ایزو/آی‌ای‌سی ۲۷۰۰۱

ISO / IEC 27001 یک استاندارد بین‌المللی در مورد نحوه مدیریت امنیت اطلاعات است. این استاندارد در ابتدا به‌طور مشترک توسط سازمان بین‌المللی استانداردسازی (ISO) و کمیسیون بین‌المللی الکتروتکنیک (IEC) در سال ۲۰۰۵ منتشر شد و سپس در سال ۲۰۱۳ مورد بازنگری قرار گرفت. سیستم مدیریت امنیت اطلاعات (ISMS) هدف آن کمک به سازمانها برای ایجاد امنیت بیشتر در دارایی‌های اطلاعاتی است که در اختیار دارند. به روزرسانی استاندارد این استاندارد در سال ۲۰۱۷ منتشر شد. سازمان‌هایی که شرایط استاندارد را برآورده کنند می‌توانند پس از اتمام موفقیت‌آمیز ممیزی، توسط سازمان مسئول صدور گواهینامه معتبر، تأیید شوند.^{^{[نیازمند منبع]}}

اکثر سازمانها کنترل‌های امنیت اطلاعات مخصوص به خود دارند. با این وجود، بدون سیستم مدیریت امنیت اطلاعات (ISMS) ، کنترل‌ها تا حدودی بی نظم و از هم گسیخته هستند، زیرا اغلب به عنوان راه حل‌های نقطه ای برای موقعیت‌های خاص طراحی شده‌اند. ^{^{[نیازمند منبع]}}

ایزو/آی‌ای‌سی ۲۷۰۰۱ (به انگلیسی: ISO/IEC 27001) (قسمی از استانداردهای خانواده ISO/IEC 27000) استاندارد سیستم مدیریت امنیت اطلاعات (ISMS) است که در سال ۲۰۰۵ توسط سازمان بین‌المللی استانداردها (ISO) و کمیسیون برق ایجاد گردید. نام کامل این استاندارد بدین صورت است: ISO/IEC 27001:2005 – تکنولوژی اطلاعات – تکنیک‌های امنیت – سیستم‌های مدیریت امنیت اطلاعات – نیازمندی‌ها.

ISO/IEC 27001 به‌طور رسمی یک سیستم مدیریت را تعیین می‌کند که هدف آن تأمین امنیت اطلاعات است که در تحت شرایط کنترل مدیریت خاص امکان‌پذیر است. تعیین رسمی بدین معناست که این استاندارد یک سری از برآوردن نیازمندی‌ها را الزام می‌کند و سرپیچی از این قوانین جرم محسوب می‌شود.^{^{[نیازمند منبع]}}

طریقه عملکرد استاندارد ویرایش

بسیاری از سازمان‌ها یک سری کنترل‌های امنیت اطلاعات برای خود تعیین می‌کنند. با این حال، بدون سیستم مدیریت امنیت اطلاعات (ISMS)، کنترل حدودی بی سامانی و عدم یکپارچگی می‌انجامد. این سیستم را می‌توان به صورت راه حل‌های نقطه‌ای (برای شرایط خاص) یا به‌طور سرتاسری مثل قانون (کنوانسیون) پیاده‌سازی کرد. به‌طور معمول کنترل‌های امنیتی در عمل جنبه‌های خاصی از امنیت IT و/یا داده‌ها را هدف قرار می‌دهد؛ و اطلاعات و جنبه‌های غیر IT (مانند کارهای اداری و اطلاعات خصوصی شرکت) کمتر محافظت می‌شوند. علاوه بر این، برنامه‌ریزی کسب و کار و حفاظت فیزیکی کاملاً به‌طور مستقل از IT و/یا امنیت اطلاعات اداره می‌شودxx، در حالی که معمولاً در سازمان، مرجعی که نیاز به تعریف و اختصاص دادن امنیت اطلاعات در نقش‌ها و مسئولیت‌های منابع انسانی داشته باشد وجود ندارد.^{^{[نیازمند منبع]}}

ISO/IEC 27001 مستلزم مدیریت موارد زیر است:^{^{[نیازمند منبع]}}

بررسی سیستماتیک خطرات امنیتی اطلاعات سازمان، با در نظر گرفتن تهدیدها، آسیب‌پذیری‌ها، و اثرات و عواقب؛
طراحی و پیاده‌سازی یک مجموعه منسجم و جامع از کنترل امنیت اطلاعات و/یا دیگر اشکال مقابله با خطر (مانند پیشگیری ازخطرات یا انتقال ریسک؛ بیمه) برای هدف قرار دادن آن دسته از خطراتی که اجتناب ناپذیر تلقی می‌شوند؛
انطباق یک پروسه مدیریت فراگیر به سازمان از تداوم کنترلهای امنیتی اطمینان حاصل شود. تا گسترش و پیشروی سازمان به جلو، همیشه نیازهای امنیتی اطلاعات سازمان رفع شود.

