یک سیستم مدیریت امنیت اطلاعات است که به حفظ اطلاعات مصرف کننده در بخش خصوصی و ادارات دولتی کمک می کند.
ISO 27001: 2013 راهنمایی هایی را برای چگونگی مدیریت خطرات امنیتی اطلاعات سازمانها ارائه میدهد که هدف نهایی آن حفظ محرمانگی، امانت و در دسترس بودن اطلاعات با استفاده از فرایند مدیریت ریسک و اطمینان دادن به طرفین ذینفع تحت عنوان اداره ی خطرات است. و، با اجرای تمام مقررات استاندارد و درک واقعی اثرات آنها، سازمان شما می تواند مزایای دیگری نیز به دست آورد. صدور گواهینامه می تواند  باعث اعتبار, انگیزه و منافع مالی  برای سازمان شما شود. از طریق مشتریانی که اطمینان بیشتری نسبت به توانایی شما در حفظ اطلاعاتشان در سطح امنیتی توافق شده همراه با بهبود در امنیت زنجیره تامین شما داشته باشند. تمام این عناصر به شدت به توانایی سازمان شما در داشتن رضایت مشتریان خود و برآورده کردن انتظارات و آرزوهای ذینفعان خود مربوط میشود در حالی که از ظرفیت سازمان برای انجام تجارت در دراز مدت محافظت می کند، مربوط میشود.

پیشینه ISO 27001

حفاظت از داده ها، رمزهای عبور و خدمات کامپیوتری از همیشه مهمتر است. طی چند سال گذشته افزایش حملات پیچیده و متعددی داشتیم که این امر میلیونها نفر از مردم و شرکت ها را در معرض  نقض امنیت، سرقت و تقلب گذاشته است.
ISO 27001: 2013 به منظور ارائه مدل برای ایجاد، اجرا، مدیریت، نظارت، بازنگری، نگهداری و بهبود سیستم مدیریت امنیت اطلاعات توسعه داده شد. این استاندارد به طور مشترک توسط سازمان بین المللی استاندارد سازی (ISO) و کمیسیون بین المللی الکترونیک(IEC) تاسیس , پیاده سازی و نظارت شد.


ایزو 27001

مزایای ISO 27001: 2013 چیست؟

ISO 27001 کمک می کند تا خطراتی که امنیت اطلاعات و محافظت از آنها را تهدید میکند برای سازمان شما کاهش یابد.
این که اطلاعات مختص به شما یا مشتری شما باشد به هر حال ، امنیت اطلاعات ضعیف می تواند برای شما گران تمام شود. تعدادی از الزامات ایزو 27001  نیز قوانین GDPR " قانون حفاظت از داده ها" را برآورده می کند و به طور کلی ضمانت اطلاعات بیشتر را فراهم می کند. پیاده سازی ISO 27001 به مقامات نظارتی نشان می دهد که سازمان شما امنیت اطلاعاتی  به طور جدی  برای شما برقرار شده ,  خطرات تا حدی که رسیدگی به آنها امکان پذیر است شناسایی شده است . خواه امنیت رایانه، امنیت فیزیکی، امنیت سایبری به صورت گسترده، حریم خصوصیها ی  دیگر و یا فقط رسیدن به بهترین شیوه ها،  ISO 27001  استاندارد شناخته شده ای  است که دیگران از آن به این منظور استفاده می کنند.
محیط تهدید آمیز بسیار بالقوه ای برای عدم رعایت GDPR وجود دارد، با این حال، سیستم مدیریت امنیت اطلاعاتISMS)  )  به کاهش احتمال وقوع نقایص کمک می کند، شما را قادر می سازد تا سریعا به آنها واکنش نشان دهید و کنترل هایی را که در جای خود قرار داده اید را  شرح دهید تا بتوانید تاثیرات بالقوه این خطرات امنیتی را کاهش دهید.

ISO 27001 به برد مشتریان خود و حفظ کسب و کار موجود کمک خواهد کرد.
از آنجایی که این استاندارد "بهترین عمل" شناخته شده بین المللی است،  باعث می شود افرادی که می خواهید کار کنند احساس امنیت و ایمنی  کنند و از دارایی های ارزشمند خود مراقبت خواهند کرد.

