استاندارد مدیریت امنیت اطلاعات ISMS (ایزو 27001)
بررسی جامع استاندارد مدیریت امنیت اطلاعات (ISO/IEC 27001)
تمامی سازمانها به منظور جلب اعتماد مشتریان خود و حفاظت از اطلاعات آنها و همچنین محافظت از دادههای محرمانه کسبوکاریشان نیازمند بستری امن جهت ایجاد، ذخیره و تبادل اطلاعات در فضای آنلاین و شبکه سازمانی خود هستند. بنابراین با توجه به این نیاز همگانی، یکسری راهکارها و دستورالعملهای امنیتی در قالب یک استاندارد کلی جهانی تحت عنوان استانداردهای مدیریت امنیت اطلاعات توسط سازمان بینالمللی استاندارد[1] (ISO) و کمیسیون بینالمللی الکتروتکنیک[2] (IEC) طراحی شده و در اختیار سازمانها، مؤسسات، کسبوکارها و مشاغل قرار گرفته است. دو سازمان استانداردساز ISO و IEC با همکاری یکدیگر یک کمیته فنی مشترک تشکیل دادهاند که به تدوین و بازبینی استانداردهای مختلف در حوزه امنیت فناوری اطلاعات و ارتباطات میپردازد.
شرکتها و سازمانها نیازمند مجموعهای از چکلیستهای استاندارد امنیت اطلاعات بوده و بر اساس این راهنماییها و رویههای تخصصی باید سیاستهای کسبوکاریشان را تنظیم نموده و قوانین امنیتی را جهت به حداقل رساندن حملات سایبری و مخاطرات امنیتی وضع کنند. اگرچه خانواده استانداردهای مدیریت امنیت اطلاعات به مرور زمان گسترش یافته و کاملتر شده است ولی هدف همه استانداردهای امنیتی از همان ابتدا ایجاد محیطی امن و حفظ امنیت اطلاعات در هر سازمان متناسب با نوع آن کسبوکار، مخاطرات و تهدیدات امنیتی موجود، بودجه و سایر عوامل تأثیرگذار در هر سازمانی بوده است.
در این مطلب از فراست، نگاهی به تاریخچه و ساختار یکی از مطرحترین و مشهورترین استانداردهای امنیت اطلاعات ایزو با عنوان ایزو 27001 داشته و آن را مورد بررسی قرار میدهیم.
استاندارد ایزو 27001 چیست؟
استاندارد بینالمللی ایزو آیایسی 27001 (یا همان ISO/IEC 27001) به صورت مشترک توسط سازمان بینالمللی استاندارد (ISO) و کمیسیون بینالمللی الکتروتکنیک (IEC) تدوین شده و شامل سیاستها، رویهها و اصول امنیتی است.
تهیه و تدوین دستورالعملهای امنیت اطلاعات، ایجاد قوانینی برای حفاظت از داراییهای اطلاعاتی در برابر دسترسیهای غیرمجاز و همچنین ایجاد اطمینان از تداوم مدیریت امنیت اطلاعات در سازمان از جمله مواردی هستند که در استاندارد ISO 27001 مورد توجه قرار گرفتهاند. این استاندارد همچنین شامل فرایندی برای ارزیابی و مدیریت مخاطرات سایبری، ایجاد ساختار سازمانی مرتبط، طبقهبندی اطلاعات، سازوکارهای کنترل دسترسی، حفاظت فیزیکی و منطقی، نظارت و نیز رویهها و خطمشیهای امنیت اطلاعات است.
دریافت گواهینامه استاندارد بینالمللی ISO 27001 به این معنی است که سیستم مدیریت امنیت اطلاعات شما صرفنظر از اندازه یا نوع سازمانتان با استانداردهای امنیت اطلاعات ایزو همخوانی و انطباق لازم را داشته و مدیریت امنیت اطلاعات در سازمان، مطابق با الزامات این استاندارد بینالمللی در حال جریان است.
مزایای استقرار و پیادهسازی استاندارد ایزو 27001
کسب گواهینامه ISO 27001 و پیادهسازی استانداردهای امنیتی به شما کمک میکند تا با استفاده از رویکردهای امنیتی کارآمد، اعتماد مشتریانتان را جلب کرده و روابط کاری خود را با آنها و شرکای کاریتان حفظ کنید. مشتریان این اطمینان را مییابند که اطلاعات آنها به صورت کاملاً امن در سازمان شما نگهداری و پردازش میشود.
