منظور از ISO 27001 چیست؟
ابتدا، ذکر این نکته ضروری است که نام کامل ISO 27001 "ISO/IEC 27001 - فناوری اطلاعات - تکنیک های امنیتی - سیستم های مدیریت امنیت اطلاعات - الزامات" است.
این استاندارد بین المللی پیشرو متمرکز بر امنیت اطلاعات است که توسط سازمان بین المللی استاندارد (ISO) با همکاری کمیسیون بین المللی الکتروتکنیکی (IEC) منتشر شده است. هر دو سازمان های بین المللی پیشرو هستند که استانداردهای بین المللی را توسعه می دهند.
ISO-27001 بخشی از مجموعه ای از استانداردهای توسعه یافته برای مدیریت امنیت اطلاعات است: سری ISO/IEC 27000.
چارچوب ISO و هدف ISO 27001
چارچوب ISO ترکیبی از سیاست ها و فرآیندهایی است که سازمان ها باید از آنها استفاده کنند. ISO 27001 چارچوبی را برای کمک به سازمان ها، در هر اندازه یا هر صنعتی، فراهم می کند تا از اطلاعات خود به شیوه ای سیستماتیک و مقرون به صرفه، از طریق اتخاذ یک سیستم مدیریت امنیت اطلاعات (ISMS) محافظت کنند.
چرا ISO 27001 مهم است؟
این استاندارد نه تنها دانش لازم را برای حفاظت از ارزشمندترین اطلاعات شرکت ها ارائه می دهد، اما یک شرکت همچنین می تواند گواهینامه ISO 27001 را دریافت کند و از این طریق به مشتریان و شرکای خود ثابت کند که از داده های آنها محافظت می کند.
همچنین افراد می توانند با شرکت در دوره و قبولی در آزمون گواهی ISO 27001 را دریافت کنند و از این طریق مهارت های خود را به کارفرمایان بالقوه ثابت کنند.
از آنجا که ISO 27001 یک استاندارد بین المللی است، به راحتی در سراسر جهان شناخته می شود و فرصت های تجاری را برای سازمان ها و متخصصان افزایش می دهد.
3 هدف امنیتی ISMS چیست؟
هدف اساسی ISO 27001 حفاظت از سه جنبه از اطلاعات است:
-
محرمانه بودن: فقط افراد مجاز حق دسترسی به اطلاعات را دارند.
-
صداقت: فقط افراد مجاز می توانند اطلاعات را تغییر دهند.
-
در دسترس بودن: اطلاعات باید در صورت نیاز برای افراد مجاز در دسترس باشد.
ISMS چیست؟
سیستم مدیریت امنیت اطلاعات (ISMS) مجموعه ای از قوانینی است که یک شرکت باید به منظور:
- شناسایی ذینفعان و انتظارات آنها از شرکت از نظر امنیت اطلاعات
- شناسایی خطراتی که برای اطلاعات وجود دارد
- تعریف کنترل ها (ضمانت ها) و سایر روش های کاهش برای برآورده کردن انتظارات شناسایی شده و مدیریت ریسک ها
- اهداف روشنی را در مورد آنچه باید با امنیت اطلاعات به دست آورد تعیین کنید
- اجرای تمام کنترل ها و سایر روش های درمان خطر
- اجرای تمام کنترل ها و سایر روش های درمان خطر
- به طور مداوم اندازه گیری کنید که آیا کنترل های اجرا شده مطابق انتظار عمل می کنند
- بهبود مستمر را انجام دهید تا کل ISMS بهتر کار کند
این مجموعه قوانین می تواند در قالب خط مشی ها، رویه ها و انواع دیگر اسناد نوشته شود، یا می تواند به شکل فرآیندها و فناوری های ایجاد شده باشد که مستند نشده اند. ISO 27001 تعریف می کند که چه مدارکی مورد نیاز است، یعنی حداقل کدام باید وجود داشته باشد.
چرا به ISMS نیاز داریم؟
چهار مزیت تجاری اساسی وجود دارد که یک شرکت می تواند با اجرای این استاندارد امنیت اطلاعات به دست آورد:
-
الزامات قانونی را رعایت کنید، تعداد روزافزونی از قوانین، مقررات و الزامات قراردادی مرتبط با امنیت اطلاعات وجود دارد و خبر خوب این است که بسیاری از آنها با اجرای ISO 27001 قابل حل هستند. این استاندارد روش شناسی کاملی را به شما می دهد تا با همه آنها مطابقت داشته باشید.
