استاندارد مدیریت امنیت اطلاعات ISMS (ایزو 27001)

تمامی سازمان‌ها به منظور جلب اعتماد مشتریان خود و حفاظت از اطلاعات آنها و همچنین محافظت از داده‌های محرمانه کسب‌وکاری‌شان نیازمند بستری امن جهت ایجاد، ذخیره و تبادل اطلاعات در فضای آنلاین و شبکه سازمانی خود هستند. بنابراین با توجه به این نیاز همگانی، یکسری راهکارها و دستورالعمل‌های امنیتی در قالب یک استاندارد کلی جهانی تحت عنوان استانداردهای مدیریت امنیت اطلاعات توسط سازمان بین‌المللی استاندارد[1] (ISO) و کمیسیون بین‌المللی الکتروتکنیک[2] (IEC) طراحی شده و در اختیار سازمان‌ها، مؤسسات، کسب‌وکارها و مشاغل قرار گرفته است. دو سازمان استانداردساز ISO و IEC با همکاری یکدیگر یک کمیته فنی مشترک تشکیل داده‌اند که به تدوین و بازبینی استانداردهای مختلف در حوزه امنیت فناوری اطلاعات و ارتباطات می‌پردازد.

شرکت‌ها و سازمان‌ها نیازمند مجموعه‌ای از چک‌لیست‌های استاندارد امنیت اطلاعات بوده و بر اساس این راهنمایی‌ها و رویه‌های تخصصی باید سیاست‌های کسب‌وکاری‌شان را تنظیم نموده و قوانین امنیتی را جهت به حداقل رساندن حملات سایبری و مخاطرات امنیتی وضع کنند. اگرچه خانواده استانداردهای مدیریت امنیت اطلاعات به مرور زمان گسترش یافته و کامل‌تر شده است ولی هدف همه استانداردهای امنیتی از همان ابتدا ایجاد محیطی امن و حفظ امنیت اطلاعات در هر سازمان متناسب با نوع آن کسب‌وکار، مخاطرات و تهدیدات امنیتی موجود، بودجه و سایر عوامل تأثیرگذار در هر سازمانی بوده است.
در این مطلب از فراست، نگاهی به تاریخچه و ساختار یکی از مطرح‌ترین و مشهورترین استانداردهای امنیت اطلاعات ایزو با عنوان ایزو 27001 داشته و آن را مورد بررسی قرار می‌دهیم.

 

استاندارد ایزو 27001 چیست؟

استاندارد بین‌المللی ایزو آی‌ای‌سی 27001 (یا همان ISO/IEC 27001) به صورت مشترک توسط سازمان بین‌المللی استاندارد (ISO) و کمیسیون بین‌المللی الکتروتکنیک (IEC) تدوین شده و شامل سیاست‌ها، رویه‌ها و اصول امنیتی است.

تهیه و تدوین دستورالعمل‌های امنیت اطلاعات، ایجاد قوانینی برای حفاظت از دارایی‌های اطلاعاتی در برابر دسترسی‌های غیرمجاز و همچنین ایجاد اطمینان از تداوم مدیریت امنیت اطلاعات در سازمان از جمله مواردی هستند که در استاندارد ISO 27001 مورد توجه قرار گرفته‌اند. این استاندارد همچنین شامل فرایندی برای ارزیابی و مدیریت مخاطرات سایبری، ایجاد ساختار سازمانی مرتبط، طبقه‌بندی اطلاعات، سازوکارهای کنترل دسترسی، حفاظت فیزیکی و منطقی، نظارت و نیز رویه‌ها و خط‌مشی‌های امنیت اطلاعات است.

دریافت گواهینامه استاندارد بین‌المللی ISO 27001 به این معنی است که سیستم مدیریت امنیت اطلاعات شما صرف‌نظر از اندازه یا نوع سازمان‌تان با استانداردهای امنیت اطلاعات ایزو همخوانی و انطباق لازم را داشته و مدیریت امنیت اطلاعات در سازمان، مطابق با الزامات این استاندارد بین‌المللی در حال جریان است.

