کد مطلب : 128 |
تعداد نظرات: 0 |
تعداد بازدیدها: 3658 |
تاریخ درج: پنجشنبه, آبان 20, 1395 |
ساعت: 12:00 ق.ظ |
منبع / نویسنده مطلب: مدیر محتوا
ISO 27001
ISO/IEC 27001: قسمی از استانداردهای خانواده ISO/IEC 27000) استاندارد سیستم مدیریت امنیت اطلاعات (ISMS) است که در سال ۲۰۰۵ توسط سازمان بینالمللی استانداردها (ISO) و کمیسیون برق بینالمللی تدوین گردیده است. نام کامل این استاندارد بدین صورت است: تکنولوژی اطلاعات – تکنیکهای امنیت – سیستمهای مدیریت امنیت اطلاعات و نیازمندی ها.
ISO/IEC 27001: قسمی از استانداردهای خانواده ISO/IEC 27000) استاندارد سیستم مدیریت امنیت اطلاعات (ISMS) است که در سال ۲۰۰۵ توسط سازمان بینالمللی استانداردها (ISO) و کمیسیون برق بینالمللی تدوین گردیده است. نام کامل این استاندارد بدین صورت است: تکنولوژی اطلاعات – تکنیکهای امنیت – سیستمهای مدیریت امنیت اطلاعات و نیازمندی ها.
ISO/IEC 27001 به طور رسمی یک سیستم مدیریت را تعیین میکند که هدف آن تامین امنیت اطلاعات است که در تحت شرایط کنترل مدیریت خاص امکان پذیر است. تعیین رسمی بدین معناست که این استاندارد یک سری از برآوردن نیازمندیها را الزام میکند و سرپیچی از این قوانین جرم محسوب میشود.
طریقه عملکرد استاندارد:
بسیاری از سازمانها یک سری کنترلهای امنیت اطلاعات برای خود تعیین میکنند. با این حال، بدون سیستم مدیریت امنیت اطلاعات (ISMS)، کنترل حدودی، بی سامانی و عدم یکپارچگی میانجامد. این سیستم را میتوان به صورت راه حلهای نقطهای (برای شرایط خاص) و یا به طور سرتاسری مثل قانون (کنوانسیون) پیاده سازی کرد. به طور معمول کنترلهای امنیتی در عمل جنبههای خاصی از امنیت IT و/یا دادهها را هدف قرار میدهد؛ و اطلاعات و جنبههای غیر IT (مانند کارهای اداری و اطلاعات خصوصی شرکت) کمتر محافظت میشوند. علاوه بر این، برنامه ریزی کسب و کار و حفاظت فیزیکی کاملاً به طور مستقل از IT و/یا امنیت اطلاعات اداره میشود، در حالی که معمولاً در سازمان، مرجعی که نیاز به تعریف و اختصاص دادن امنیت اطلاعات در نقشها و مسئولیتهای منابع انسانی داشته باشد وجود ندارد.
مستلزم مدیریت موارد زیر است:
- بررسی سیستماتیک خطرات امنیتی اطلاعات سازمان، با در نظر گرفتن تهدیدها، آسیب پذیریها، و اثرات و عواقب؛
- طراحی و پیاده سازی یک مجموعه منسجم و جامع از کنترل امنیت اطلاعات و/یا دیگر اشکال مقابله با خطر (مانند پیشگیری ازخطرات یا انتقال ریسک؛ بیمه) برای هدف قرار دادن آن دسته از خطراتی که اجتناب ناپذیر تلقی میشوند؛
- انطباق یک پروسه مدیریت فراگیر به سازمان از تداوم کنترلهای امنیتی اطمینان حاصل شود. تا گسترش و پیشروی سازمان به جلو، همیشه نیازهای امنیتی اطلاعات سازمان رفع شود. در حالی که ممکن است به غیر از (یا به جای) این استاندارد، مجموعه دیگری از کنترلهای امنیت اطلاعات به طور بالقوه تحت لوای ISO/IEC 27001 ISMS به کار گرفته شوند، ولی معمولاً این دو استاندارد در کنار هم استفاده میشود. ضمیمه A در ISO/IEC 27001 فهرستی خلاصه از کنترلهای امنیتی اطلاعات موجود در ISO/IEC 27002 را بیان میکند. این در حالی است که ISO/IEC 27002 اطلاعات بیشتر و راهنماییهای پیاده سازی را فراهم میکند.
سازمانهایی که مجموعهای از کنترلهای امنیت اطلاعات را مطابق با ISO/IEC 27002 پیاده سازی کردهاند، به احتمال زیاد، همزمان تمایل به اجرای بسیاری از الزامات ISO/IEC 27001 را دارند. اما ممکن است برخی از المانهای سیستم مدیریت فراگیر را اجرا نکرده باشند. برعکس این قضیه نیز درست است، به عبارت دیگر، یک گواهی تضمین مطابق با ISO/IEC 27001 اطمینان میدهد که پیاده سازی سیستم مدیریت در زمینه امنیت اطلاعات تضمین شدهاست. ولی در مورد وضعیت مطلق امنیت اطلاعات در درون سازمان اطلاعات کمی را در اختیار ما قرار میدهد. کنترلهای امنتی تکنیکی، مثل ضدویروسها و دیوارهای آتش، به طور عادی در ISO/IEC 27001 مورد بحث نیستند: در این استاندارد پیشفرض آن است که سازمان همه کنترلهای امنیتی لازم برای ISMS را به طور کلی در در حال اجرا دارد و تنها برآورده کردن الزامات ISO/IEC 27001 باقیماندهاست. به علاوه، این سیستم مدیریت، حوزههایی از ISMS را که جهت صدور گواهینامه (که ممکن است آن را به یک واحد کسب و کار نیز محدود کند) لازم هستند را مشخص میکند. گواهی ISO/IEC 27001 لزوماً به معنای آن نیست که قسمتهایی از سازمان که در خارج از حوزه گواهینامه هستند، نیز رویکرد کافی برای مدیریت امنیت اطلاعات را دارا هستند.
استانداردهای دیگر خانواده ISO/IEC 27000 به ارائه راهنماییهای اضافی در جنبههای خاصی از طراحی، پیاده سازی و اجرای ISMS (برای مثال خطر در مدیریت امنیت اطلاعات ISO/IEC 27005 میپردازند.
جهت دریافت اطلاعات بیشتر و خدمات مشاوره، استقرار و اجرای سیستم فوق با شرکت سامان گستران صانع تماس حاصل نمایید
مقالات مرتبطی وجود ندارد