ایزو 27001

_
ایزو 27001 چیست؟

ایزو 27001، فناوری اطلاعات – تکنیک های امنیتی – سیستم های مدیریت امنیت اطلاعات – الزامات

این استاندارد بین المللی و پیشرو، متمرکز بر امنیت اطلاعات است که توسط سازمان بین المللی استاندارد (ISO) با همکاری کمیسیون بین المللی الکتروتکنیکی (IEC) منتشر شده است.

صدور گواهینامه ایزو 27001 برای محافظت از حیاتی ترین دارایی های شما مانند اطلاعات کارمند و مشتری، تصویر برند و سایر اطلاعات خصوصی ضروری است.

پیاده سازی ایزو 27001 پاسخی ایده آل به الزامات مشتری و قانونی مانند GDPR و تهدیدات امنیتی بالقوه از جمله: جرایم سایبری، نقض اطلاعات شخصی، خراب کاری / تروریسم، آتش سوزی / آسیب، سوء استفاده، سرقت و حملات ویروسی است.

استاندارد ایزو 27001 همچنین به گونه‌ ای طراحی شده است که با سایر استانداردهای سیستم های مدیریتی مانند ISO 9001 سازگار باشد. دستیابی به گواهینامه معتبر ایزو 27001 نشان می دهد که شرکت شما به دنبال بهترین شیوه های امنیت اطلاعات است. علاوه بر این، گواهینامه ایزو 27001 به شما یک ارزیابی تخصصی از اینکه آیا اطلاعات سازمان شما به اندازه کافی محافظت می شود، ارائه می دهد.

این استاندارد برای کمک به سازمان ها در مدیریت فرآیندهای امنیت اطلاعات خود مطابق با بهترین رویه بین المللی و در عین حال بهینه سازی هزینه ها طراحی شده است. برای همه سازمان ها – صرف نظر از اندازه، نوع یا ماهیت آنها – قابل اجرا است.

مزایای گواهینامه ایزو 27001 چیست؟

ایزو 27001 یکی از محبوب ترین استانداردهای امنیت اطلاعات موجود است. گواهینامه معتبر مستقل به استاندارد در سراسر جهان به رسمیت شناخته شده است.

  • از داده های خود در هر کجا که هستند محافظت کنید.
  • از همه اشکال اطلاعات، اعم از دیجیتال، نسخه چاپی یا در فضای ابری محافظت کنید.
  • مقاومت سازمان خود را در برابر حملات سایبری افزایش دهید.
  • کاهش هزینه های امنیت اطلاعات
  • رضایت مشتری
  • بهبود مدیریت ریسک
  • ایجاد مزیت رقابتی
  • ارتقا فرهنگ سازمان
آیا گواهینامه ایزو 27001 برای سازمان شما مناسب است؟

گواهی ایزو 27001 برای سازمان شما مناسب است اگر به شواهدی برای اطمینان از حفاظت از اطلاعات ( مهم ترین دارایی شما)  در برابر سوء استفاده، فساد یا از دست دادن نیاز دارید. اگر به دنبال راهی برای ایمن سازی اطلاعات محرمانه، پیروی از مقررات صنعت، تبادل اطلاعات ایمن یا مدیریت و به حداقل رساندن ریسک هستید، گواهینامه ایزو 27001 یک راه حل عالی است.

در حالی که شما ملزم به اتخاذ بهترین شیوه های ارائه شده در ایزو 27001 نیستید، کسانی که بیشتر از همه به ایزو 27001 نیاز دارند، مدیران مسئول امنیت اطلاعات در سازمان هایی هستند که امنیت اطلاعات توسعه نیافته یا وجود ندارد. با استفاده از ایزو 27001 به عنوان یک منبع راهنمایی، آنها می توانند این وضعیت را با دستیابی به امنیت اطلاعات موثر تغییر دهند. کسانی که امنیت اطلاعاتی دارند که حداقل عملکردی دارند، می‌توانند از آن بهره ببرند و برنامه‌های امنیت اطلاعات خود را نیز تقویت کنند.

