چگونه ISO 27001 به بهبود فرهنگ مدیریت امنیت اطلاعات در سازمانها کمک میکند؟
کلید مدیریت امنیت اطلاعات در دنیای مدرن با ISO 27001
- استاندارد isms چیست ؟
- استاندارد ایزو ISO 27001 چیست؟
- مزایای استقرار و پیادهسازی استاندارد ایزو 27001
- ISO 27001 به عنوان راهکاری موثر برای حفاظت از دادههای حیاتی سازمان
- چگونه بهبود امنیت اطلاعات ISO 27001 از طریق فرآیندهای مدیریتی انجام میشود؟
- روش فرآیندی در مدیریت اطلاعات در ایزو 27001
- ایزو 27001 سازگار با سایر سیستمهای مدیریتی
- طبقهبندی اطلاعات و اهمیت آن در مدیریت امنیت اطلاعات
- الزامات استانداردی بینالمللی ایزو 27001
- اصطلاحات امنیتی استاندارد ISO 27001
- گواهینامه ایزو 27001
- آموزش در استاندارد ایزو 27001
- تفاوتهای استانداردهای ایزو 27001 و ایزو 27002
- انتخاب استاندارد مناسب برای سازمان
- نکات مهم از خانواده استانداردهای ایزو 27000
- خرید کتاب استاندارد ISO 27001 , ISO 27002
- چکیده ای از استاندارد مدیریت امنیت اطلاعات ISMS (ایزو 27001)
تمامی سازمانها به منظور جلب اعتماد مشتریان خود و حفاظت از اطلاعات آنها و همچنین محافظت از دادههای محرمانه کسبوکاری خود نیازمند بستری امن جهت ایجاد، ذخیره و تبادل اطلاعات در فضای آنلاین و شبکه سازمانی خود هستند.
بنابراین با توجه به این نیاز همگانی، یکسری راهکارها و دستورالعملهای امنیتی در قالب یک استاندارد کلی جهانی تحت عنوان استانداردهای مدیریت امنیت اطلاعات توسط سازمان بینالمللی استاندارد (ISO) و کمیسیون بینالمللی الکتروتکنیک (IEC) طراحی شده و در اختیار سازمانها، مؤسسات، کسبوکارها و مشاغل قرار گرفته است.
دو سازمان استانداردساز ISO و IEC با همکاری یکدیگر یک کمیته فنی مشترک تشکیل دادهاند که به تدوین و بازبینی استانداردهای مختلف در حوزه امنیت فناوری اطلاعات و ارتباطات میپردازد.
در این مطلب از فراست، نگاهی به استاندارد isms چیه و ساختار یکی از مطرحترین و مشهورترین استانداردهای مدیریت امنیت اطلاعات ایزو با عنوان iso/iec 27001 می اندازیم و همچنین در مورد تفاوت ایزو 27001 و ایزو 27002 در چیست؟ را مورد بررسی قرار میدهیم.
استاندارد isms چیست ؟
سیستم مدیریت امنیت اطلاعات یا به اختصار ISMS، یک چارچوب است که امنیت و خطرات را به صورت منظم و در سطح کلی سازمان شما مدیریت میکند. این کنترلهای امنیتی میتوانند به استانداردهای امنیتی مشترک پایبند باشند یا به شکل دقیقتر و تخصصیتر، به صنعت شما متمرکز شوند. به عنوان نمونه، استاندارد ISO 27001 یا isms 27001 مجموعهای از مشخصات را ارائه میدهد که نحوه ایجاد، مدیریت، اجرای سیاستها و کنترلهای ISMS را توضیح میدهد. این استاندارد اجرای خاصی را الزامی نمیکند، بلکه راهنمایی مناسب در خصوص توسعه استراتژیهای مناسب ISMS ارائه میدهد.
استاندارد ایزو ISO 27001 چیست؟
استاندارد بینالمللی ایزو آیایسی 27001 (یا همان ISO/IEC 27001) به صورت مشترک توسط سازمان بینالمللی استاندارد (ISO) و کمیسیون بینالمللی الکتروتکنیک (IEC) تدوین شده و شامل سیاستها، رویهها و اصول امنیتی است.
تهیه و تدوین دستورالعملهای امنیت اطلاعات، ایجاد قوانینی برای حفاظت از داراییهای اطلاعاتی در برابر دسترسیهای غیرمجاز و همچنین ایجاد اطمینان از تداوم مدیریت امنیت اطلاعات ISMS در سازمان، از جمله مواردی هستند که در استاندارد ISO 27001 مورد توجه قرار گرفتهاند.