مهمترین مزایای استقرار و پیادهسازی استاندارد بینالمللی ایزو 27001 در یک سازمان شامل موارد زیر است:
- شناسایی و تشخیص مخاطرات امنیتی و نحوه پیشگیری از وقوع آنها
- مدیریت بحرانهای سایبری و جلوگیری از گسترش حملات در صورت وقوع
- پیشگیری از وارد شدن خسارتهای سنگین مالی، در صورت وقوع حملات سایبری
- ایجاد یک مزیت رقابتی برای سازمان، در مقایسه با رقبا
- افزایش اعتبار سازمان و همچنین ایجاد اطمینان در مشتریان و شرکای تجاری آن
- ایجاد یک فرهنگ امنیتی مناسب در سازمان
- کمک به تیمهای امنیتی و تسریع در اجرای اثربخش اقدامات امنیتی
محتوا و ساختار استاندارد ایزو 27001
استاندارد بینالمللی ایزو 27001 در هر سازمانی و برای محافظت از اطلاعات حساس حیاتی مانند اطلاعات مالی، بهداشت و سلامت، هویتی و فناوری اطلاعات قابل استفاده است. اگرچه هر سازمانی اصول و رویههای امنیتی خاص خود را دارد ولی پیروی از یک استاندارد امنیتی مشترک موجب ایجاد حس اطمینان و اعتماد بیشتری در بین سازمانها به خصوص شرکتهای همکار شده و از بینظمی، عدم یکپارچگی و ازدیاد راهکارهای امنیتی جلوگیری میکند. همچنین سازمانها با کسب گواهینامه ایزو 27001 و پیروی از راهکارهای امنیتی آن میتوانند یک مجموعه کامل از رویههای امنیتی را در اختیار داشته باشند. در ادامه، شیوه عملکرد استاندارد ایزو 27001 را به صورت کلی مورد بررسی قرار میدهیم.
بخش اول: مقدمه
توضیحات کلی
استاندارد بینالمللی ایزو 27001 با هدف ایجاد مدلی برای تعیین، پیادهسازی، مدیریت، نظارت، بازبینی، حفظ و بهبود یک سیستم مدیریت امنیت اطلاعات (ISMS[3]) طراحی شده است. طراحی و پیادهسازی ISMS در هر سازمانی تحت تأثیر عوامل مختلف همچون اهداف و نیازمندیها، الزامات امنیتی، فرایندهای مورد استفاده، اندازه و ساختار سازمان میباشد.
انتظار میرود که به مرور زمان این عوامل و سیستمهای حامی آنها بر اساس نیازهای ویژه هر سازمان تغییر یابند. از استاندارد بینالمللی ایزو 27001 میتوان برای ارزیابی این عوامل و سنجش میزان سازگاری آنها با محیط سازمان در زمانهای مختلف استفاده کرده و یک سیستم مدیریت امنیت اطلاعات که مطابق با شرایط سازمان است را طراحی و پیادهسازی کرد.
روش فرایندی
استاندارد بینالمللی ایزو 27001 از یک روش خاص برای تعیین، پیادهسازی، مدیریت، نظارت، بازبینی، حفظ و بهبود ISMS در سازمانها استفاده میکند. در ادامه، شیوه عملکرد استاندارد ایزو 27001 را به زبان ساده بیان میکنیم.
یک سازمان فقط در صورتی میتواند عملکرد صحیح و کارآمدی داشته باشد که فعالیتهای مختلف را شناسایی و آنها را مدیریت نماید. هر فعالیتی که از منابع سازمانی برای کمک به تبدیل یکسری ورودی به خروجی استفاده نماید، به عنوان یک فرایند در نظر گرفته میشود. خروجیهای یک فرایند معمولاً به عنوان ورودیهای فرایند بعدی در نظر گرفته میشوند.