در حالی که ممکن است به غیر از (یا به جای) ISO/IEC 27002 (کد از تمرین برای مدیریت امنیت اطلاعات) مجموعه دیگری از کنترل‌های امنیت اطلاعات به‌طور بالقوه تحت لوای ISO/IEC 27001 ISMS به کار گرفته شوند، ولی معمولاً این دو استاندارد در کنار هم استفاده می‌شود. ضمیمه A در ISO/IEC 27001 فهرستی خلاصه از کنترل‌های امنیتی اطلاعات موجود در ISO/IEC 27002را بیان می‌کند. این در حالی است که ISO/IEC 27002 اطلاعات بیشتر و راهنمایی‌های پیاده‌سازی را فراهم می‌کند.

سازمان‌هایی که مجموعه‌ای از کنترل‌های امنیت اطلاعات را مطابق با ISO/IEC 27002 پیاده‌سازی کرده‌اند، به احتمال زیاد، هم‌زمان تمایل به اجرای بسیاری از الزامات ISO/IEC 27001 را دارند. اما ممکن است برخی از المان‌های سیستم مدیریت فراگیر را اجرا نکرده باشند. برعکس این قضیه نیز درست است، به عبارت دیگر، یک گواهی تضمین مطابق با ISO/IEC 27001 اطمینان می‌دهد که پیاده‌سازی سیستم مدیریت در زمینه امنیت اطلاعات تضمین شده‌است. ولی در مورد وضعیت مطلق امنیت اطلاعات در درون سازمان اطلاعات کمی را در اختیار ما قرار می‌دهد. کنترل‌های امنتی تکنیکی، مثل ضدویروس‌ها و دیوارهای آتش، به‌طور عادی در ISO/IEC 27001 مورد بحث نیستند: در این استاندارد پیشفرض آن است که سازمان همه کنترل‌های امنیتی لازم برای ISMS را به‌طور کلی در در حال اجرا دارد و تنها برآورده کردن الزامات ISO/IEC 27001 باقی‌مانده‌است. به علاوه، این سیستم مدیریت، حوزه‌هایی از ISMS را که جهت صدور گواهینامه (که ممکن است آن را به یک واحد کسب و کار نیز محدود کند) لازم هستند را مشخص می‌کند. گواهی ISO/IEC 27001 لزوماً به معنای آن نیست که قسمت‌هایی از سازمان که در خارج از حوزه گواهینامه هستند، نیز رویکرد کافی برای مدیریت امنیت اطلاعات را دارا هستند.

استانداردهای دیگر خانواده ISO/IEC 27000 به ارائه راهنمایی‌های اضافی در جنبه‌های خاصی از طراحی، پیاده‌سازی و اجرای ISMS (برای مثال خطر در مدیریت امنیت اطلاعات ISO/IEC 27005) می‌پردازند.

مبدأ استاندارد ISO/IEC 27001 ویرایش

BS 7799 استانداردی می‌باشد که در سال ۱۹۹۵ برای اولین بار توسط BSI Group (گروه استانداردهای انگلستان) ایجاد شد. این استاندارد توسط دپارتمان صنعت و تجارت (DTI) دولت بریتانیا نوشته شد و شامل چندین بخش است. اولین بخش شامل بهترین تجربیات مدیریت امنیت اطلاعات است و در سال ۱۹۹۸ بازبینی شد. پس از مباحثات بسیار بین صاحبان استاندارد در جهان، این استاندارد در سال ۲۰۰۰ توسط بنیاد ISOتحت عنوان ISO/IEC 17799 انطباق لازم را پیدا کرد. این استاندارد نام «تکنولوژی اطلاعات – کد تجربی مدیریت امنیت اطلاعات» را با خود حمل می‌کرد. استاندارد ISO/IEC 17799 در جوئن ۲۰۰۵ بازبینی شد و در نهایت در سا ل۲۰۰۷ تحت عنوان ISO/IEC 27002 در سری استانداردهای ISO 27000 جای گرفت. قسمت دوم BS7799 برای اولین بار در سال ۱۹۹۹ توسط BSIو با کد «BS7799 – قسمت ۲“تحت عنوان ”سیستم‌های مدیریت امنیت اطلاعات – مشخصات، به همراه راهنمای کاربرد» منتظر شد. BS 7799-2 بر چگونگی پیاده ساری یک سیستم مدیریت امنیت اطلاعات (ISMS) تمرکز دارد. این استاندارد بعداً به استاندارد ISO/IEC 27001 تبدیل شد. نسخه ۲۰۰۲ استاندارد BS 7799-2 به معرفی چرخه «برنامه‌ریزی، اجرا، بررسی، پیاده‌سازی» (PDCA) پرداخت که بر محور استانداردهای کیفیت مثل ISO 9000 بنا نهاده شده بود. در نوامبر ۲۰۰۵ این استاندارد توسط بنیاد ISO با ISO/IEC 27001 منطبق شد. ISO/IEC 27001 قسمت ۳ نیز در سال ۲۰۰۵ منتشر شد که مدیریو تحلیل خطر را پوشش می‌داد. این استاندارد نیز بعداً با ISO/IEC 27001 منطبق شد.^{^{[نیازمند منبع]}}