مزایای استقرار و پیاده‌سازی استاندارد ایزو 27001

کسب گواهینامه ISO 27001 و پیاده‌سازی استانداردهای امنیتی به شما کمک می‌کند تا با استفاده از رویکردهای امنیتی کارآمد، اعتماد مشتریان‌تان را جلب کرده و روابط کاری خود را با آنها و شرکای کاری‌تان حفظ کنید. مشتریان این اطمینان را می‌یابند که اطلاعات آنها به صورت کاملاً امن در سازمان شما نگهداری و پردازش می‌شود.
مهمترین مزایای استقرار و پیاده‌سازی استاندارد بین‌المللی ایزو 27001 در یک سازمان شامل موارد زیر است:

• شناسایی و تشخیص مخاطرات امنیتی و نحوه پیشگیری از وقوع آنها
• مدیریت بحران‌های سایبری و جلوگیری از گسترش حملات در صورت وقوع
• پیشگیری از وارد شدن خسارت‌های سنگین مالی، در صورت وقوع حملات سایبری
• ایجاد یک مزیت رقابتی برای سازمان، در مقایسه با رقبا
• افزایش اعتبار سازمان و همچنین ایجاد اطمینان در مشتریان و شرکای تجاری آن
• ایجاد یک فرهنگ امنیتی مناسب در سازمان
• کمک به تیم‌های امنیتی و تسریع در اجرای اثربخش اقدامات امنیتی

 

محتوا و ساختار استاندارد ایزو 27001

استاندارد بین‌المللی ایزو 27001 در هر سازمانی و برای محافظت از اطلاعات حساس حیاتی مانند اطلاعات مالی، بهداشت و سلامت، هویتی و فناوری اطلاعات قابل استفاده است. اگرچه هر سازمانی اصول و رویه‌های امنیتی خاص خود را دارد ولی پیروی از یک استاندارد امنیتی مشترک موجب ایجاد حس اطمینان و اعتماد بیشتری در بین سازمان‌ها به خصوص شرکت‌های همکار شده و از بی‌نظمی، عدم یکپارچگی و ازدیاد راهکارهای امنیتی جلوگیری می‌کند. همچنین سازمان‌ها با کسب گواهینامه ایزو 27001 و پیروی از راهکارهای امنیتی آن می‌توانند یک مجموعه کامل از رویه‌های امنیتی را در اختیار داشته باشند. در ادامه، شیوه عملکرد استاندارد ایزو 27001 را به صورت کلی مورد بررسی قرار می‌دهیم.

بخش اول: مقدمه

توضیحات کلی

استاندارد بین‌المللی ایزو 27001 با هدف ایجاد مدلی برای تعیین، پیاده‌سازی، مدیریت، نظارت، بازبینی، حفظ و بهبود یک سیستم مدیریت امنیت اطلاعات (ISMS[3]) طراحی شده است. طراحی و پیاده‌سازی ISMS در هر سازمانی تحت تأثیر عوامل مختلف همچون اهداف و نیازمندی‌ها، الزامات امنیتی، فرایندهای مورد استفاده، اندازه و ساختار سازمان می‌باشد.
انتظار می‌رود که به مرور زمان این عوامل و سیستم‌های حامی آنها بر اساس نیازهای ویژه هر سازمان تغییر یابند. از استاندارد بین‌المللی ایزو 27001 می‌توان برای ارزیابی این عوامل و سنجش میزان سازگاری آنها با محیط سازمان در زمان‌های مختلف استفاده کرده و یک سیستم مدیریت امنیت اطلاعات که مطابق با شرایط سازمان است را طراحی و پیاده‌سازی کرد.

 

روش فرایندی

استاندارد بین‌المللی ایزو 27001 از یک روش خاص برای تعیین، پیاده‌سازی، مدیریت، نظارت، بازبینی، حفظ و بهبود ISMS در سازمان‌ها استفاده می‌کند. در ادامه، شیوه عملکرد استاندارد ایزو 27001 را به زبان ساده بیان می‌کنیم.

یک سازمان فقط در صورتی می‌تواند عملکرد صحیح و کارآمدی داشته باشد که فعالیت‌های مختلف را شناسایی و آنها را مدیریت نماید. هر فعالیتی که از منابع سازمانی برای کمک به تبدیل یکسری ورودی به خروجی استفاده نماید، به عنوان یک فرایند در نظر گرفته می‌شود. خروجی‌های یک فرایند معمولاً به عنوان ورودی‌های فرایند بعدی در نظر گرفته می‌شوند.