این استاندارد همچنین شامل فرایندی برای ارزیابی و مدیریت مخاطرات سایبری، ایجاد ساختار سازمانی مرتبط، طبقهبندی اطلاعات، سازوکارهای کنترل دسترسی، حفاظت فیزیکی و منطقی، نظارت و نیز رویهها و خطمشیهای امنیت اطلاعات است.
مزایای استقرار و پیادهسازی استاندارد ایزو 27001
کسب گواهینامه ISO 27001 و پیادهسازی استانداردهای امنیتی به شما کمک میکند تا با استفاده از رویکردهای امنیتی کارآمد، اعتماد مشتریانتان را جلب کرده و روابط کاری خود را با آنها و شرکای کاریتان حفظ کنید. مشتریان این اطمینان را مییابند که اطلاعات آنها به صورت کاملاً امن در سازمان شما نگهداری و پردازش میشود.
مهمترین مزایای مدیریت امنیت اطلاعات و استقرار، پیادهسازی استاندارد بینالمللی isms iso 27001 در یک سازمان شامل موارد زیر است:
- شناسایی و تشخیص مخاطرات امنیتی و نحوه پیشگیری از وقوع آنها
- مدیریت بحرانهای سایبری و جلوگیری از گسترش حملات در صورت وقوع
- پیشگیری از وارد شدن خسارتهای سنگین مالی، در صورت وقوع حملات سایبری
- ایجاد یک مزیت رقابتی برای سازمان، در مقایسه با رقبا
- افزایش اعتبار سازمان و همچنین ایجاد اطمینان در مشتریان و شرکای تجاری آن
- ایجاد یک فرهنگ امنیتی مناسب در سازمان
- کمک به تیمهای امنیتی و تسریع در اجرای اثربخش اقدامات امنیتی
محتوا و ساختار استاندارد ایزو 27001
استاندارد بینالمللی ایزو 27001 یا iso 27001 isms در هر سازمانی و برای محافظت از اطلاعات حساس حیاتی مانند اطلاعات مالی، بهداشت و سلامت، هویتی و فناوری اطلاعات قابل استفاده است. اگرچه هر سازمانی اصول و رویههای امنیتی خاص خود را دارد ولی پیروی از یک استاندارد امنیتی مشترک موجب ایجاد حس اطمینان و اعتماد بیشتری در بین سازمانها به خصوص شرکتهای همکار شده و از بینظمی، عدم یکپارچگی و ازدیاد راهکارهای امنیتی جلوگیری میکند.
سازمانها با کسب گواهینامه ایزو 27001 و پیروی از راهکارهای امنیتی آن میتوانند یک مجموعه کامل از رویههای امنیتی را در اختیار داشته باشند. در ادامه، شیوه عملکرد استاندارد ایزو 27001 را به صورت کلی مورد بررسی قرار میدهیم.
شیوه عملکرد استاندارد ایزو 27001
استاندارد بینالمللی ایزو 27001 با هدف ایجاد مدلی برای تعیین، پیادهسازی، مدیریت، نظارت، بازبینی، حفظ و بهبود یک سیستم مدیریت امنیت اطلاعات (ISMS) طراحی شده است. طراحی و پیادهسازی ISMS در هر سازمانی تحت تأثیر عوامل مختلف همچون اهداف و نیازمندیها، الزامات امنیتی، فرایندهای مورد استفاده، اندازه و ساختار سازمان است.
انتظار میرود که به مرور زمان این عوامل و سیستمهای حامی آنها بر اساس نیازهای ویژه هر سازمان تغییر یابند. از استاندارد بینالمللی ایزو 27001 میتوان برای ارزیابی این عوامل و سنجش میزان سازگاری آنها با محیط سازمان در زمانهای مختلف استفاده کرده و یک سیستم مدیریت امنیت اطلاعات که مطابق با شرایط سازمان است را طراحی و پیادهسازی کرد.
استاندارد بینالمللی ایزو 27001 از یک روش خاص برای تعیین، پیادهسازی، مدیریت، نظارت، بازبینی، حفظ و بهبود ISMS در سازمانها استفاده میکند. در ادامه، شیوه عملکرد استاندارد ایزو 27001 را به زبان ساده بیان میکنیم.