امنیت سایبری

با افزایش شدت نقض اطلاعات در دنیای دیجیتالی امروزی، ISMS در ایجاد امنیت سایبری سازمان شما بسیار مهم است. با ISMS به شرح زیر به امنیت اطلاعات دست یابید.

افزایش انعطاف پذیری حملات: ISMS توانایی شما را برای آماده شدن، پاسخگویی و بازیابی از هرگونه حمله سایبری بهبود می بخشد.

تمام داده های خود را در یک مکان مدیریت کنید: ISMS به عنوان چارچوب مرکزی برای اطلاعات سازمان شما به شما امکان می دهد همه چیز را در یک مکان مدیریت کنید.

هر شکلی از اطلاعات را به راحتی ایمن کنید: چه بخواهید از اطلاعات کاغذی یا دیجیتال محافظت کنید، ISMS می تواند هر نوع داده را مدیریت کند.

کاهش هزینه ‌های امنیت اطلاعات: با رویکرد ارزیابی ریسک و پیشگیری ارائه شده توسط ISMS، سازمان شما میتواند هزینه ای افزودن لایه های فناوری دفاعی پس از یک حمله سایبری را کاهش دهد که تضمینی برای کارکرد آنها نیست.

ISMS چیست؟

سیستم مدیریت امنیت اطلاعات (ISMS) یک رویکرد سیستماتیک برای مدیریت اطلاعات حساس شرکت به گونه ای است که امن باقی بماند. این شامل افراد، فرآیندها و سیستم های فناوری اطلاعات با بکارگیری فرآیند مدیریت ریسک برای کمک به سازمانها با هر اندازه، در هر صنعتی میشود تا دارایی های اطلاعات تجاری را ایمن نگه دارند.

سیستم مدیریت امنیت اطلاعات (ISMS) مجموعه ای از قوانینی است که یک شرکت باید به منظور:

شناسایی ذینفعان و انتظارات آنها از شرکت از نظر امنیت اطلاعات

شناسایی خطراتی که برای اطلاعات وجود دارد

تعریف کنترل ها (ضمانت ها) و سایر روش های کاهش برای برآورده کردن انتظارات شناسایی شده و مدیریت ریسک ها

اهداف روشنی را در مورد آنچه باید با امنیت اطلاعات به دست آورد تعیین کنید

اجرای تمام کنترل ها و سایر روش های مدیریت ریسک

به طور مداوم اندازه گیری کنید که آیا کنترل های اجرا شده مطابق انتظار عمل می کنند.

بهبود مستمر را انجام دهید تا کل ISMS بهتر کار کند.

این مجموعه قوانین می تواند در قالب خط مشی ها، رویه ها و انواع دیگر اسناد نوشته شود یا می تواند به صورت فرآیندها و فناوری های ایجاد شده باشد که مستند نشده اند. ایزو 27001 تعریف می کند که کدام اسناد مورد نیاز است، یعنی حداقل کدام اسناد باید وجود داشته باشند.

چرا به ISMS نیاز داریم؟

چهار مزیت تجاری اساسی وجود دارد که یک شرکت می تواند با اجرای این استاندارد امنیت اطلاعات به دست آورد:

مطابق با الزامات قانونی – تعداد روزافزونی از قوانین، مقررات و الزامات قراردادی مربوط به امنیت اطلاعات وجود دارد، و خبر خوب این است که بسیاری از آنها را می توان با اجرای ایزو 27001 حل کرد – این استاندارد متدلوژی کاملی را در اختیار شما قرار می دهد. همه آنها را رعایت کنید

دستیابی به مزیت رقابتی – اگر شرکت شما گواهینامه دریافت کند و رقبای شما گواهی ندهند، ممکن است از نظر مشتریانی که در مورد ایمن نگه داشتن اطلاعات خود حساس هستند نسبت به آنها برتری داشته باشید.