-
دستیابی به مزیت رقابتی، اگر شرکت شما گواهینامه دریافت کند و رقبای شما گواهی ندهند، ممکن است از نظر مشتریانی که در مورد حفظ امنیت اطلاعات خود حساس هستند، نسبت به آنها برتری داشته باشید.
-
هزینه های پایین تر، فلسفه اصلی ISO 27001 جلوگیری از وقوع حوادث امنیتی است - و هر حادثه کوچک یا بزرگ هزینه دارد. بنابراین، با جلوگیری از آنها، شرکت شما در هزینه های بسیار زیادی صرفه جویی خواهد کرد. و بهترین چیز این است که سرمایه گذاری در ISO 27001 بسیار کمتر از صرفه جویی در هزینه است.
-
سازماندهی بهتر، معمولاً، شرکتهایی که به سرعت در حال رشد هستند، زمان توقف و تعریف فرآیندها و رویههای خود را ندارند - در نتیجه، اغلب کارکنان نمیدانند چه کاری باید انجام شود، چه زمانی و توسط چه کسی. پیاده سازی ISO 27001 به حل چنین شرایطی کمک می کند، زیرا شرکت ها را تشویق می کند تا فرآیندهای اصلی خود را بنویسند (حتی آنهایی که مرتبط با امنیت نیستند)، و آنها را قادر می سازد تا زمان از دست رفته توسط کارکنان خود را کاهش دهند.
ISO 27001 چگونه کار می کند؟
تمرکز ISO 27001 حفاظت از محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات در یک شرکت است. این کار با یافتن مشکلات بالقوه ای که ممکن است برای اطلاعات رخ دهد (به عنوان مثال، ارزیابی ریسک)، و سپس تعریف کارهایی که برای جلوگیری از وقوع چنین مشکلاتی باید انجام شود (به عنوان مثال، کاهش خطر یا درمان خطر) انجام می شود.
بنابراین، فلسفه اصلی ISO 27001 مبتنی بر فرآیندی برای مدیریت ریسک است: از طریق اجرای کنترلهای امنیتی (یا پادمانها) خطرات را در کجا پیدا کنید و سپس به طور سیستماتیک آنها را درمان کنید.
ISO 27001 از یک شرکت میخواهد که تمام کنترلهایی را که باید اجرا شوند در سندی به نام بیانیه کاربردپذیری فهرست کند.
دو بخش از استاندارد
استاندارد به دو بخش تقسیم می شود. بخش اول، اصلی شامل 11 بند (0 تا 10) است. بخش دوم که ضمیمه A نام دارد، دستورالعملی برای 114 هدف و کنترل کنترل ارائه می کند. بندهای 0 تا 3 (مقدمه، دامنه، مراجع هنجاری، اصطلاحات و تعاریف) معرفی استاندارد ISO 27001 را تنظیم می کند. بندهای 4 تا 10 زیر که الزامات ISO 27001 را ارائه می کند که در صورت تمایل شرکت به رعایت استاندارد الزامی است، در این مقاله با جزئیات بیشتر مورد بررسی قرار می گیرد.
پیوست A استاندارد، بندها و الزامات آنها را با فهرستی از کنترلها پشتیبانی میکند که اجباری نیستند، اما به عنوان بخشی از فرآیند مدیریت ریسک انتخاب میشوند.
الزامات ISO 27001 چیست؟
الزامات بخش های 4 تا 10 را می توان به صورت زیر خلاصه کرد:
بند 4: زمینه سازمان - یکی از پیش نیازهای اجرای موفقیت آمیز سیستم مدیریت امنیت اطلاعات، درک زمینه سازمان است. مسائل بیرونی و داخلی و نیز طرف های ذینفع باید شناسایی و بررسی شوند. الزامات ممکن است شامل مسائل نظارتی باشد، اما ممکن است فراتر از آن نیز باشد.
