ISO 27001 چیست؟ (سیستم مدیریت امنیت اطلاعات)

این یک استاندارد بین المللی است که بر امنیت اطلاعات تمرکز دارد.

هدف ISO 27001 چیست ؟

ISO 27001 چارچوبی را برای کمک به سازمان ها، در هر اندازه یا هر صنعتی، فراهم می کند تا از اطلاعات خود به شیوه ای سیستماتیک و مقرون به صرفه، از طریق اتخاذ یک سیستم مدیریت امنیت اطلاعاتISMS) ) محافظت کنند.

۳هدف امنیتی ISMS چیست؟

هدف اساسیISO 27001 حفاظت از سه جنبه از اطلاعات است:

  • محرمانه بودن: فقط افراد مجاز حق دسترسی به اطلاعات را دارند.
  • صداقت: فقط افراد مجاز می توانند اطلاعات را تغییر دهند.
  • در دسترس بودن: اطلاعات باید در صورت نیاز برای افراد مجاز در دسترس باشد.

 

ISMS چیست؟

مجموعه قوانینی است که یک شرکت باید وضع کند تا:

  1. شناسایی ذینفعان و انتظارات آنها از شرکت در زمینه امنیت اطلاعات
  2. شناساییریسک هایی که برای اطلاعات وجود دارد
  3. تعریف کنترل ها (ضمانت ها) و سایر روش های کاهش برای برآورده کردن انتظارات شناسایی شده و مدیریت ریسک ها
  4. تعیین اهداف در مورد آنچه باید با امنیت اطلاعات به دست آید
  5. اجرای تمام کنترل ها و سایر روش هایحذف خطر
  6. به طور مداوم اندازه گیری کنید که آیا کنترل های اجرا شده مطابق انتظار عمل می کنند
  7. بهبود مستمر را انجام دهید تاISMS بهتر کار کند

این مجموعه قوانین را می توان در قالب خط مشی ها، روش های اجرایی ها و انواع دیگر اسناد نوشت و یا می تواند به صورت فرآیندها و فناوری های تعیین شده ای باشد که مستند نشده اند ISO 27001 .تعریف می کند که کدام اسناد مورد نیاز است، به عنوان مثال، که حداقل باید وجود داشته باشد.

ISO 27001 چگونه کار می کند؟

تمرکزISO 27001 حفاظت از محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات در یک شرکت است. این کار با یافتن مشکلات بالقوه ای که ممکن است برای اطلاعات رخ دهد (به عنوان مثال، ارزیابی ریسک)، و سپس تعریف کارهایی که برای جلوگیری از وقوع چنین مشکلاتی باید انجام شود (به عنوان مثال، کاهش خطر) انجام می شود.

بنابراین، فلسفه اصلیISO 27001 مبتنی بر فرآیندی برای مدیریت ریسک است:

از طریق اجرای کنترل‌های امنیتی خطرات را بیابید  و سپس به طور سیستماتیک آنها را بهبود ببخشید.

ISO 27001 از یک شرکت می‌خواهد که تمام کنترل‌هایی را که باید اجرا شوند در سندی به نام بیانیه کاربردپذیری فهرست کند.

کنترل های ISO 27001 چیست؟

کنترل‌هایISO 27001 شیوه‌هایی هستند که باید برای کاهش خطرات تا سطوح قابل قبول اجرا شوند. کنترل ها می توانند فنی، سازمانی، قانونی، فیزیکی، انسانی و غیره باشند.

چگونه کنترل هایISO 27001 را پیاده سازی می کنید؟

کنترل‌های فنی عمدتاً در سیستم‌های اطلاعاتی با استفاده از نرم‌افزار، سخت‌افزار و اجزای فریمور اضافه‌شده به سیستم اجرا می‌شوند. به عنوان مثال. پشتیبان گیری، نرم افزار آنتی ویروس و غیره

کنترل های سازمانی با تعریف قوانینی که باید رعایت شوند و رفتار مورد انتظار کاربران، تجهیزات، نرم افزارها و سیستم ها اجرا می شوند.

کنترل‌های قانونی با حصول اطمینان از اینکه قوانین و رفتارهای مورد انتظار از مقررات، قراردادها و سایر ابزارهای قانونی مشابه که سازمان باید از آنها پیروی کند اجرا میشوند.

کنترل‌های فیزیکی عمدتاً با استفاده از تجهیزاتیا وسایلی که تعامل فیزیکی با افراد و اشیاء دارند (مانند دوربین‌های مدار بسته، سیستم‌های هشدار، قفل‌ها و غیره) اجرا می‌شوند.

کنترل‌های منابع انسانی با ارائه دانش، آموزش، مهارت‌ها یا تجربه به افراد اجرا می‌شوند تا بتوانند فعالیت‌های خود را به روشی امن انجام دهند (مانند آموزش آگاهی از امنیت، آموزش ممیزی داخلیISO 27001 و غیره).

آیا ایزو ۲۷۰۰۱ اجباری است؟

در اکثر کشورها، اجرایISO 27001 اجباری نیست. با این حال، برخی از کشورها مقرراتی را منتشر کرده اند که صنایع خاصی را ملزم به اجرایISO 27001 می کند.

To determine whether ISO 27001 is mandatory or not for your company, you should look for expert legal advice in the country where you operate

برای تعیین اینکه آیاISO 27001 برای شرکت شما اجباری است یا خیر، باید به دنبال مشاوره حقوقی در کشوری باشید که در آن فعالیت می کنید.

آیا ISO 27001 یک الزام قانونی است؟

سازمان های دولتی و خصوصی می توانند در قراردادها و تفاهم نامه های خدماتی با تامین کنندگان خود، رعایت استاندارد ISO 27001 را به عنوان یک الزام قانونی تعریف کنند. علاوه بر این، همانطور که در بالا ذکر شد، کشورها می توانند قوانینیا مقرراتی را تعریف کنند که پذیرش ISO 27001 را به یک الزام قانونی تبدیل می کند که باید توسط سازمان های فعال در قلمرو آنها انجام شود.

ISO 22000 ISO 27701