هزینه های کمتر – فلسفه اصلی ایزو 27001 جلوگیری از وقوع حوادث امنیتی است – و هر حادثه کوچک یا بزرگ هزینه دارد. بنابراین، با جلوگیری از آنها، شرکت شما در هزینه های بسیار زیادی صرفه جویی خواهد کرد. و بهترین چیز این است که سرمایه گذاری در ایزو 27001 بسیار کمتر از صرفه جویی در هزینه است.

سازماندهی بهتر – معمولاً شرکتهایی که به سرعت در حال رشد هستند، زمان توقف و تعریف فرآیندها و رویه های خود را ندارند – در نتیجه، اغلب کارکنان نمیدانند چه کاری، چه زمانی و توسط چه کسی باید انجام شود. پیاده سازی ایزو 27001 به حل چنین شرایطی کمک می کند، زیرا شرکت ها را تشویق می کند تا فرآیندهای اصلی خود را بنویسند (حتی آنهایی که مرتبط با امنیت نیستند)، و آنها را قادر می سازد تا زمان از دست رفته توسط کارکنان خود را کاهش دهند.

چرا انطباق با ایزو 27001 اهمیت دارد؟

در حالی که انطباق با ایزو 27001 برای هیچ سازمانی اجباری نیست، شرکتها ممکن است برای نشان دادن اینکه کنترل ها و فرآیندهای امنیتی لازم را برای محافظت از سیستمهای خود و داده های حساس در اختیار دارند، دستیابی و حفظ مطابقت با ایزو 27001 را انتخاب کنند.

دستیابی به انطباق با ایزو 27001 به عنوان یک عامل متمایز کننده در بازار و به عنوان پایه ای برای انطباق با سایر الزامات و استانداردهای اجباری مهم است. سازمانهای که مطابق با ایزو 27001 هستند، احتمالاً از سازمانهایی که فاقد آن هستند، مطمئن تر هستند، و این استاندارد چارچوب محکمی برای ایجاد بسیاری از کنترلهای امنیتی مورد نیاز سایر مقررات ارائه میکند.

کنترل های ممیزی ایزو 27001 چیست؟

ایزو 27001 مجموعه ای از کنترل های ممیزی را تعریف می کند که باید در یک ISMS سازگار گنجانده شود. این شامل:

  • سیاست های امنیت اطلاعات: این کنترل نحوه مستند سازی و بازبینی سیاست های امنیتی را به عنوان بخشی از ISMS توضیح می دهد.
  • سازمان امنیت اطلاعات: مسئولیت ها بخش مهمی از ISMS است. این کنترل مسئولیت های امنیتی را در سراسر سازمان از بین می برد و تضمین می کند که مسئولیت روشنی برای هر کار وجود دارد.
  • امنیت منابع انسانی: این کنترل به نحوه آموزش کارکنان در زمینه امنیت سایبری در هنگام شروع و پایان دادن به نقشها در سازمان، از جمله ورود به هواپیما، خارج شدن از کشتی و تغییر در موقعیتها، میپردازد.
  • مدیریت دارایی: امنیت داده ها دغدغه اصلی ایزو 27001 است. این کنترل بر مدیریت دسترسی و امنیت دارایی هایی که بر امنیت داده ها تأثیر می گذارد، از جمله سخت افزار، نرم افزار و پایگاه های داده تمرکز دارد.
  • کنترل دسترسی: این کنترل چگونگی مدیریت دسترسی به داده ها را برای محافظت در برابر دسترسی غیرمجاز به داده‌های حساس یا ارزشمند، مورد بحث قرار می‌دهد.
  • رمزنگاری: رمز گذاری یکی از قدرتمند ترین ابزارها برای حفاظت از داده ها است. شرکت ها باید در صورت امکان رمز گذاری داده ها را با استفاده از الگوریتم های رمزنگاری قوی اجرا کنند.
  • امنیت فیزیکی و محیطی: دسترسی فیزیکی به سیستم ها می تواند کنترل های امنیتی دیجیتال را تضعیف کند. این کنترل بر ایمن سازی ساختمان ها و تجهیزات درون یک سازمان متمرکز است.
  • امنیت عملیات: امنیت عملیات بر نحوه پردازش و مدیریت داده ها توسط سازمان تمرکز دارد. سازمان باید دید و کنترل جریان داده در محیط IT خود را داشته باشد.
  • امنیت ارتباطات: سیستم های ارتباطی مورد استفاده توسط یک سازمان (ایمیل، ویدئو کنفرانس، و غیره) باید داده ها را در حین انتقال رمزگذاری کنند و کنترل های دسترسی قوی داشته باشند.
  • اکتساب، توسعه و نگهداری سیستم: این کنترل بر حصول اطمینان از اینکه سیستم های جدید معرفی شده در محیط یک سازمان، امنیت سازمان را به خطر نمی اندازد و سیستم های موجود در یک حالت امن نگهداری می شوند، تمرکز دارد.
  • روابط تامین کننده: روابط شخص ثالث پتانسیل حملات زنجیره تامین را ایجاد می کند. یک ISMS باید شامل کنترل هایی برای ردیابی روابط و مدیریت ریسک شخص ثالث باشد.
  • مدیریت حوادث امنیت اطلاعات: شرکت باید فرآیندهایی برای شناسایی و مدیریت حوادث امنیتی داشته باشد.
  • جنبه های امنیت اطلاعات مدیریت تداوم کسب و کار: علاوه بر حوادث امنیتی، شرکت باید آماده مدیریت سایر رویدادها (مانند آتش سوزی، قطع برق و غیره) باشد که می تواند بر امنیت تأثیر منفی بگذارد.
  • انطباق: به عنوان بخشی از انطباق با ایزو 27001، سازمان باید بتواند مطابقت کامل با سایر مقررات اجباری را که سازمان مشمول آن است، نشان دهد.
دامنه های ایزو 27001 چیست؟

ایزو 27001 ضمیمه A شامل 14 حوزه است که اساساً دسته بندی کنترل ها هستند. در مجموع 114 کنترل وجود دارد و برای انطباق، فقط باید کنترل هایی را که برای سازمان شما منطقی است، پیاده سازی کنید. ما دامنه‌های ایزو 27001 را بررسی می‌کنیم تا نمای کلی از انواع مختلف کنترل‌هایی را که ISP 27001 به سازمان‌ها توصیه می‌کند، به شما ارائه دهیم. لازم به ذکر است که امنیت فناوری اطلاعات تنها محور این کنترل ها نیست، بلکه به حوزه های مدیریت فرآیندها، منابع انسانی، انطباق قانونی، حفاظت فیزیکی و سایر حوزه های مدیریت سازمانی گسترش می یابد.

14 دامنه  در پیوست A ایزو 27001 فهرست شده است که در بخش های A.5 تا A.18 سازماندهی شده اند. بخش ها موارد زیر را پوشش می دهند:

A.5 سیاست‌های امنیت اطلاعات: کنترل‌های موجود در این بخش نحوه مدیریت سیاست‌های امنیت اطلاعات را شرح می‌دهند.

A.6 سازمان امنیت اطلاعات: کنترل‌های این بخش با تعریف سازمان داخلی آن (به عنوان مثال نقش‌ها، مسئولیت‌ها و غیره) و از طریق جنبه‌های سازمانی امنیت اطلاعات، مانند مدیریت پروژه، استفاده از دستگاه های تلفن همراه و دورکاری، چارچوب اساسی پیاده‌سازی و بهره‌برداری از امنیت اطلاعات را فراهم می‌کند.

A.7  امنیت منابع انسانی: کنترل‌های این بخش تضمین می‌کند که افرادی که تحت کنترل سازمان هستند به روشی امن استخدام، آموزش و مدیریت می‌شوند. همچنین به اصول برخورد انضباطی و فسخ قراردادها پرداخته شده است.