گواهینامه ویرایش

تعدادی از ثبت‌کننده‌های معتبر جهانی می‌توانند برای یک ISMS گواهی انطباق با استاندارد ISO/IEC 27001 را صادر کنند. دریافت هر نوع از نسخه‌های ملی شده (در کشورهای مختلف) استاندارد۲۷۰۰۱ (مثل نسخه ژاپنی آن؛ یعنی JIS Q 27001) توسط ثبت‌کننده‌های معتبر جهانی، با دریافت استاندارد ISO/IEC 27001 معادل است. در برخی کشورها، آن دسته از شخصیت‌های حقوقی که انطباق سیستم مدیریت با با استانداردهای خاص ارزیابی می‌کنند، «گواهی دهنده» گفته می‌شود، در حالی که در برخی دیگر از کشورها «ثبت‌کننده» یا عناوین دیگر گفته می‌شود.^{^{[نیازمند منبع]}} گواهی ISO/IEC 27001 مثل دیگر گواهی‌های سیستم مدیریت ISO معمولاً شامل وارسی خارجی سه مرحلهای است:^{^{[نیازمند منبع]}}

مرحله ۱: مرور مقدماتی و تهیه گزارش ISMS است؛ مثلاً بررسی وجود و کامل بودن اسناد و مدارک کلیدی، مثل سیاست امنیتی اطلاعات سازمان، منشور کاربردیات (SoA) و برنامه رفع خطر (RTP). هدف این مرحله شناساندن افراد با سازمان و برعکس است.
مرحله ۲: یک ممیزی انطباق دقیق تر و رسمی‌تر است که به‌طور مستقل ISMS را بر اساس الزامات مشخص شده در ISO/IEC 27001 بررسی می‌کند. حسابرسان به دنبال شواهدی برای تأیید طراحی و پیاده‌سازی و بهره‌برداری صحیح سیستم مدیریت هستند (مثلاً تأیید این که «کمیته امنیت» و یا یک شخصیت حقوقی مشابه، به‌طور منظم برای نظارت بر ISMS سیستم را بازبینی می‌کند). گذراندن این مرحله نشان دهنده سازگاری ISMS با گواهی با ISO/IEC 27001 است.
مرحله ۳: شامل بازرسی یا ممیزی‌های متعاقب به منظور تأیید ادامه سازگاری و انطباق سازمان با استاندارد است. نگهداری گواهینامه نیازمند ممیزی‌های دوره‌ای برای تأیید ادامه فعالیت ISMS بر اساس مشخصه‌ها و اشارات استاندارد است. این عمل باید حداقل سالی ۱ مرتبه انجام انجام شود، ولی (با تفاوق طرفین) می‌تواند به دفعات بیشتر نیز انجام شود؛ خصوصاً در زمانی که ISMS هنوز در پیاده‌سازی استاندارد به تکامل نرسیده‌است.

پیوندهای مرتبط ویرایش

وبسایت شرکت بهسان مدیریت پرشین - www.iso-company.ir
ایزو ۹۰۰۱
مجموعه ایزو ۲۷۰۰۰
ایزو ۱۵۴۰۸
BS 7799
استانداردهای امنیت سایبری
سازمان بین‌المللی استانداردسازی
فهرست استانداردهای ایزو
استاندارد پیاده‌سازی مناسب که توسط انجمن امنیت اطلاعات منتظر شده‌است.

منابع ویرایش

ISO/IEC 27001:2005 Information technology — Security techniques — Information security management systems - Requirements
ISO/IEC 27005:2008 Information technology — Security techniques — Information security risk management
ISO/IEC 27006:2007 Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems
ISO/IEC 27002:2005 Information technology — Security techniques — Code of practice for information security management (anterior ISO/IEC 17799:2005)
ISO 9001:2000, Quality management systems — Requirements
ISO/IEC 13335-1:2004, Information technology — Security techniques — Management of information and communications technology security — Part 1: Concepts and models for information and communications technology security management
ISO/IEC TR 13335-3:1998, Information technology — Guidelines for the management of IT Security — Part 3: Techniques for the management of IT security
ISO/IEC TR 13335-4:2000, Information technology — Guidelines for the management of IT Security — Part 4: Selection of safeguards
ISO 14001:2004, Environmental management systems — Requirements with guidance for use
ISO/IEC TR 18044:2004, Information technology — Security techniques — Information security incident management
ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing
ISO 90011:2003, GUILLEN AUIDIT ENVIROMENTAL