ISO 27001 به معنای صرفه جویی در زمان و پول است
چرا باید پول زیادی را صرف حل مشکل کرد ؟ (به عنوان مثال از دست دادن اطلاعات برای مشتریان) علاوه بر این، مشتریان به طور چشم گیری  به دنبال اطمینان از مدیریت امنیت اطلاعاتشان و قابلیت های حفاظت شما از اطلاعات هستند. اداره فروش شما احتمالا میزان و طول درخواستهای اطلاعاتی که معمولا به عنوان بخشی از فرایند فروش و چگونگی رشد آنها در همه زمان ها صورت می گیرد را تصدیق میکند. اینها همه به "هزینه فروش"  سازمان شما اضافه می کند.

ISO 27001 اعتبار را افزایش می دهد و اعتماد به سازمان را ایجاد می کند.
بدتر از این برای سازمانی نمیشود که شاهد هک شدن و مورد استفاده/ سوءاستفاده قرارگرفتن سیستم های شان و هک شدن  داده های مشتریان باشند. با استفاده از یک سیستم مدیریت امنیت اطلاعات ISO 27001 شما در موقعیت بهتر برای شناسایی خطرات نقض و پیشگیری از آنها قرار خواهید گرفت. مثل بسیاری از چیزها در کسب و کار، اعتماد مهم است. اما نشان دادن این  که شما به طور مستقل مورد حسابرسی قرار گرفته اید، اعتماد را تقویت کنید.

27001 می تواند به شرکت شما کمک کند تا:

  • شناسایی خطرات و اعمال کنترل برای کاهش آنها
  • اطمینان از رعایت قوانین، مقررات و قراردادهای مربوطه
  • کاهش آسیب پذیری بالقوه ی سازمان و کاهش احتمال مواجه شدن با شکست
  • بهبود از آگاهی امنیت اطلاعات
  • نشان دادن موافقت و کسب اطمینان از مشتریان خود
  • به دست آوردن مزیت رقابتی 
  • ساختن یک فرهنگ امنیتی درون سازمان خود 
  • کسب اجازه برای تبادل اطلاعات مطمئن
اینفوگرافی ایزو امنیت اطلاعات

یکی از مهمترین مزایای گواهینامه ISO 27001 این است که به سوالات احتمالی مشتریان که ممکن است در مورد وضعیت امنیتی و الزامات قانونی باشد را  پاسخ دهد. بسیاری از سازمان هایی که ما با آنها کار می کنیم، مشتریان جدیدی دارند که سؤالات خاصی را درباره برنامه امنیتی که اجرا می کنند دارند. از آنجا که صدور گواهینامه مستلزم آن است که شما توسط یک شخص حاکم بر شخص ثالث مانند موسسه استاندارد بریتانیا (BSI)  تورنتو حسابرسی شود، آسان است که به مشتریان خود اطلاع دهید که قبلا توسط شخص ثالث مورد تایید حسابرسی و تایید شده است که شما با مقررات سازگار هستید.

ISO 27001 برای چه کسانی بکار میرود؟

ISO 27001 برای شرکت هایی است که علاقه مند به اثربخشی سازمانی هستند، زیرا می تواند به شرکت شما کمک کند که مزیت رقابت و جذابیت را برای مشتریان افزایش دهد. ISO 27001 می تواند به محافظت از دارایی های اطلاعاتی کمک کند، چه این شامل اطلاعات مالی، مالکیت معنوی، و یا اطلاعات کارکنان باشد. ISO 27001 کمک می کند تا اطمینان حاصل شود که سازمان شما بهترین شیوه برای محافظت از اطلاعات شرکت را دارد.

چه چیزی در اجرای ISO 27001 دخیل است؟

مرحله 1: تصمیم گیری: صدور گواهینامه  باید تصمیم متف القولی باشد که مدیریت ارشد از آن حمایت کند. این تصمیم باید به صورت داخلی در نظر گرفته شود، چرا که به بیان اهداف سازمان برای پیگیری بهترین می پردازد.

