گواهینامه ISO 27001:2005

ISO27001:2005 چیست؟

این استاندارد تضمین کننده محافظت موثر از دارائی ها و اعمال کنترل های متناسب با ریسک های سازمان و همچنین ایجاد سطح حفاظتی مطلوب و متناسب با نیاز سازمان می باشد .

طریقه عملکرد استاندارد :

سیاری از سازمان‌ها یک سری کنترل‌های امنیت اطلاعات برای خود تعیین می‌کنند. با این حال، بدون سیستم مدیریت امنیت اطلاعات (ISMS)، کنترل حدودی بی سامانی و عدم یکپارچگی می‌انجامد. این سیستم را می‌توان به صورت راه حل‌های نقطه‌ای (برای شرایط خاص) یا به‌طور سرتاسری مثل قانون (کنوانسیون) پیاده‌سازی کرد. به‌طور معمول کنترل‌های امنیتی در عمل جنبه‌های خاصی از امنیت IT و/یا داده‌ها را هدف قرار می‌دهد؛ و اطلاعات و جنبه‌های غیر IT (مانند کارهای اداری و اطلاعات خصوصی شرکت) کمتر محافظت می‌شوند. علاوه بر این، برنامه‌ریزی کسب و کار و حفاظت فیزیکی کاملاً به‌طور مستقل از IT و/یا امنیت اطلاعات اداره می‌شودxx، در حالی که معمولاً در سازمان، مرجعی که نیاز به تعریف و اختصاص دادن امنیت اطلاعات در نقش‌ها و مسئولیت‌های منابع انسانی داشته باشد وجود ندارد.

ISO/IEC 27001 مستلزم مدیریت موارد زیر است:
بررسی سیستماتیک خطرات امنیتی اطلاعات سازمان، با در نظر گرفتن تهدیدها، آسیب‌پذیری‌ها، و اثرات و عواقب.
طراحی و پیاده‌سازی یک مجموعه منسجم و جامع از کنترل امنیت اطلاعات و/یا دیگر اشکال مقابله با خطر (مانند پیشگیری ازخطرات یا انتقال ریسک؛ بیمه) برای هدف قرار دادن آن دسته از خطراتی که اجتناب ناپذیر تلقی می‌شوند.
انطباق یک پروسه مدیریت فراگیر به سازمان از تداوم کنترلهای امنیتی اطمینان حاصل شود. تا گسترش و پیشروی سازمان به جلو، همیشه نیازهای امنیتی اطلاعات سازمان رفع شود.
در حالی که ممکن است به غیر از (یا به جای) ISO/IEC 27002 (کد از تمرین برای مدیریت امنیت اطلاعات) مجموعه دیگری از کنترل‌های امنیت اطلاعات به‌طور بالقوه تحت لوای ISO/IEC 27001 ISMS به کار گرفته شوند، ولی معمولاً این دو استاندارد در کنار هم استفاده می‌شود. ضمیمه A در ISO/IEC 27001 فهرستی خلاصه از کنترل‌های امنیتی اطلاعات موجود در ISO/IEC 27002را بیان می‌کند. این در حالی است که ISO/IEC 27002 اطلاعات بیشتر و راهنمایی‌های پیاده‌سازی را فراهم می‌کند.

سازمان‌هایی که مجموعه‌ای از کنترل‌های امنیت اطلاعات را مطابق با ISO/IEC 27002 پیاده‌سازی کرده‌اند، به احتمال زیاد، هم‌زمان تمایل به اجرای بسیاری از الزامات ISO/IEC 27001 را دارند. اما ممکن است برخی از المان‌های سیستم مدیریت فراگیر را اجرا نکرده باشند. برعکس این قضیه نیز درست است، به عبارت دیگر، یک گواهی تضمین مطابق با ISO/IEC 27001 اطمینان می‌دهد که پیاده‌سازی سیستم مدیریت در زمینه امنیت اطلاعات تضمین شده‌است. ولی در مورد وضعیت مطلق امنیت اطلاعات در درون سازمان اطلاعات کمی را در اختیار ما قرار می‌دهد. کنترل‌های امنتی تکنیکی، مثل ضدویروس‌ها و دیوارهای آتش، به‌طور عادی در ISO/IEC 27001 مورد بحث نیستند: در این استاندارد پیشفرض آن است که سازمان همه کنترل‌های امنیتی لازم برای ISMS را به‌طور کلی در در حال اجرا دارد و تنها برآورده کردن الزامات ISO/IEC 27001 باقی‌مانده‌است. به علاوه، این سیستم مدیریت، حوزه‌هایی از ISMS را که جهت صدور گواهینامه (که ممکن است آن را به یک واحد کسب و کار نیز محدود کند) لازم هستند را مشخص می‌کند. گواهی ISO/IEC 27001 لزوماً به معنای آن نیست که قسمت‌هایی از سازمان که در خارج از حوزه گواهینامه هستند، نیز رویکرد کافی برای مدیریت امنیت اطلاعات را دارا هستند.

