ISO 27001 چیست؟ (سیستم مدیریت امنیت اطلاعات)
این یک استاندارد بین المللی است که بر امنیت اطلاعات تمرکز دارد.
هدف ISO 27001 چیست ؟
ISO 27001 چارچوبی را برای کمک به سازمان ها، در هر اندازه یا هر صنعتی، فراهم می کند تا از اطلاعات خود به شیوه ای سیستماتیک و مقرون به صرفه، از طریق اتخاذ یک سیستم مدیریت امنیت اطلاعاتISMS) ) محافظت کنند.
۳هدف امنیتی ISMS چیست؟
هدف اساسیISO 27001 حفاظت از سه جنبه از اطلاعات است:
- محرمانه بودن: فقط افراد مجاز حق دسترسی به اطلاعات را دارند.
- صداقت: فقط افراد مجاز می توانند اطلاعات را تغییر دهند.
- در دسترس بودن: اطلاعات باید در صورت نیاز برای افراد مجاز در دسترس باشد.
ISMS چیست؟
مجموعه قوانینی است که یک شرکت باید وضع کند تا:
- شناسایی ذینفعان و انتظارات آنها از شرکت در زمینه امنیت اطلاعات
- شناساییریسک هایی که برای اطلاعات وجود دارد
- تعریف کنترل ها (ضمانت ها) و سایر روش های کاهش برای برآورده کردن انتظارات شناسایی شده و مدیریت ریسک ها
- تعیین اهداف در مورد آنچه باید با امنیت اطلاعات به دست آید
- اجرای تمام کنترل ها و سایر روش هایحذف خطر
- به طور مداوم اندازه گیری کنید که آیا کنترل های اجرا شده مطابق انتظار عمل می کنند
- بهبود مستمر را انجام دهید تاISMS بهتر کار کند
این مجموعه قوانین را می توان در قالب خط مشی ها، روش های اجرایی ها و انواع دیگر اسناد نوشت و یا می تواند به صورت فرآیندها و فناوری های تعیین شده ای باشد که مستند نشده اند ISO 27001 .تعریف می کند که کدام اسناد مورد نیاز است، به عنوان مثال، که حداقل باید وجود داشته باشد.
ISO 27001 چگونه کار می کند؟
تمرکزISO 27001 حفاظت از محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات در یک شرکت است. این کار با یافتن مشکلات بالقوه ای که ممکن است برای اطلاعات رخ دهد (به عنوان مثال، ارزیابی ریسک)، و سپس تعریف کارهایی که برای جلوگیری از وقوع چنین مشکلاتی باید انجام شود (به عنوان مثال، کاهش خطر) انجام می شود.
بنابراین، فلسفه اصلیISO 27001 مبتنی بر فرآیندی برای مدیریت ریسک است:
از طریق اجرای کنترلهای امنیتی خطرات را بیابید و سپس به طور سیستماتیک آنها را بهبود ببخشید.
ISO 27001 از یک شرکت میخواهد که تمام کنترلهایی را که باید اجرا شوند در سندی به نام بیانیه کاربردپذیری فهرست کند.
کنترل های ISO 27001 چیست؟
کنترلهایISO 27001 شیوههایی هستند که باید برای کاهش خطرات تا سطوح قابل قبول اجرا شوند. کنترل ها می توانند فنی، سازمانی، قانونی، فیزیکی، انسانی و غیره باشند.
چگونه کنترل هایISO 27001 را پیاده سازی می کنید؟
کنترلهای فنی عمدتاً در سیستمهای اطلاعاتی با استفاده از نرمافزار، سختافزار و اجزای فریمور اضافهشده به سیستم اجرا میشوند. به عنوان مثال. پشتیبان گیری، نرم افزار آنتی ویروس و غیره
کنترل های سازمانی با تعریف قوانینی که باید رعایت شوند و رفتار مورد انتظار کاربران، تجهیزات، نرم افزارها و سیستم ها اجرا می شوند.
کنترلهای قانونی با حصول اطمینان از اینکه قوانین و رفتارهای مورد انتظار از مقررات، قراردادها و سایر ابزارهای قانونی مشابه که سازمان باید از آنها پیروی کند اجرا میشوند.
کنترلهای فیزیکی عمدتاً با استفاده از تجهیزاتیا وسایلی که تعامل فیزیکی با افراد و اشیاء دارند (مانند دوربینهای مدار بسته، سیستمهای هشدار، قفلها و غیره) اجرا میشوند.
کنترلهای منابع انسانی با ارائه دانش، آموزش، مهارتها یا تجربه به افراد اجرا میشوند تا بتوانند فعالیتهای خود را به روشی امن انجام دهند (مانند آموزش آگاهی از امنیت، آموزش ممیزی داخلیISO 27001 و غیره).
آیا ایزو ۲۷۰۰۱ اجباری است؟
در اکثر کشورها، اجرایISO 27001 اجباری نیست. با این حال، برخی از کشورها مقرراتی را منتشر کرده اند که صنایع خاصی را ملزم به اجرایISO 27001 می کند.
To determine whether ISO 27001 is mandatory or not for your company, you should look for expert legal advice in the country where you operate
برای تعیین اینکه آیاISO 27001 برای شرکت شما اجباری است یا خیر، باید به دنبال مشاوره حقوقی در کشوری باشید که در آن فعالیت می کنید.
آیا ISO 27001 یک الزام قانونی است؟
سازمان های دولتی و خصوصی می توانند در قراردادها و تفاهم نامه های خدماتی با تامین کنندگان خود، رعایت استاندارد ISO 27001 را به عنوان یک الزام قانونی تعریف کنند. علاوه بر این، همانطور که در بالا ذکر شد، کشورها می توانند قوانینیا مقرراتی را تعریف کنند که پذیرش ISO 27001 را به یک الزام قانونی تبدیل می کند که باید توسط سازمان های فعال در قلمرو آنها انجام شود.