مرحله 2: اعمال مدیریت پروژه: یک فرد، ترجیحا یک مدیر، که در مورد کنترل ها و نقاط عطف مورد نیاز برای واجد شرایط آگاه است، باید مسئولیت اجرای ایزو 27001 را برای شرکت بر عهده داشته باشد.

مرحله 3: تعیین دامنه: اندازه سازمان بر نحوه اجرای ISO 27001 در شرکت تاثیر خواهد گذاشت. در یک شرکت بزرگ، ممکن است اجرای استاندارد ISO 27001 بر روی بخش های خاص در داخل سازمان عملی تر باشد.

مرحله 4: تحلیل شکاف و ارزیابی ریسک: پس از مشخص شدن دامنه ی پیاده سازی، شرکت اکنون آماده ارزیابی خطر است. این مرحله تعیین کننده ی خطرات بالقوه ای است که می تواند محرمانه بودن، یکپارچگی و یا در دسترس بودن اطلاعات درون سازمان را مورد  آسیب قرار دهد.

مرحله 5: خط مشی ISMS: مستند سازی سیاست مهمی است که به اصولی که  برای معیارهایی  که شرکت در برابر استانداردهای ISO” “  آنها  را میسنجد شکل میدهد.
این فرم باید تمامی مراحل مربوطه و کنترل های فردی  را نشان دهد.

مرحله 6: بازرسی داخلی ISO 27001
شرکت برای ارزیابی میزان موفقیتشان در اجرای ISO 27001 در سازمان مورد ارزیابی قرار گرفته است.

مرحله 7: گواهینامه ISO 27001
یک حسابرس مستقل بررسی خواهد کرد که آیا سازمان موفق به اجرای استانداردها در ISO 27001 شده است و در صورت لزوم، گواهی صادر می کند که این شرکت سازگار است و گواهینامه ISO 27001 را کسب کرده است.

ایزو 27001


کدام صنعت ها اعمالگر ISO 27001  است؟

گواهینامه ISO 27001 برای هر سازمانی، بزرگ یا کوچک، در هر بخش مناسب است. این استاندارد مخصوصا مناسب مواردی است که حفاظت از اطلاعات مهم است، مانند بخش بانکی، مالی، بهداشتی، عمومی و فناوری اطلاعات. این استاندارد نیز برای سازمان هایی که حجم زیادی از داده ها را مدیریت می کنند یا اطلاعاتی از طرف سازمان های دیگر مانند مراکز داده و شرکت های برون سپاری فناوری اطلاعات را دارند قابل استفاده است.

تغییرات استاندارد از سال 2005 (از این قسمت متن انگلیسی موجود است )
استاندارد 2013 دارای ساختار کاملا متفاوت از استاندارد 2005 است که دارای پنج بند است. استاندارد 2013 تأکید بیشتری بر اندازه گیری و ارزیابی اینکه عملکرد سیستم ISMS سازمان دارد،  و بخش جدیدی در مورد برون سپاری وجود دارد که این نشان دهنده این واقعیت است که بسیاری از سازمان ها به اشخاص ثالث برای ارائه برخی از جنبه های فناوری اطلاعات متکی هستند. این بر روی Plan-Do-Check-Act (چرخه ی دمینگ) که ایزو 2005 بر آن تاکید داشت تاکیدی ندارد. دیگر فرآیندهای بهبودی مستمر مانند روش DMAIC شش سیگما میتواند اجرا شود. توجه بیشتری در زمینه ی  سازمانی امنیت اطلاعات پرداخت می شود و ارزیابی ریسک تغییر کرده است. به طور کلی، 27001: 2013 طراحی شده است تا بهتر در کنار استانداردهای مدیریتی مانند ISO 9000 و ISO / IEC 20000 بهتر شود و با آنها هماهنگ باشد. 