یک سازمان فقط در صورتی میتواند عملکرد صحیح و کارآمدی داشته باشد که فعالیتهای مختلف را شناسایی و آنها را مدیریت کند. هر فعالیتی که از منابع سازمانی برای کمک به تبدیل یکسری ورودی به خروجی استفاده کند، به عنوان یک فرایند در نظر گرفته میشود. خروجیهای یک فرایند معمولاً به عنوان ورودیهای فرایند بعدی در نظر گرفته میشوند.
روش فرآیندی در مدیریت اطلاعات در ایزو 27001
به عملیات استفاده از یک سیستم متشکل از فرایندهای متوالی در جریان یک سازمان، شناسایی و تعاملات این فرایندها و نیز مدیریت آنها «روش فرایندی»میگویند. ساختار و نحوه پیادهسازی الزامات استاندارد بینالمللی ایزو 27001 هم بر اساس یک روش فرایندی است. روش فرایندی مورد استفاده برای مدیریت امنیت اطلاعات در ایزو 27001 بر روی موارد زیر تأکید دارد:
- درک الزامات امنیت اطلاعات سازمان و نیاز به تدوین سیاستها و اهداف امنیت اطلاعات
- پیادهسازی و اجرای کنترلها جهت مدیریت مخاطرات امنیت اطلاعات سازمان، با در نظر گرفتن مخاطرات فعلی
- نظارت و بازبینی بر روی عملکرد و کارایی ISMS
- بهبود مستمر بر اساس ارزیابی مداوم اهداف
شیوه عملکرد استاندارد ایزو 27001 بر اساس مدل «طرحریزی – انجام – بررسی – اقدام» (PCDA) است. از مدل PCDA جهت تنظیم ساختار تمام فرایندهای ISMS استفاده میشود. ISMS الزامات امنیت اطلاعات و انتظارات طرفهای ذینفع را دریافت نموده و با استفاده از فرایندها و اقدامات لازم، خروجیهای مربوط به امنیت اطلاعات را که با این الزامات و انتظارات سازگاری لازم را دارند، تولید میکند.
برای مثال نفوذ اطلاعاتی نباید منجر به ایجاد آسیبهای مالی جدی برای سازمان شده و به اعتبار آن لطمه وارد کند. همچنین انتظار میرود تأثیر حوادثی مثل هک وبسایت سازمان برآورد شده و روشی برای مقابله با پیامدهای نامطلوب آن در نظر گرفته شده باشد.
ایزو 27001 سازگار با سایر سیستمهای مدیریتی
استاندارد بینالمللی ایزو 27001 ISO با استانداردهای ISO 9001 و ISO 14001 سازگار بوده و از پیادهسازیهای ادغام شده و یکپارچه با استانداردهای مدیریتی مرتبط پشتیبانی میکند. بنابراین یک سیستم مدیریت امنیت اطلاعات که دارای طراحی مناسبی باشد به راحتی میتواند با تمام سیستمهای مدیریتی سازگاری لازم را داشته باشد.
طبقهبندی اطلاعات و اهمیت آن در مدیریت امنیت اطلاعات
طبقهبندی اطلاعات به ما کمک میکند تا اطمینان حاصل کنیم که افراد داخل سازمان دانش کافی از نوع دادههایی که با آنها کار میکنند و ارزش آنها، تعهدات، مسئولیتهای خود در حفاظت، جلوگیری از نقض یا از دست دادن دادهها آگاهی دارند یا خیر.
الزامات استانداردی بینالمللی ایزو 27001
استاندارد بینالمللی ایزو 27001 انواع مختلف سازمانها مثل شرکتهای خصوصی و سازمانهای دولتی را در بر میگیرد. در این استاندارد، الزامات مورد نیاز برای ایجاد و پیادهسازی کنترلهای امنیتی، مدیریت، نظارت، بازبینی، نگهداری و بهبود یک سیستم مدیریت امنیت اطلاعات با توجه به کسبوکار کلی سازمان بیان شده است.
ISMS که جهت تضمین انتخاب مناسب کنترلهای امنیتی طراحی شده است، از داراییهای اطلاعاتی سازمان حفاظت نموده و برای طرفهای ذینفع نیز اطمینان خاطر لازم را در این خصوص ایجاد میکند. لازم به ذکر است که هر ارجاعی به «کسبوکار» در این استاندارد بینالمللی به صورت کلی و به عنوان فعالیتهایی تفسیر میشود که در اهداف وجودی یک سازمان نقش مهمی دارند. همچنین میتوانید در هنگام طراحی کنترلهای امنیتی از راهنمای پیادهسازی که در استاندارد مدیریت امنیت اطلاعات ISO/IEC 27002 ارایه میشود، استفاده کنید .