به عملیات استفاده از یک سیستم متشکل از فرایندهای متوالی و در جریان در یک سازمان، شناسایی و تعاملات این فرایندها و نیز مدیریت آنها «روش فرایندی» گفته میشود. ساختار و نحوه پیادهسازی الزامات استاندارد بینالمللی ایزو 27001 هم بر اساس یک روش فرایندی است. روش فرایندی مورد استفاده برای مدیریت امنیت اطلاعات در ایزو 27001 بر روی موارد زیر تأکید دارد:
- درک الزامات امنیت اطلاعات سازمان و نیاز به تدوین سیاستها و اهداف امنیت اطلاعات
- پیادهسازی و اجرای کنترلها جهت مدیریت مخاطرات امنیت اطلاعات سازمان، با در نظر گرفتن مخاطرات فعلی آن
- نظارت و بازبینی بر روی عملکرد و کارایی ISMS
- بهبود مستمر بر اساس ارزیابی مداوم اهداف
شیوه عملکرد استاندارد ایزو 27001 بر اساس مدل «طرحریزی – انجام – بررسی – اقدام» (PCDA[4]) است. از مدل PCDA جهت تنظیم ساختار تمام فرایندهای ISMS استفاده میشود. ISMS الزامات امنیت اطلاعات و انتظارات طرفهای ذینفع را دریافت نموده و با استفاده از فرایندها و اقدامات لازم، خروجیهای مربوط به امنیت اطلاعات را که با این الزامات و انتظارات سازگاری لازم را دارند، تولید میکند. برای مثال یکی از موارد این است که نفوذ اطلاعاتی نباید منجر به ایجاد آسیبهای مالی جدی برای سازمان شده و به اعتبار آن لطمه وارد کند. همچنین انتظار میرود تأثیر حوادثی مثل هک وبسایت سازمان برآورد شده و روشی برای مقابله با پیامدهای نامطلوب آن در نظر گرفته شده باشد.
سازگاری با سایر سیستمهای مدیریتی
استاندارد بینالمللی ایزو 27001 با استانداردهای ISO 9001 و ISO 14001 سازگار بوده و از پیادهسازیهای ادغام شده و یکپارچه با استانداردهای مدیریتی مرتبط پشتیبانی میکند. بنابراین یک سیستم مدیریت امنیت اطلاعات که دارای طراحی مناسبی باشد به راحتی میتواند با تمام سیستمهای مدیریتی سازگاری لازم را داشته باشد.
بخش دوم: محدوده
توضیحات کلی
استاندارد بینالمللی ایزو 27001 انواع مختلف سازمانها مثل شرکتهای خصوصی و سازمانهای دولتی را در بر میگیرد. در این استاندارد، الزامات مورد نیاز برای ایجاد و پیادهسازی کنترلهای امنیتی، مدیریت، نظارت، بازبینی، نگهداری و بهبود یک سیستم مدیریت امنیت اطلاعات با توجه به کسبوکار کلی سازمان بیان شده است.
ISMS که جهت تضمین انتخاب مناسب کنترلهای امنیتی طراحی شده است، از داراییهای اطلاعاتی سازمان حفاظت نموده و برای طرفهای ذینفع نیز اطمینان خاطر لازم را در این خصوص ایجاد میکند. لازم به ذکر است که هر ارجاعی به «کسبوکار» در این استاندارد بینالمللی به صورت کلی و به عنوان فعالیتهایی تفسیر میشود که در اهداف وجودی یک سازمان نقش مهمی دارند. همچنین میتوانید در هنگام طراحی کنترلهای امنیتی از راهنمای پیادهسازی که در استاندارد مدیریت امنیت اطلاعات ISO/IEC 27002 ارایه میشود، استفاده کنید .
الزامات استانداردی
الزامات مشخص شده در استاندارد ایزو 27001 کلی بوده و به گونهای طراحی شدهاند که برای تمام سازمانها صرفنظر از نوع، اندازه و ماهیت آنها قابل اجرا باشند. هنگامی که سازمانی ادعای انطباق با این استاندارد بینالمللی را دارد نباید هیچ یک از الزامات مشخص شده در این استاندارد را نادیده بگیرد.
هرگونه چشمپوشی از کنترلهای الزامی برای برآورده کردن شرایط پذیرش مخاطرات باید با شواهد و مدارکی همراه باشد که اثبات کند افراد مسئول، مخاطرات ناشی از این موضوع را پذیرفتهاند. هر زمان کنترلی نادیده گرفته شود، ادعای تطابق با این استاندارد بینالمللی دیگر قابل قبول نخواهد بود مگر اینکه چنین استثنائاتی بر قابلیت یا مسئولیت سازمان جهت برآورده کردن الزامات امنیتی تعیین شده در ارزیابی مخاطرات و قوانین مربوطه تأثیر نامطلوبی نداشته باشند.