A.8  مدیریت دارایی: کنترل‌های این بخش تضمین می‌کند که دارایی‌های امنیت اطلاعات (به عنوان مثال، اطلاعات، دستگاه‌های پردازش، دستگاه‌های ذخیره‌سازی و غیره) شناسایی شده‌اند، مسئولیت‌هایی برای امنیت آن‌ها تعیین شده است، و افراد می‌دانند که چگونه آنها را طبق طبقه‌بندی از پیش تعریف‌شده مدیریت کنند. سطوح

A.9 کنترل دسترسی: کنترل های این بخش دسترسی به اطلاعات و دارایی های اطلاعاتی را با توجه به نیازهای واقعی کسب و کار محدود می کند. کنترل ها هم برای دسترسی فیزیکی و هم برای دسترسی منطقی هستند.

A.10 رمزنگاری: کنترل‌های موجود در این بخش، مبنایی برای استفاده مناسب از راه‌حل‌های رمزگذاری برای محافظت از محرمانه بودن، صحت و/یا یکپارچگی اطلاعات فراهم می‌کنند.

A.11 امنیت فیزیکی و محیطی: کنترل‌های موجود در این بخش از دسترسی غیرمجاز به مناطق فیزیکی جلوگیری می‌کند و تجهیزات و تأسیسات را از آسیب‌دیدگی انسانی یا طبیعی محافظت می‌کند.

A.12 امنیت عملیات: کنترل‌های موجود در این بخش تضمین می‌کنند که سیستم‌های فناوری اطلاعات، از جمله سیستم‌عامل‌ها و نرم‌افزارها، ایمن و در برابر از دست دادن داده‌ها محافظت می‌شوند. علاوه بر این، کنترل‌های این بخش به ابزارهایی برای ثبت رویدادها و تولید شواهد، تأیید دوره‌ای آسیب‌پذیری‌ها و انجام اقدامات احتیاطی برای جلوگیری از تأثیرگذاری فعالیت‌های حسابرسی بر عملیات نیاز دارند.

A.13 امنیت ارتباطات: کنترل‌های این بخش از زیرساخت‌ها و خدمات شبکه و همچنین اطلاعاتی که از طریق آنها عبور می‌کند محافظت می‌کند.

A.14  اکتساب، توسعه و نگهداری سیستم: کنترل‌های این بخش تضمین می‌کند که امنیت اطلاعات هنگام خرید سیستم‌های اطلاعاتی جدید یا ارتقای سیستم‌های موجود در نظر گرفته می‌شود.

A.15 روابط تأمین‌کننده: کنترل‌های این بخش تضمین می‌کنند که فعالیت‌های برون‌سپاری انجام‌شده توسط تأمین‌کنندگان و شرکا نیز از کنترل‌های امنیت اطلاعات مناسب استفاده می‌کنند و نحوه نظارت بر عملکرد امنیتی شخص ثالث را شرح می‌دهند.

A.16 مدیریت حوادث امنیت اطلاعات: کنترل‌های موجود در این بخش چارچوبی را برای اطمینان از برقراری ارتباط و مدیریت مناسب رویدادها و حوادث امنیتی فراهم می‌کنند تا بتوان به موقع آن‌ها را حل کرد. آنها همچنین نحوه حفظ شواهد و همچنین نحوه درس گرفتن از حوادث را برای جلوگیری از تکرار آنها تعریف می کنند.

A.17 جنبه‌های امنیت اطلاعات مدیریت تداوم کسب‌وکار: کنترل‌های این بخش تداوم مدیریت امنیت اطلاعات در هنگام اختلالات و در دسترس بودن سیستم‌های اطلاعاتی را تضمین می‌کند.

A.18  انطباق: کنترل‌های این بخش چارچوبی را برای جلوگیری از نقض حقوقی، قانونی، نظارتی و قراردادی و ممیزی اینکه آیا امنیت اطلاعات مطابق با خط‌مشی‌ها، رویه‌ها و الزامات استاندارد ایزو 27001 اجرا شده و مؤثر است، ارائه می‌کند.