به عملیات استفاده از یک سیستم متشکل از فرایندهای متوالی و در جریان در یک سازمان، شناسایی و تعاملات این فرایندها و نیز مدیریت آنها «روش فرایندی» گفته می‌شود. ساختار و نحوه پیاده‌سازی الزامات استاندارد بین‌المللی ایزو 27001 هم بر اساس یک روش فرایندی است. روش فرایندی مورد استفاده برای مدیریت امنیت اطلاعات در ایزو 27001 بر روی موارد زیر تأکید دارد:

• درک الزامات امنیت اطلاعات سازمان و نیاز به تدوین سیاست‌ها و اهداف امنیت اطلاعات
• پیاده‌سازی و اجرای کنترل‌ها جهت مدیریت مخاطرات امنیت اطلاعات سازمان، با در نظر گرفتن مخاطرات فعلی آن
• نظارت و بازبینی بر روی عملکرد و کارایی ISMS
• بهبود مستمر بر اساس ارزیابی مداوم اهداف

شیوه عملکرد استاندارد ایزو 27001 بر اساس مدل «طرح‌ریزی – انجام – بررسی – اقدام» (PCDA[4]) است. از مدل PCDA جهت تنظیم ساختار تمام فرایندهای ISMS استفاده می‌شود. ISMS الزامات امنیت اطلاعات و انتظارات طرف‌های ذینفع را دریافت نموده و با استفاده از فرایندها و اقدامات لازم، خروجی‌های مربوط به امنیت اطلاعات را که با این الزامات و انتظارات سازگاری لازم را دارند، تولید می‌کند. برای مثال یکی از موارد این است که نفوذ اطلاعاتی نباید منجر به ایجاد آسیب‌های مالی جدی برای سازمان شده و به اعتبار آن لطمه وارد کند. همچنین انتظار می‌رود تأثیر حوادثی مثل هک وب‌سایت سازمان برآورد شده و روشی برای مقابله با پیامدهای نامطلوب آن در نظر گرفته شده باشد.

سازگاری با سایر سیستم‌های مدیریتی

استاندارد بین‌المللی ایزو 27001 با استانداردهای ISO 9001 و ISO 14001 سازگار بوده و از پیاده‌سازی‌های ادغام شده و یکپارچه با استانداردهای مدیریتی مرتبط پشتیبانی می‌کند. بنابراین یک سیستم مدیریت امنیت اطلاعات که دارای طراحی مناسبی باشد به راحتی می‌تواند با تمام سیستم‌های مدیریتی سازگاری لازم را داشته باشد.

 

بخش دوم: محدوده

توضیحات کلی

استاندارد بین‌المللی ایزو 27001 انواع مختلف سازمان‌ها مثل شرکت‌های خصوصی و سازمان‌های دولتی را در بر می‌گیرد. در این استاندارد، الزامات مورد نیاز برای ایجاد و پیاده‌سازی کنترل‌های امنیتی، مدیریت، نظارت، بازبینی، نگهداری و بهبود یک سیستم مدیریت امنیت اطلاعات با توجه به کسب‌وکار کلی سازمان بیان شده است.

ISMS که جهت تضمین انتخاب مناسب کنترل‌های امنیتی طراحی شده است، از دارایی‌های اطلاعاتی سازمان حفاظت نموده و برای طرف‌های ذینفع نیز اطمینان خاطر لازم را در این خصوص ایجاد می‌کند. لازم به ذکر است که هر ارجاعی به «کسب‌وکار» در این استاندارد بین‌المللی به صورت کلی و به عنوان فعالیت‌هایی تفسیر می‌شود که در اهداف وجودی یک سازمان نقش مهمی دارند. همچنین می‌توانید در هنگام طراحی کنترل‌های امنیتی از راهنمای پیاده‌سازی که در استاندارد مدیریت امنیت اطلاعات ISO/IEC 27002 ارایه می‌شود، استفاده کنید .

الزامات استانداردی

الزامات مشخص شده در استاندارد ایزو 27001 کلی بوده و به گونه‌ای طراحی شده‌اند که برای تمام سازمان‌ها صرف‌نظر از نوع، اندازه و ماهیت آنها قابل اجرا باشند. هنگامی که سازمانی ادعای انطباق با این استاندارد بین‌المللی را دارد نباید هیچ یک از الزامات مشخص شده در این استاندارد را نادیده بگیرد.

هرگونه چشم‌پوشی از کنترل‌های الزامی برای برآورده کردن شرایط پذیرش مخاطرات باید با شواهد و مدارکی همراه باشد که اثبات کند افراد مسئول، مخاطرات ناشی از این موضوع را پذیرفته‌اند. هر زمان کنترلی نادیده گرفته شود، ادعای تطابق با این استاندارد بین‌المللی دیگر قابل قبول نخواهد بود مگر اینکه چنین استثنائاتی بر قابلیت یا مسئولیت سازمان جهت برآورده کردن الزامات امنیتی تعیین شده در ارزیابی مخاطرات و قوانین مربوطه تأثیر نامطلوبی نداشته باشند.