با در نظر گرفتن این موضوع، سازمان باید محدوده ISMS را تعریف کند. ISO 27001 چقدر در شرکت اعمال خواهد شد؟
بند 5: رهبری - الزامات ISO 27001 برای رهبری مناسب چندگانه است. تعهد مدیریت عالی برای یک سیستم مدیریتی الزامی است. اهداف باید بر اساس اهداف استراتژیک یک سازمان تعیین شوند. تأمین منابع مورد نیاز برای ISMS و همچنین حمایت از افراد برای مشارکت در ISMS، نمونه های دیگری از تعهدات است.
علاوه بر این، مدیریت ارشد نیاز به ایجاد خط مشی مطابق با امنیت اطلاعات دارد. این خط مشی باید مستند شده و همچنین در داخل سازمان و به اشخاص ذینفع ابلاغ شود.
برای برآورده شدن الزامات استاندارد ISO 27001 و گزارش عملکرد ISMS، باید نقش ها و مسئولیت ها نیز تعیین شوند.
بند ۶: برنامهریزی – برنامهریزی در محیط ISMS باید همیشه خطرات و فرصتها را در نظر بگیرد. ارزیابی ریسک امنیت اطلاعات پایه و اساس محکمی را برای تکیه بر آن فراهم می کند. بر این اساس، اهداف امنیت اطلاعات باید بر اساس ارزیابی ریسک باشد. این اهداف باید با اهداف کلی شرکت همسو شوند. علاوه بر این، اهداف باید در داخل شرکت ترویج شوند. آنها اهداف امنیتی را برای همه افراد در داخل و همسو با شرکت فراهم می کنند. از ارزیابی ریسک و اهداف امنیتی، یک طرح درمان ریسک بر اساس کنترل هایی که در ضمیمه A فهرست شده است، استخراج می شود.
بند ۷: پشتیبانی – منابع، شایستگی کارمندان، آگاهی و ارتباطات مسائل کلیدی حمایت از هدف هستند. یکی دیگر از الزامات، مستندسازی اطلاعات بر اساس ISO 27001 است. اطلاعات باید مستند، ایجاد و به روز شوند و همچنین باید کنترل شوند. برای پشتیبانی از موفقیت ISMS باید مجموعه ای مناسب از مستندات نگهداری شود.
بند 8: عملیات - فرآیندها برای اجرای امنیت اطلاعات اجباری هستند. این فرآیندها باید برنامه ریزی، اجرا و کنترل شوند. ارزیابی ریسک و درمان - که باید در ذهن مدیریت ارشد باشد، همانطور که قبلاً یاد گرفتیم - باید عملی شود.
بند 9: ارزیابی عملکرد - الزامات استاندارد ISO 27001 نظارت، اندازهگیری، تجزیه و تحلیل و ارزیابی سیستم مدیریت امنیت اطلاعات را انتظار دارد. نه تنها خود بخش باید کار خود را بررسی کند - علاوه بر این، ممیزی داخلی نیز باید انجام شود. در فواصل زمانی تعیین شده، مدیریت ارشد باید ISMS سازمان را بررسی کند.
بند 10: بهبود - بهبود ارزیابی را دنبال می کند. عدم انطباق ها باید با اقدام و از بین بردن علل در صورت لزوم برطرف شود. علاوه بر این، یک فرآیند بهبود مستمر باید اجرا شود، حتی اگر چرخه PDCA (Plan-Do-Check-Act) دیگر اجباری نباشد. با این حال، چرخه PDCA اغلب توصیه می شود، زیرا ساختار محکمی را ارائه می دهد و الزامات ISO 27001 را برآورده می کند.
ضمیمه A (هنجاری) اهداف و کنترل های کنترل مرجع
ضمیمه A فهرستی مفید از اهداف و کنترل های کنترل مرجع است. شروع با A.5 سیاست های امنیت اطلاعات از طریق این ضمیمه .18 مطابقت، فهرست کنترلهایی را ارائه میکند که توسط آنها میتوان الزامات ISO 27001 را برآورده کرد، و ساختار یک ISMS را میتوان استخراج کرد. کنترلهایی که از طریق ارزیابی ریسک همانطور که در بالا توضیح داده شد، باید در نظر گرفته و اجرا شوند.
کنترل های ISO 27001 چیست؟
کنترلهای ISO 27001 (همچنین به عنوان پادمانها نیز شناخته میشوند) شیوههایی هستند که باید برای کاهش خطرات تا سطوح قابل قبول اجرا شوند. کنترل ها می توانند فنی، سازمانی، قانونی، فیزیکی، انسانی و غیره باشند.