نگاهی دقیق تر به این حوزه ها به ما نشان می دهد که مدیریت امنیت اطلاعات نه تنها در مورد امنیت فناوری اطلاعات (یعنی فایروال ها، آنتی ویروس ها و غیره) بلکه در مورد مدیریت فرآیندها، حفاظت قانونی، مدیریت منابع انسانی، حفاظت فیزیکی و غیره است.

چرا ایزو 27001 مهم است؟

این استاندارد نه تنها دانش لازم را برای حفاظت از ارزشمندترین اطلاعات شرکت ها ارائه می دهد، بلکه یک شرکت می تواند گواهینامه ایزو 27001 را نیز دریافت کند و از این طریق به مشتریان و شرکای خود ثابت کند که از داده های آنها محافظت می کند.

همچنین افراد می توانند با شرکت در دوره و قبولی در آزمون گواهی ایزو 27001 را دریافت کنند و از این طریق مهارت های خود را به کارفرمایان بالقوه ثابت کنند.

از آنجا که ایزو 27001 یک استاندارد بین المللی است، به راحتی در سراسر جهان شناخته می شود و فرصت های تجاری را برای سازمان ها و متخصصان افزایش می دهد.

3 جنبه حفاظت از اطلاعات چیست؟

هدف اساسی ایزو 27001 حفاظت از سه جنبه از اطلاعات است:

محرمانه بودن: فقط افراد مجاز حق دسترسی به اطلاعات را دارند.

صداقت: فقط افراد مجاز می توانند اطلاعات را تغییر دهند.

در دسترس بودن: اطلاعات باید در صورت نیاز برای افراد مجاز در دسترس باشد.

ایزو 27001 چگونه کار میکند؟

تمرکز ایزو 27001 حفاظت از محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات در یک شرکت است. این کار با یافتن مشکلات بالقوه ای که ممکن است برای اطلاعات رخ دهد (به عنوان مثال، ارزیابی ریسک)، و سپس تعریف کارهایی که برای جلوگیری از وقوع چنین مشکلاتی باید انجام شود. بنابراین، فلسفه اصلی ایزو 27001 مبتنی بر فرآیندی برای مدیریت ریسک است: از طریق اجرای کنترل‌های امنیتی خطرات را یافته و به طور سیستماتیک آنها را حل کنید.

ایزو 27001 از یک شرکت می‌خواهد که تمام کنترل‌هایی را که باید اجرا شوند در سندی به نام بیانیه کاربردپذیری فهرست کند. استاندارد به دو بخش تقسیم می شود. بخش اول، اصلی شامل 11 بند (0 تا 10) است. بخش دوم که ضمیمه A نام دارد، دستورالعملی برای 114 هدف و کنترل کنترل ارائه می کند. بندهای 0 تا 3 (مقدمه، دامنه، مراجع هنجاری، اصطلاحات و تعاریف) معرفی استاندارد ایزو 27001 را تعیین می کند. بندهای 4 تا 10 زیر که الزامات ایزو 27001 را ارائه می کند که در صورت تمایل شرکت به رعایت استاندارد الزامی است، در این مقاله با جزئیات بیشتر مورد بررسی قرار می گیرد.

ضمیمه A استاندارد، بندها و الزامات آنها را با فهرستی از کنترل‌ها پشتیبانی می‌کند که اجباری نیستند، اما به عنوان بخشی از فرآیند مدیریت ریسک انتخاب می‌شوند.

الزامات ایزو 27001 چیست؟

الزامات بخش های 4 تا 10 را می توان به صورت زیر خلاصه کرد:

بند 4: زمینه سازمان – یکی از پیش نیازهای اجرای موفقیت آمیز یک سیستم مدیریت امنیت اطلاعات، درک زمینه سازمان است. مسائل بیرونی و داخلی و نیز طرف های ذینفع باید شناسایی و بررسی شوند. الزامات ممکن است شامل مسائل نظارتی باشد، اما ممکن است فراتر از آن نیز باشد. با در نظر گرفتن این موضوع، سازمان باید محدوده ISMS را تعریف کند. ایزو 27001 چقدر در شرکت اعمال خواهد شد؟

بند 5: رهبری – الزامات ایزو 27001 برای رهبری کافی چندگانه است. تعهد مدیریت عالی برای یک سیستم مدیریتی الزامی است. اهداف باید بر اساس اهداف استراتژیک یک سازمان تعیین شوند. تهیه منابع مورد نیاز برای ISMS و همچنین حمایت از افراد برای مشارکت در ISMS نمونه های دیگری از تعهدات است.