سازمان‌هایی که قبل از طراحی و پیاده‌سازی ایزو 27001 از سایر استانداردهای بین‌المللی مثل ایزو 9001 یا ایزو 14001 استفاده می‌کنند معمولاً ترجیح می‌دهند الزامات استاندارد ایزو 27001 در چارچوب سیستم مدیریت موجود برآورده شده و یکپارچگی این سیستم‌های مدیریتی با یکدیگر لحاظ شود.

 

بخش سوم: اصطلاحات و تعاریف امنیتی استاندارد ISO 27001

بر اساس اهداف و کاربردهای استاندارد ایزو 27001، اصطلاحات و تعاریف زیر در آن بیان شده است:

• دارایی: هر آنچه که برای سازمان دارای ارزش است.
• دسترس‌پذیری: در دسترس و قابل استفاده بودن یک دارایی در هنگام تقاضا توسط موجودیتی مجاز.
• محرمانگی: قرار نگرفتن اطلاعات حساس در معرض دسترسی افراد، موجودیت‌ها یا فرایندهای غیرمجاز.
• امنیت اطلاعات: حفظ محرمانگی، جامعیت و دسترس‌پذیری اطلاعات. همچنین ممکن است سایر ویژگی‌ها مثل سندیت، پاسخگویی، عدم انکار و قابلیت اعتماد هم در آن دخیل باشند.
• رویداد امنیت اطلاعات: وقوع رویدادی ناخواسته برای یک سیستم، سرویس یا شبکه که نشان‌دهنده نقض احتمالی سیاست امنیت اطلاعات یا شکست سازوکارهای حفاظتی است یا هر رویدادی که پیش از این شناسایی نشده و ممکن است مرتبط با امنیت باشد.
• حادثه امنیت اطلاعات: وقوع غیرمنتظره یک رویداد امنیتی که ممکن است عملیات کسب‌وکار را به خطر انداخته و امنیت اطلاعات را تهدید کند.
• سیستم مدیریت امنیت اطلاعات: بخشی از سیستم مدیریت کلان سازمان که مبتنی بر مخاطرات کسب‌وکار بوده و با هدف ایجاد، پیاده‌سازی، مدیریت، نظارت، بازبینی، حفظ و بهبود امنیت اطلاعات طراحی شده است. یک سیستم مدیریتی شامل ساختار، سیاست‌ها، فعالیت‌های برنامه‌ریزی شده، مسئولیت‌ها، شیوه‌ها، رویه‌ها، فرایندها و منابع سازمانی است.
• جامعیت: حفافظت از درستی و کامل بودن داده‌ها.
• مخاطرات باقیمانده: مخاطراتی که پس از رفع مخاطرات اولیه همچنان وجود داشته و هنوز به صورت کامل برطرف نشده‌اند.
• پذیرش مخاطرات: تصمیم‌گیری جهت قبول کردن یکسری از مخاطرات.
• تحلیل مخاطرات: بهره‌گیری از مجموعه‌ای اطلاعات جهت شناسایی منبع و تخمین مخاطرات و نیز تهدیدات امنیتی احتمالی.
• ارزیابی مخاطرات: فرایند کلی تخمین، تحلیل و ارزیابی مخاطرات و مقایسه مخاطرات تخمین زده شده با معیارهای تعیین شده جهت مشخص کردن میزان اهمیت آنها.
• مدیریت مخاطرات: مجموعه‌ای از فعالیت‌های هماهنگ جهت مدیریت و کنترل مخاطرات امنیتی موجود در یک سازمان.
• برطرف‌سازی مخاطرات: فرایند انتخاب و پیاده‌سازی اقدامات لازم برای رفع مخاطرات شناسایی شده.
• بیانیه کاربردپذیری: بیانیه‌ای که اهداف کنترلی و کنترل‌های مرتبط و قابل اعمال در ISMS یک سازمان را توصیف می‌کند. توجه کنید که کنترل‌ها و اهداف کنترلی بر اساس نتایج و خروجی فرایندهای ارزیابی و برطرف‌سازی مخاطرات، الزامات قانونی، تعهدات قراردادی و الزامات کسب‌وکاری سازمان جهت برقراری امنیت اطلاعات، مشخص و جمع‌آوری می‌شوند.