الزامات مشخص شده در استاندارد ایزو 27001 کلی بوده و به گونهای طراحی شدهاند که برای تمام سازمانها صرفنظر از نوع، اندازه و ماهیت آنها قابل اجرا باشند. هنگامی که سازمانی ادعای انطباق با این استاندارد بینالمللی را دارد نباید هیچ یک از الزامات مشخص شده در این استاندارد را نادیده بگیرد.
هرگونه چشمپوشی از کنترلهای الزامی برای برآورده کردن شرایط پذیرش مخاطرات باید با شواهد و مدارکی همراه باشد که اثبات کند افراد مسئول، مخاطرات ناشی از این موضوع را پذیرفتهاند. هر زمان کنترلی نادیده گرفته شود، ادعای تطابق با این استاندارد بینالمللی دیگر قابل قبول نخواهد بود مگر اینکه چنین استثنائاتی بر قابلیت یا مسئولیت سازمان جهت برآورده کردن الزامات امنیتی تعیین شده در ارزیابی مخاطرات و قوانین مربوطه تأثیر نامطلوبی نداشته باشند.
سازمانهایی که قبل از طراحی و پیادهسازی ایزو 27001 از سایر استانداردهای بینالمللی مثل ایزو 9001 یا ایزو 14001 استفاده میکنند معمولاً ترجیح میدهند الزامات استاندارد ایزو 27001 در چارچوب سیستم مدیریت موجود برآورده شده و یکپارچگی این سیستمهای مدیریتی با یکدیگر لحاظ شود.
اصطلاحات امنیتی استاندارد ISO 27001
بر اساس اهداف و کاربردهای استاندارد ایزو 27001، اصطلاحات و تعاریف زیر در آن بیان شده است:
- دارایی: هر آنچه که برای سازمان دارای ارزش است.
- دسترسپذیری: در دسترس و قابل استفاده بودن یک دارایی در هنگام تقاضا توسط موجودیتی مجاز.
- محرمانگی: قرار نگرفتن اطلاعات حساس در معرض دسترسی افراد، موجودیتها یا فرایندهای غیرمجاز.
- امنیت اطلاعات: حفظ محرمانگی، جامعیت و دسترسپذیری اطلاعات و همچنین ممکن است سایر ویژگیها مثل سندیت، پاسخگویی، عدم انکار و قابلیت اعتماد هم در آن دخیل باشند.
- رویداد امنیت اطلاعات: وقوع رویدادی ناخواسته برای یک سیستم، سرویس یا شبکه که نشاندهنده نقض احتمالی سیاست امنیت اطلاعات یا شکست سازوکارهای حفاظتی است یا هر رویدادی که پیش از این شناسایی نشده و ممکن است مرتبط با امنیت باشد.
- حادثه امنیت اطلاعات: وقوع غیرمنتظره یک رویداد امنیتی که ممکن است عملیات کسبوکار را به خطر انداخته و امنیت اطلاعات را تهدید کند.
- سیستم مدیریت امنیت اطلاعات: بخشی از سیستم مدیریت کلان سازمان که مبتنی بر مخاطرات کسبوکار بوده و با هدف ایجاد، پیادهسازی، مدیریت، نظارت، بازبینی، حفظ و بهبود امنیت اطلاعات طراحی شده است. یک سیستم مدیریتی شامل ساختار، سیاستها، فعالیتهای برنامهریزی شده، مسئولیتها، شیوهها، رویهها، فرایندها و منابع سازمانی است.
- جامعیت: حفافظت از درستی و کامل بودن دادهها.
- مخاطرات باقیمانده: مخاطراتی که پس از رفع مخاطرات اولیه همچنان وجود داشته و هنوز به صورت کامل برطرف نشدهاند.
- پذیرش مخاطرات: تصمیمگیری جهت قبول کردن یکسری از مخاطرات.
- تحلیل مخاطرات: بهرهگیری از مجموعهای اطلاعات جهت شناسایی منبع و تخمین مخاطرات و نیز تهدیدات امنیتی احتمالی.
- ارزیابی مخاطرات: فرایند کلی تخمین، تحلیل و ارزیابی مخاطرات و مقایسه مخاطرات تخمین زده شده با معیارهای تعیین شده جهت مشخص کردن میزان اهمیت آنها.
- مدیریت مخاطرات: مجموعهای از فعالیتهای هماهنگ جهت مدیریت و کنترل مخاطرات امنیتی موجود در یک سازمان.