علاوه بر این، مدیریت ارشد نیاز به ایجاد خط مشی مطابق با امنیت اطلاعات دارد. این خط مشی باید مستند شده و همچنین در داخل سازمان و به اشخاص ذینفع ابلاغ شود. برای برآورده شدن الزامات استاندارد ایزو 27001 و گزارش عملکرد ISMS، باید نقش‌ها و مسئولیت‌ها نیز تعیین شوند.

بند 6: برنامه ریزی – برنامه ریزی در محیط ISMS باید همیشه خطرات و فرصت ها را در نظر بگیرد. ارزیابی ریسک امنیت اطلاعات پایه و اساس مناسبی برای تکیه بر آن فراهم می کند. بر این اساس، اهداف امنیت اطلاعات باید بر اساس ارزیابی ریسک باشد. این اهداف باید با اهداف کلی شرکت همسو باشند. علاوه بر این، اهداف باید در داخل شرکت ترویج شوند. آنها اهداف امنیتی را برای همه افراد در داخل و همسو با شرکت فراهم می کنند. از ارزیابی ریسک و اهداف امنیتی، یک طرح درمان ریسک بر اساس کنترل هایی که در ضمیمه A فهرست شده است، استخراج می شود.

بند 7: پشتیبانی – منابع، شایستگی کارکنان، آگاهی و ارتباطات موضوعات کلیدی حمایت از هدف هستند. الزام دیگر مستندسازی اطلاعات بر اساس ایزو 27001 است. اطلاعات باید مستند، ایجاد و به روز شوند و همچنین باید کنترل شوند. برای پشتیبانی از موفقیت ISMS باید مجموعه ای مناسب از مستندات نگهداری شود.

بند 8: عملیات – فرآیندها برای اجرای امنیت اطلاعات اجباری هستند. این فرآیندها باید برنامه ریزی، اجرا و کنترل شوند. ارزیابی و مدیریت ریسک – که باید در ذهن مدیریت ارشد باشد،- باید عملی شود.

بند 9: ارزیابی عملکرد – الزامات استاندارد ایزو 27001 نظارت، اندازه گیری، تجزیه و تحلیل و ارزیابی سیستم مدیریت امنیت اطلاعات را انتظار دارد. نه تنها خود بخش باید کار خود را بررسی کند – علاوه بر این، ممیزی داخلی نیز باید انجام شود. در فواصل زمانی تعیین شده، مدیریت ارشد باید ISMS سازمان را بررسی کند.

بند 10: بهبود – بهبود ارزیابی را دنبال می کند. عدم انطباق ها باید با اقدام و از بین بردن علل در صورت لزوم برطرف شود. علاوه بر این، یک فرآیند بهبود مستمر باید اجرا شود، حتی اگر چرخه PDCA (Plan-Do-Check-Act) دیگر اجباری نباشد  هنوز چرخه PDCA اغلب توصیه می شود، زیرا ساختار محکمی را ارائه می دهد و الزامات ایزو 27001 را برآورده می کند.

ضمیمه A فهرستی مفید از اهداف و کنترل های کنترل مرجع است. با شروع با A.5 سیاست های امنیت اطلاعات از طریق A.18 Compliance، این لیست کنترل هایی را ارائه می دهد که توسط آنها می توان الزامات ایزو 27001 را برآورده کرد و ساختار یک ISMS را می توان استخراج کرد. کنترل‌هایی که از طریق ارزیابی ریسک همانطور که در بالا توضیح داده شده است، باید در نظر گرفته و اجرا شوند.