 

گواهینامه ایزو 27001

گواهینامه ایزو 27001 را می‌توان از یک شرکت گواهی‌دهنده که در اصلاح به آن CB گفته می‌شود، دریافت کرد. کسب‌وکارها با دریافت چنین گواهینامه‌ای به مشتریان‌شان اطمینان می‌دهند که محصولات و خدمات سازمانی با انتظارات امنیتی آنها همخوانی لازم را دارد. البته کسب گواهینامه ایزو 27001 برای یکسری از کسب‌وکارها الزامی و اجباری است.

پس از اجرای کامل الزامات استاندارد می‌توانید اقدام به تعیین شرکت CB جهت انجام ممیزی گرفته و گواهینامه این سیستم مدیریتی را دریافت کنید. کسب گواهینامه ایزو 27001 همچنین به شرکت‌ها و سازمان‌ها کمک می‌کند تا از طریق یک مقیاس استاندارد، اقدامات امنیتی‌شان را سنجیده و عملیات‌های کاری خود را با سطح اطمینان بیشتری انجام دهند.

 

آموزش در استاندارد ایزو 27001

با توجه به اینکه ممکن است افشای اطلاعات از طریق خطای سهوی کارکنان یک سازمان هم صورت گیرد بنابراین تمام افراد باید با اصول و الزامات امنیتی آشنا شوند. از این رو سازمان‌ها باید با برگزاری دوره‌های آموزشی امنیتی، آموزش‌ها و اطلاعات لازم را در اختیار کارمندان‌شان قرار داده و دانش آنها را در حوزه امنیت اطلاعات افزایش دهند.

در آموزش‌های ارایه شده علاوه بر بیان نکات عمومی امنیت باید الزامات سیستم مدیریت امنیت اطلاعات نیز برای کارکنان سازمان تشریح شده تا فرصتی جهت رعایت کامل اصول امنیتی در یک محیط عملی فراهم شود.

دانلود استاندارد ISO 27001  

تاکنون کتب، مقالات و نشریه‌های مفید و کاربردی بسیار زیادی در خصوص استاندارد بین‌المللی ایزو 27001 منتشر شده و در دسترس عموم قرار گرفته است. متن فارسی استاندارد ایزو 27001 را می‌توانید از طریق لینک زیر دانلود کنید:

INSO -ISO-IEC -27001

جمع‌بندی

اقدامات و عملیات‌های سازمانی معمولاً از طریق سامانه‌های اطلاعاتی که شامل داده‌ها و اطلاعات محرمانه هستند، انجام می‌شود. مجرمان سایبری تلاش می‌کنند با دسترسی به این سامانه‌ها و سیستم‌ها ضمن سرقت اطلاعات، از سازمان‌ها و کسب‌وکارها درخواست باج نموده یا از این اطلاعات برای دستیابی به سایر اهداف پلیدشان استفاده کنند.

واضح است که ایجاد کوچکترین اختلالی در عملکرد سازمان منجر به قطع عملیات‌های کاری شده و خسارت‌های بسیار زیادی را به سازمان وارد خواهد کرد. بنا به توصیه کارشناسان امنیتی، سازمان‌ها باید از اصول و رویه‌های امنیتی استاندارد پیروی کرده و اقدامات لازم جهت فراهم کردن یک فرهنگ جامع امنیتی را در سازمان‌شان انجام دهند.

استاندارد ایزو 27001 یکی از معروفترین استانداردهای مدیریت امنیت اطلاعات است که به سازمان شما کمک می‌کند تا از اطلاعات‌تان به خوبی محافظت کرده و به مشتریان‌تان اطمینان خاطر دهید از داده‌های خصوصی آنها به روشی کاملاً امن حفاظت می‌شود. این استاندارد بین‌المللی از طریق ایجاد یک سیاست جامع در سازمان، سازمان‌دهی اطلاعات و داده‌های محرمانه و کنترل دسترسی‌ها کلیه مخاطرات و تهدیدات امنیتی را مدیریت می‌کند. ایزو 27001 همچنین در صورت وقوع حوادث امنیتی، مانع از گسترش آنها شده و پیامدهای منفی ناشی از چنین حوادثی را به شدت کاهش می‌دهد.

 

همچنین پیشنهاد می شود : آشنایی با امنیت اطلاعات، اصول و استانداردهای آن

 

[1] International Organization for Standardization

[2] یک مؤسسه استاندارد غیردولتی که استانداردهای بین‌المللی کلیه فناوری‌های مرتبط با الکترونیک و الکتریسیته را تهیه و منتشر می‌کند (ویکی‌پدیا).

[3] Information Security Management System

[4] Plan-Do-Check-Act