استانداردهای دیگر خانواده ISO/IEC 27000 به ارائه راهنمایی‌های اضافی در جنبه‌های خاصی از طراحی، پیاده‌سازی و اجرای ISMS (برای مثال خطر در مدیریت امنیت اطلاعات ISO/IEC 27005) می‌پردازند.

مبدأ استاندارد ISO/IEC 27001
BS 7799 استانداردی می‌باشد که در سال ۱۹۹۵ برای اولین بار توسط BSI Group (گروه استانداردهای انگلستان) ایجاد شد. این استاندارد توسط دپارتمان صنعت و تجارت (DTI) دولت بریتانیا نوشته شد و شامل چندین بخش است. اولین بخش شامل بهترین تجربیات مدیریت امنیت اطلاعات است و در سال ۱۹۹۸ بازبینی شد. پس از مباحثات بسیار بین صاحبان استاندارد در جهان، این استاندارد در سال ۲۰۰۰ توسط بنیاد ISOتحت عنوان ISO/IEC 17799 انطباق لازم را پیدا کرد. این استاندارد نام ”تکنولوژی اطلاعات – کد تجربی مدیریت امنیت اطلاعات“ را با خود حمل می‌کرد. استاندارد ISO/IEC 17799 در جوئن ۲۰۰۵ بازبینی شد و در نهایت در سا ل۲۰۰۷ تحت عنوان ISO/IEC 27002 در سری استانداردهای ISO 27000 جای گرفت. قسمت دوم BS7799 برای اولین بار در سال ۱۹۹۹ توسط BSIو با کد ” BS7799 – قسمت ۲“تحت عنوان ”سیستم‌های مدیریت امنیت اطلاعات – مشخصات، به همراه راهنمای کاربرد“ منتظر شد. BS 7799-2 بر چگونگی پیاده ساری یک سیستم مدیریت امنیت اطلاعات (ISMS) تمرکز دارد. این استاندارد بعداً به استاندارد ISO/IEC 27001 تبدیل شد. نسخه ۲۰۰۲ استاندارد BS 7799-2 به معرفی چرخه ”برنامه‌ریزی، اجرا، بررسی، پیاده سازی“ (PDCA) پرداخت که بر محور استانداردهای کیفیت مثل ISO 9000 بنا نهاده شده بود. در نوامبر ۲۰۰۵ این استاندارد توسط بنیاد ISO با ISO/IEC 27001 منطبق شد. ISO/IEC 27001 قسمت ۳ نیز در سال ۲۰۰۵ منتشر شد که مدیریو تحلیل خطر را پوشش می‌داد. این استاندارد نیز بعداً با ISO/IEC 27001 منطبق شد.

دستاوردها و مزایای سیستم مدیریت امنیت اطلاعات ISMS) ISO27001:2005)

ایجاد ساختار امنیت سازمانی
گروهبندی و شناسایی دارائی ها
ایجاد نقشها و مسئولیتهای امنیتی واحدها و پرسنل
مدیریت ، کنترل و گزارشات پیشرفت اهداف ، برنامه ها ی سیستم امنیت اطلاعات
ایجاد اهمیت اطلاعات در تجارت
ایجاد، توسعه و نگهداری سیستم اطلاعات
دلایل امنیتی برای حذف برخی از کنترل ها
ایجاد لیست اطلاعاتی دارائی ها، گروهبندی معیارهای آنها، گروهبندی سرمایه ها
و دهها مزیت دیگر…
تعاریف:

اطلاعات: به مجموعه ای داده های پردازش شده گفته می شود
امنیت اطلاعات: حفاظت اطلاعات و سیستم‌های اطلاعاتی از فعالیت‌های غیرمجاز. این فعالیت‌ها عبارتند از دسترسی، استفاده، افشاء، خواندن، نسخه برداری یا ضبط، خراب کردن، تغییر، دستکاری.
ریسک: ترکیبی از احتمال وقوع یک رویداد یا قرار گرفتن در معرض آن و امکان نفوذ به سیستم اطلاعات
شرح خدمات ISO27001:2005 :

تعیین و تدوین خط مشی و اهداف امنیت اطلاعات سازمان
تحت کنترل درآوردن ، یکپارچه سازی، طبقه بندی و بهینه سازی مستندات و سوابق سازمان
ایجاد ساختار امنیت سازمانی
شناسایی و تعیین ریسک و برنامه ریزی برای مدیریت ریسک
آنالیز ریسک تجاری، لیست فرآیندهای IT از نظر حیاتی بودن
پیاده سازی استراتژی کاهش ریسک و آموزش کارکنان و ایجاد آگاهی امنیتی
طرحریزی مقابله با ریسک، خطمشی جامع امنیتی، روندها، استانداردها، انتخاب محصول
طرح پروژه برای کاهش ریسک، گزارش سنجشها، مرور کاهش ریسک، به روز رسانی گزارش وضع فعلی
بهبود مستمر امنیت، کاهش رویداد حوادث نامطلوب
تدوین طرح تداوم کسب و کار و طرح بازیافت سیستم
گزارش متدولوژی مدیریت ریسک