سازمانهایی که قبل از طراحی و پیادهسازی ایزو 27001 از سایر استانداردهای بینالمللی مثل ایزو 9001 یا ایزو 14001 استفاده میکنند معمولاً ترجیح میدهند الزامات استاندارد ایزو 27001 در چارچوب سیستم مدیریت موجود برآورده شده و یکپارچگی این سیستمهای مدیریتی با یکدیگر لحاظ شود.
بخش سوم: اصطلاحات و تعاریف امنیتی استاندارد ISO 27001
بر اساس اهداف و کاربردهای استاندارد ایزو 27001، اصطلاحات و تعاریف زیر در آن بیان شده است:
- دارایی: هر آنچه که برای سازمان دارای ارزش است.
- دسترسپذیری: در دسترس و قابل استفاده بودن یک دارایی در هنگام تقاضا توسط موجودیتی مجاز.
- محرمانگی: قرار نگرفتن اطلاعات حساس در معرض دسترسی افراد، موجودیتها یا فرایندهای غیرمجاز.
- امنیت اطلاعات: حفظ محرمانگی، جامعیت و دسترسپذیری اطلاعات. همچنین ممکن است سایر ویژگیها مثل سندیت، پاسخگویی، عدم انکار و قابلیت اعتماد هم در آن دخیل باشند.
- رویداد امنیت اطلاعات: وقوع رویدادی ناخواسته برای یک سیستم، سرویس یا شبکه که نشاندهنده نقض احتمالی سیاست امنیت اطلاعات یا شکست سازوکارهای حفاظتی است یا هر رویدادی که پیش از این شناسایی نشده و ممکن است مرتبط با امنیت باشد.
- حادثه امنیت اطلاعات: وقوع غیرمنتظره یک رویداد امنیتی که ممکن است عملیات کسبوکار را به خطر انداخته و امنیت اطلاعات را تهدید کند.
- سیستم مدیریت امنیت اطلاعات: بخشی از سیستم مدیریت کلان سازمان که مبتنی بر مخاطرات کسبوکار بوده و با هدف ایجاد، پیادهسازی، مدیریت، نظارت، بازبینی، حفظ و بهبود امنیت اطلاعات طراحی شده است. یک سیستم مدیریتی شامل ساختار، سیاستها، فعالیتهای برنامهریزی شده، مسئولیتها، شیوهها، رویهها، فرایندها و منابع سازمانی است.
- جامعیت: حفافظت از درستی و کامل بودن دادهها.
- مخاطرات باقیمانده: مخاطراتی که پس از رفع مخاطرات اولیه همچنان وجود داشته و هنوز به صورت کامل برطرف نشدهاند.
- پذیرش مخاطرات: تصمیمگیری جهت قبول کردن یکسری از مخاطرات.
- تحلیل مخاطرات: بهرهگیری از مجموعهای اطلاعات جهت شناسایی منبع و تخمین مخاطرات و نیز تهدیدات امنیتی احتمالی.
- ارزیابی مخاطرات: فرایند کلی تخمین، تحلیل و ارزیابی مخاطرات و مقایسه مخاطرات تخمین زده شده با معیارهای تعیین شده جهت مشخص کردن میزان اهمیت آنها.
- مدیریت مخاطرات: مجموعهای از فعالیتهای هماهنگ جهت مدیریت و کنترل مخاطرات امنیتی موجود در یک سازمان.
- برطرفسازی مخاطرات: فرایند انتخاب و پیادهسازی اقدامات لازم برای رفع مخاطرات شناسایی شده.
- بیانیه کاربردپذیری: بیانیهای که اهداف کنترلی و کنترلهای مرتبط و قابل اعمال در ISMS یک سازمان را توصیف میکند. توجه کنید که کنترلها و اهداف کنترلی بر اساس نتایج و خروجی فرایندهای ارزیابی و برطرفسازی مخاطرات، الزامات قانونی، تعهدات قراردادی و الزامات کسبوکاری سازمان جهت برقراری امنیت اطلاعات، مشخص و جمعآوری میشوند.