 

چرخه ی دمینگ( PDCA)

  • برنامه ریزی ایجاد سیستم مدیریت امنیت اطلاعات  ISMS))
  • انجام دادن (پیاده سازی و کارکرد ISMS) پیاده سازی و بهره برداری از سیاست، کنترلها، فرایندها و رویه های سییتم مدیریت امنیت اطلاعات
  • بررسی (نظارت و بررسی ISMS )
  • قانون (به روز رسانی و بهبود ISMS)
کنترل های جدید 
  • امنیت اطلاعات در مدیریت پروژه
  • محدودیت در نصب نرم افزار
  • سیاست توسعه امن
  • اصول مهندسی سیستم امن
  • محیط توسعه امن
  • تست امنیت سیستم
  • خط مشی امنیت اطلاعات برای روابط عرضه کننده
  • زنجیره تامین فناوری اطلاعات و ارتباطات
  • ارزیابی و تصمیم گیری در مورد رویدادهای امنیتی اطلاعات
  • پاسخ به حوادث امنیتی اطلاعات
  • دسترسی به امکانات پردازش اطلاعات
ایزو 27001

کنترل
بند 6.1.3 توصیف می کند که چگونه یک سازمان می تواند به خطرات  با استفاده از یک برنامه ی مدیریت خطر/ریسک پاسخ دهد؛ بخش مهمی از این, انتخاب کنترل های مناسب است. تغییر بسیار مهم در نسخه جدید ISO / IEC 27001 این است که در حال حاضر نیازی به استفاده از کنترل های پیوست A برای مدیریت خطرات امنیتی اطلاعات نیست. نسخه قبلی اصرار دارد ("باید") که کنترل های شناسایی شده در ارزیابی ریسک برای مدیریت خطرات از ضمیمه A انتخاب شوند. بنابراین تقریبا در هر ارزیابی ریسک که در نسخه قدیمی ISO / IEC 27001 تکمیل شده، از کنترل های پیوست A استفاده شده، اما افزایش تعداد ارزیابی های خطر در نسخه جدید از Annex A به عنوان مجموعه کنترل استفاده نمی کند. این باعث می شود که ارزیابی ریسک برای سازمان ساده تر و معقول تر باشد و به طور قابل ملاحظه ای با ایجاد حس مناسب مالکیت به هر دو (خطرات و کنترل ها ) کمک کند. این دلیل اصلی  تغییر در نسخه جدید است. در حال حاضر 114 کنترل در 14 بند و 35 دسته کنترل وجود دارد. استاندارد سال 2005 دارای 133 کنترل در 11 گروه بود.

  • A.5: سیاست های امنیت اطلاعات (2 کنترل)
  • A.6: سازمان امنیت اطلاعات (7 کنترل)
  • A.7: امنیت منابع انسانی - 6 کنترل که قبل، در طول و یا بعد از استخدام استفاده می شود
  • A.8: مدیریت دارایی (10 کنترل)
  • A.9: کنترل دسترسی (14 کنترل)
  • A.10: رمزنگاری (2 کنترل)
  • A.11: امنیت فیزیکی و محیط زیست (15 کنترل)
  • A.12: امنیت عملیات (14 کنترل)
  • A.13: امنیت ارتباطات (7 کنترل)
  • A.14: سیستم کسب، توسعه و نگهداری (13 کنترل)
  • A.15: روابط فروشنده (5 کنترل)
  • A.16: مدیریت حادثه امنیت اطلاعات (7 کنترل)
  • A.17: جنبه های امنیتی اطلاعات مدیریت مداوم تداوم (4 کنترل)
  • A.18: مطابقت؛ با الزامات داخلی، مانند سیاست ها، و با الزامات خارجی مانند قوانین (8 کنترل)

کنترل های جدید و به روزآوری شده منعکس کننده تغییراتی هستند که در فناوری هایی هستند که بر بسیاری از سازمان ها تاثیر می گذارند - به عنوان مثال –رایانش ابری- اما همانگونه که در بالا ذکر شد، امکان این است که از گواهینامه ISO / IEC 27001: 2013 استفاده کرد و از هیچ یک از این کنترل ها استفاده نشود.
توجه داشته باشید که نسخه 2005 ISO / IEC 27001 منسوخ شده و دیگر در حال استفاده نیست. 

مؤسسه کاوش به مدیریت میثم شکری ساز  اقدام به ارائه این ایزو کرده است.

نظرات و دیدگاه ها