چگونه کنترل های ایزو 27001 را پیاده سازی می کنید؟

کنترل‌های فنی در درجه اول در سیستم‌های اطلاعاتی با استفاده از نرم‌افزار، سخت‌افزار و سایر اجزای اضافه‌ شده به سیستم اجرا می‌شوند. به عنوان مثال. پشتیبان گیری، نرم افزار آنتی ویروس و غیره.

کنترل های سازمانی با تعریف قوانینی که باید رعایت شوند و رفتار مورد انتظار کاربران، تجهیزات، نرم افزارها و سیستم ها اجرا می شوند. به عنوان مثال. سیاست کنترل دسترسی، سیاست BYOD و غیره

کنترل‌های قانونی با حصول اطمینان از اینکه قوانین و رفتارهای مورد انتظار از قوانین، مقررات، قراردادها و سایر ابزارهای قانونی مشابه پیروی و اجرا می‌شوند، اجرا می‌شوند که سازمان باید از آنها پیروی کند. به عنوان مثال. NDA (توافقنامه عدم افشا)، SLA (توافق سطح خدمات) و غیره.

کنترل‌های فیزیکی عمدتاً با استفاده از تجهیزات یا وسایلی که تعامل فیزیکی با افراد و اشیاء دارند، اجرا می‌شوند. به عنوان مثال. دوربین های مدار بسته، سیستم های دزدگیر، قفل و …

کنترل‌های منابع انسانی با ارائه دانش، آموزش، مهارت‌ها یا تجربه به افراد اجرا می‌شوند تا بتوانند فعالیت‌های خود را به روشی امن انجام دهند. به عنوان مثال. آموزش آگاهی از امنیت، آموزش حسابرس داخلی ایزو 27001 و غیره.

آیا ایزو 27001 یک الزام قانونی است؟

سازمان های دولتی و خصوصی می توانند رعایت استاندارد ایزو 27001 را به عنوان یک الزام قانونی در قراردادها و قراردادهای خدماتی خود با ارائه دهندگان خود تعریف کنند. علاوه بر این، همانطور که در بالا ذکر شد، کشورها می توانند قوانین یا مقرراتی را تعریف کنند که پذیرش ایزو 27001 را به یک الزام قانونی تبدیل می کند که باید توسط سازمان های فعال در قلمرو آنها انجام شود.

آخرین ورژن ایزو 27001 چیست؟

طول عمر معمول هر استاندارد ISO  پنج سال است. پس از این مدت، ارزیابی می شود که آیا استاندارد معتبر باقی می ماند، نیاز به تجدید نظر دارد یا باید پس گرفته شود.

در سال 2018، پنج سال پس از انتشار ISO 27001:2013، زمان بازنگری ISO 27001 و 27002 فرا رسید. آخرین ویراش در 15 فوریه 2022، ISO 27002:2022 منتشر شد.

برای دانلود رایگان ایزو 27001 کلیک کنید.

دانلود متن فارسی ایزو 27001

ISO 27001 چارچوبی را برای کمک به سازمان ها، در هر اندازه یا هر صنعتی، فراهم می کند تا از اطلاعات خود به شیوه ای سیستماتیک و مقرون به صرفه، از طریق اتخاذ یک سیستم مدیریت امنیت اطلاعات (ISMS) محافظت کنند. به کمک این استاندارد سازمان ها؛ محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات و همچنین انطباق قانونی را تضمین می کنند.

ISO 27001 چارچوبی را فراهم می کند تا از اطلاعات به شیوه ای سیستماتیک و مقرون به صرفه، از طریق اتخاذ یک سیستم مدیریت امنیت اطلاعات (ISMS) محافظت شود.. به کمک این استاندارد سازمان ها؛ محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات و همچنین انطباق قانونی را تضمین می کنند.
با ما تماس بگیرید.09173191369با ما تماس بگیرید.09173191369