گواهینامه ایزو 27001
گواهینامه ایزو 27001 را میتوان از یک شرکت گواهیدهنده که در اصلاح به آن CB گفته میشود، دریافت کرد. کسبوکارها با دریافت چنین گواهینامهای به مشتریانشان اطمینان میدهند که محصولات و خدمات سازمانی با انتظارات امنیتی آنها همخوانی لازم را دارد. البته کسب گواهینامه ایزو 27001 برای یکسری از کسبوکارها الزامی و اجباری است.
پس از اجرای کامل الزامات استاندارد میتوانید اقدام به تعیین شرکت CB جهت انجام ممیزی گرفته و گواهینامه این سیستم مدیریتی را دریافت کنید. کسب گواهینامه ایزو 27001 همچنین به شرکتها و سازمانها کمک میکند تا از طریق یک مقیاس استاندارد، اقدامات امنیتیشان را سنجیده و عملیاتهای کاری خود را با سطح اطمینان بیشتری انجام دهند.
آموزش در استاندارد ایزو 27001
با توجه به اینکه ممکن است افشای اطلاعات از طریق خطای سهوی کارکنان یک سازمان هم صورت گیرد بنابراین تمام افراد باید با اصول و الزامات امنیتی آشنا شوند. از این رو سازمانها باید با برگزاری دورههای آموزشی امنیتی، آموزشها و اطلاعات لازم را در اختیار کارمندانشان قرار داده و دانش آنها را در حوزه امنیت اطلاعات افزایش دهند.
در آموزشهای ارایه شده علاوه بر بیان نکات عمومی امنیت باید الزامات سیستم مدیریت امنیت اطلاعات نیز برای کارکنان سازمان تشریح شده تا فرصتی جهت رعایت کامل اصول امنیتی در یک محیط عملی فراهم شود.
دانلود استاندارد ISO 27001
تاکنون کتب، مقالات و نشریههای مفید و کاربردی بسیار زیادی در خصوص استاندارد بینالمللی ایزو 27001 منتشر شده و در دسترس عموم قرار گرفته است. متن فارسی استاندارد ایزو 27001 را میتوانید از طریق لینک زیر دانلود کنید:
جمعبندی
اقدامات و عملیاتهای سازمانی معمولاً از طریق سامانههای اطلاعاتی که شامل دادهها و اطلاعات محرمانه هستند، انجام میشود. مجرمان سایبری تلاش میکنند با دسترسی به این سامانهها و سیستمها ضمن سرقت اطلاعات، از سازمانها و کسبوکارها درخواست باج نموده یا از این اطلاعات برای دستیابی به سایر اهداف پلیدشان استفاده کنند.
واضح است که ایجاد کوچکترین اختلالی در عملکرد سازمان منجر به قطع عملیاتهای کاری شده و خسارتهای بسیار زیادی را به سازمان وارد خواهد کرد. بنا به توصیه کارشناسان امنیتی، سازمانها باید از اصول و رویههای امنیتی استاندارد پیروی کرده و اقدامات لازم جهت فراهم کردن یک فرهنگ جامع امنیتی را در سازمانشان انجام دهند.
استاندارد ایزو 27001 یکی از معروفترین استانداردهای مدیریت امنیت اطلاعات است که به سازمان شما کمک میکند تا از اطلاعاتتان به خوبی محافظت کرده و به مشتریانتان اطمینان خاطر دهید از دادههای خصوصی آنها به روشی کاملاً امن حفاظت میشود. این استاندارد بینالمللی از طریق ایجاد یک سیاست جامع در سازمان، سازماندهی اطلاعات و دادههای محرمانه و کنترل دسترسیها کلیه مخاطرات و تهدیدات امنیتی را مدیریت میکند. ایزو 27001 همچنین در صورت وقوع حوادث امنیتی، مانع از گسترش آنها شده و پیامدهای منفی ناشی از چنین حوادثی را به شدت کاهش میدهد.
همچنین پیشنهاد می شود : آشنایی با امنیت اطلاعات، اصول و استانداردهای آن
[1] International Organization for Standardization
[2] یک مؤسسه استاندارد غیردولتی که استانداردهای بینالمللی کلیه فناوریهای مرتبط با الکترونیک و الکتریسیته را تهیه و منتشر میکند (ویکیپدیا).
[3] Information Security Management System
[4] Plan-Do-Check-Act