ایزو/آی‌ای‌سی ۲۷۰۰۲

ایزو/آی‌ای‌سی ۲۷۰۰۲ (به انگلیسی: ISO/IEC 27002) یک استاندارد امنیت اطلاعات است که توسط سازمان بین‌المللی استانداردسازی (ISO) و کمیسیون الکتروتکنیکی بین‌المللی (IEC) و تحت عنوان تکنولوژی امنیت – تکنیک‌های امنیت – دستورالعمل پیشنهادی برای مدیریت امنیت اطلاعات منتشر شده‌است.

ISO/IEC 27002:2005 از استاندارد بریتانیایی S7799 بدست آمده‌است که در اواسط ۱۹۹۰ منتشر شده‌است. این استاندارد بریتانیایی تحت عنوان ISO/IEC 17799:2000 با ISO/IEC سازگار شد، در سال ۲۰۰۵ بازبینی شد، و در سال ۲۰۰۷ با تغییر شماره (اما در غیر حال بدون تغییر) با مجموعه ایزو ۲۷۰۰۰ استانداردهای منطبق شد.

ایزو ۲۷۰۰۲ بهترین توصیه‌های مدیریت امنیت اطلاعات را به منظور استفاده اشخاصی که مسئول آماده‌سازی، پیاده‌سازی یا نگهداری و بهره‌برداری سیستم مدیریت امنیت اطلاعات هستند را به ارمغان می‌آورد. امنیت اطلاعات در این استاندارد را می‌توان به سه حرف C-I-A تعریف کرد:

• رازداری (Confidentiality): تضمین می‌کند که اطلاعات تنها توسط کسانی که مجاز به دسترسی به آن‌ها هستند قابل دستیابی است.
• یکپارچگی (Integrity): حفاظت در مقابل هر گونه تغییر غیر مجاز در داده ها شامل کاهش یا افزایش یا تغییر در محتوای داده ها
• در دسترس بودن (Availability): اطمینان از آن که تنها افراد مجاز و در زمان نیاز می‌توانند به اطلاعات و موارد متناسب با آن‌ها دسترسی داشته باشند.

طرح کلی

پس از قسمت‌های مقدماتی، استاندارد شامل ۱۲ قسمت می‌شود:

1. ارزیابی ریسک
2. سیاست‌های امنیتی – سوگیری‌های مدیریتی
3. سازماندهی مدیریت اطلاعات – حاکمیت بر امنیت اطلاعات
4. مدیریت سرمایه – فهرست موجودی و طبقه‌بندی منابع اطلاعات
5. امنیت منابع انسانی – جنبه‌های امنیتی برای به هم پیوستن و خروج از سازمان و همچنین جابجایی در سازمان
6. امنیت فیزیکی و محیطی – حفاظت ادوات کامپیوتری
7. مدیریت عملیات و ارتباطات – مدیریت کنترل‌های امنیتی تکنیکی، در شبکه‌ها و سیستم‌ها
8. کنترل دسترسی – محدودیت‌ها در اجازه دسترسی به شبکه‌ها، سیستم‌ها، برنامه‌های کاربردی، توابع و داده‌ها
9. ردیابی، توسعه و نگهداری سیستم‌های اطلاعات – گسترش محدوده‌های امنیتی به برنامه‌های کاربردی
10. مدیریت اتفاقات امنیت اطلاعات – پیش‌بینی و پاسخ دهی مناسب به شاخه‌های امنیت اطلاعات
11. مدیریت تداوم کسب و کار – محافظت، نگهداری و بازیابی سیستم‌ها و پروسه‌های شغل‌های بحرانی
12. موافقت – تضمین پیروی از سیاست‌های امنیت اطلاعات استانداردها، قوانین و مقررات تنظیمی

در هر بخش، کنترل‌های امنیتی اطلاعات و اهداف آن‌ها مشخص و خلاصه شده‌است. کنترل‌های امنیت اطلاعات به‌طور کلی بهترین وسیله جهت دستیابی به این اهداف هستند. برای هر یک از کنترل‌ها، راهنمای پیاده‌سازی ارائه شده‌است. برخی کنترل‌ها لازم‌الاجرا نیستند زیرا:

1. از هر سازمان است انتظار می‌رود با انجام یک فرایند ارزیابی ریسک امنیت اطلاعات ساخت یافته، پیش از انتخاب کنترل‌هایی متناسب با شرایط خاص سازمان، به تعیین نیازمندی‌های خاص خود بپردازند. بخش مقدمه به تشریح فرایند ارزیابی خطر می‌پردازد. با این حال استانداردهای دیگری نیز این فرایند را پوشش می‌دهند؛ مثل ISO/IEC 27005. استفاده از فرایند تجزیه و تحلیل خطر امنیت اطلاعات به منظور انتخاب و پیاده‌سازی کنترل‌های امنیت اطلاعات از ویژگی‌های مهم استانداردهای سری ISO/IEC 27000-series است: بدین معنی که از توصیه‌های عملی عمومی در این استاندارد به قسمت خاصی از هر سازمان منطبق می‌شود، و به صورت خط به خط و بدون فکر نباید اعمال شود. همه ۳۹ هدف کنترلی لزوماً به هر سازمان مروب طنمی شود. این استانداردها بسته نیستند، به این معنا که کنترل امنیت اطلاعات را می‌توان 'پیشنهاد‘ و به آن اضافه کرد، و در را برای کاربران جهت اتخاذ کنترل‌های جایگزین (در صورت تمایل) بازمی‌گذارد. این موضوع به شرطی برقرار است که وجود حداقل اهداف کنترل شونده لازم برای پوشش خطرات امنیت اطلاعات نقض شود.
2. فهرست کردن تمام کنترل‌های قابل تصور در یک استاندارد جامع به‌طور عملی غیرممکن است. در آماده‌سازی این استاندارد دستورالعمل‌های پیاده‌سازی ISO/IEC 27001 و ISO/IEC 27002 مختص صنعت، مثلاً توصیه‌هایی برای صنایع مخابرات (ISO/IEC 27011) و بهداشت و درمان (ISO 27799)، دستورالعمل‌های اضافی برای خدمات مالی و سایر صنایع جای داده شده‌اند.

گواهینامه

ISO/IEC 27002 یک استاندارد پیشنهاددهنده‌است. بدین معنی که تفسیرها و کاربردهای آن به تمام انواع سازمان‌ها با اندازه‌های گوناگون، باید با توجه به خطرات امنیت اطلاعاتی است که در سازمان با آن مواجه می‌شوند. استاندارد ISO/IEC 27001 تعدادی از نیازمندی‌های اساسی را برای پیاده‌سازی، اجرا، نگهداری، و ارتقای یک ISMS تعیین می‌کند و در ضمیمه A مجموعه‌ای از کنترل امنیت اطلاعات را که سازمان‌ها با آن مواجه می‌شوند بیان شده‌اند که لازم است با شرایط مکانی که ISMS در آن حضور می‌یابد منطبق شود. کنترل‌های موجود در ضمیمه A با استاندارد ISO/IEC 27002 سازگار است.

توسعه مداوم

هر دو استاندارد ایزو ۲۷۰۰۱ و ایزو ۲۷۰۰۲ در حال حاضر توسط ISO/IEC JTC1/SC27 بازبینی شده‌اند. این عمل روندی است که هر از چند سالی به منظور به روز و مرتبط نگه داشتن استانداردهای ایزو انجام می‌شود. برای مثال می‌توان به ارجاع و به کار گرفتن دیگر استانداردها (مثل ایزو ۲۷۰۰۰، ایزو ۲۷۰۰۴ و ایزو ۲۷۰۰۵) در این استاندارد و دیگر استانداردهای خوب در این زمینه به وجود می‌آید استفاده می‌شود.

جستارهای وابسته

• BS 7799 استاندارد بریتانیایی اصلی که ایزو ۱۷۷۹۹ و ایزو ۲۷۰۰۲ از آن نشات گرفته‌اند.
• حرفه‌ای بودن در امنیت اطلاعات
• مجموعه ایزو ۲۷۰۰۰
• حفاظت مرزهای IT
• مدیریت خطر IT
• فهرست استانداردهای ایزو
• قانون ساربنز-آکسلی ۲۰۰۲
• استاندارد پیاده‌سازی مناسب که توسط انجمن امنیت اطلاعات

منابع