چند کنترل در ISO 27001 وجود دارد؟
ISO 27001 ضمیمه A 114 کنترل سازماندهی شده در 14 بخش با شماره A.5 تا A.18 را فهرست می کند.
چگونه کنترل های ISO 27001 را پیاده سازی می کنید؟
کنترلهای فنی عمدتاً در سیستمهای اطلاعاتی با استفاده از نرمافزار، سختافزار، و اجزای میانافزار اضافهشده به سیستم اجرا میشوند. به عنوان مثال. پشتیبان گیری، نرم افزار آنتی ویروس و غیره
کنترلهای سازمانی با تعریف قوانینی که باید دنبال شوند و رفتار مورد انتظار کاربران، تجهیزات، نرمافزار و سیستمها اجرا میشوند. به عنوان مثال. سیاست کنترل دسترسی، سیاست BYOD و غیره
کنترلهای قانونی با حصول اطمینان از اینکه قوانین و رفتارهای مورد انتظار از قوانین، مقررات، قراردادها و سایر ابزارهای قانونی مشابه پیروی و اجرا میشوند، اجرا میشوند که سازمان باید از آنها پیروی کند. به عنوان مثال. NDA (توافقنامه عدم افشا)، SLA (توافق سطح خدمات) و غیره.
کنترلهای فیزیکی عمدتاً با استفاده از تجهیزات یا دستگاههایی اجرا میشوند که با افراد و اشیا تعامل فیزیکی دارند. به عنوان مثال. دوربین های مدار بسته، سیستم های دزدگیر، قفل و ...
کنترلهای منابع انسانی با ارائه دانش، آموزش، مهارتها یا تجربه به افراد اجرا میشوند تا بتوانند فعالیتهای خود را به روشی امن انجام دهند. به عنوان مثال. آموزش آگاهی از امنیت، آموزش حسابرس داخلی ISO 27001 و غیره.
"گواهی ISO 27001" چیست؟
یک شرکت می تواند با دعوت از یک سازمان گواهی معتبر برای انجام ممیزی گواهینامه و در صورت موفقیت آمیز بودن ممیزی، گواهی ISO 27001 را برای شرکت صادر کند، برای دریافت گواهینامه ISO 27001 اقدام کند. این گواهی به این معنی خواهد بود که این شرکت به طور کامل با استاندارد ISO 27001 مطابقت دارد.
یک فرد می تواند با گذراندن دوره آموزشی ISO 27001 و قبولی در آزمون، برای دریافت گواهینامه ISO 27001 اقدام کند. این گواهی به این معنی خواهد بود که این فرد در طول دوره مهارت های مناسب را کسب کرده است.
نسخه فعلی ISO 27001 چیست؟
از تاریخ انتشار این مقاله، نسخه فعلی ISO 27001 ISO/IEC 27001:2013 است. اولین نسخه ISO 27001 در سال 2005 منتشر شد (ISO/IEC 27001:2005)، نسخه دوم در سال 2013، و این استاندارد آخرین بار در سال 2019، زمانی که نسخه 2013 تأیید شد (یعنی نیازی به تغییر نبود) مورد بررسی قرار گرفت.
توجه به این نکته ضروری است که کشورهای مختلف عضو ISO می توانند استاندارد را به زبان خود ترجمه کنند و اضافات جزئی ایجاد کنند. (به عنوان مثال، پیشگفتارهای ملی) که بر محتوای نسخه بین المللی استاندارد تأثیر نمی گذارد. این "نسخه ها" دارای حروف اضافی هستند تا آنها را از استاندارد بین المللی متمایز کنند، به عنوان مثال، NBR ISO/IEC 27001 "نسخه برزیلی" را مشخص می کند، در حالی که BS ISO/IEC 27001 "نسخه بریتانیایی" را تعیین می کند. این نسخههای محلی استاندارد همچنین حاوی سالی هستند که توسط سازمان استاندارد محلی تصویب شدند، بنابراین آخرین نسخه بریتانیایی BS EN ISO/IEC 27001:2017 است. به این معنی که ISO/IEC 27001:2013 توسط موسسه استاندارد بریتانیا در سال 2017 تصویب شد.