- برطرفسازی مخاطرات: فرایند انتخاب و پیادهسازی اقدامات لازم برای رفع مخاطرات شناسایی شده.
- بیانیه کاربردپذیری: بیانیهای که اهداف کنترلی و کنترلهای مرتبط و قابل اعمال در ISMS یک سازمان را توصیف میکند. توجه کنید که کنترلها و اهداف کنترلی بر اساس نتایج و خروجی فرایندهای ارزیابی و برطرفسازی مخاطرات، الزامات قانونی، تعهدات قراردادی و الزامات کسبوکاری سازمان جهت برقراری امنیت اطلاعات، مشخص و جمعآوری میشوند.
گواهینامه ایزو 27001
گواهینامه ایزو 27001 را میتوان از یک شرکت گواهیدهنده که در اصلاح به آن CB گفته میشود، دریافت کرد. کسبوکارها با دریافت چنین گواهینامهای به مشتریانشان اطمینان میدهند که محصولات و خدمات سازمانی با انتظارات امنیتی آنها همخوانی لازم را دارد. البته کسب گواهینامه ایزو 27001 برای یکسری از کسبوکارها الزامی و اجباری است.
پس از اجرای کامل الزامات استاندارد میتوانید اقدام به تعیین شرکت CB جهت انجام ممیزی گرفته و گواهینامه این سیستم مدیریتی را دریافت کنید. کسب گواهینامه ایزو 27001 همچنین به شرکتها و سازمانها کمک میکند تا از طریق یک مقیاس استاندارد، اقدامات امنیتیشان را سنجیده و عملیاتهای کاری خود را با سطح اطمینان بیشتری انجام دهند.
آموزش در استاندارد ایزو 27001
با توجه به اینکه ممکن است افشای اطلاعات از طریق خطای سهوی کارکنان یک سازمان هم صورت گیرد بنابراین تمام افراد باید با اصول و الزامات امنیتی آشنا شوند. از این رو سازمانها باید با برگزاری دورههای آموزشی امنیتی، آموزشها و اطلاعات لازم را در اختیار کارمندانشان قرار داده و دانش آنها را در حوزه امنیت اطلاعات افزایش دهند.
در آموزشهای ارایه شده علاوه بر بیان نکات عمومی امنیت باید الزامات سیستم مدیریت امنیت اطلاعات نیز برای کارکنان سازمان تشریح شده تا فرصتی جهت رعایت کامل اصول امنیتی در یک محیط عملی فراهم شود.
تفاوتهای استانداردهای ایزو 27001 و ایزو 27002
استانداردهای ایزو 27001 و ایزو 27002 تفاوتهای بسیاری دارند. به نظر میآید که گواهینامه ISO 27002 دقیقتر و جزئیتر است. هر دو استاندارد اهداف متفاوتی دارند. شاید این سوال در ذهن شما شکل بگیرید که چرا این دو استاندارد با یکدیگر ادغام نشدهاند؟ جواب این سوال ساده است؛ چون استفاده از یک استاندارد واحد و بزرگ و پیادهسازی آن در یک سازمان بسیار پیچیده و سنگین میشود.
- ایزو ISO 27001 به معنای سیستمهای مدیریت امنیت اطلاعات
- ایزو ISO 27002 به معنای قانون عمل برای کنترل امنیت اطلاعات
انتخاب استاندارد مناسب برای سازمان
هر استانداردی از خانواده ایزو 27000 با تمرکز خاصی طراحی شده است. اگر شما قصد دارید اساسهای امنیت اطلاعات را در سازمان خود برپا کنید و چارچوب آن را تدوین کنید، باید از گواهینامه ISO 27001 استفاده کنید. اگر قصد دارید کنترلهای امنیتی را پیادهسازی کنید، گواهینامه ISO 27002 به شما کمک خواهد کرد. درصورتیکه قصد انجام ارزیابی ریسک را دارید، استفاده از استاندارد ISO 27005 مناسب خواهد بود.
نکات مهم از خانواده استانداردهای ایزو 27000
- ISO 2700 در مورد طراحی و اجرای ISMSبحث میکند.
- ISO 27004دستورالعملهایی برای ارزیابی عملکرد ISMSدر استاندارد ISO 27001ارائه میدهد.
- ISO 27005 روشهای مدیریت ریسک را توضیح میدهد و در استاندارد ISO 27001شناسایی و اجرای کنترلها در مقابل ریسکها را مطرح میکند.
- ISO 27007 در مورد شرایط حسابرسی استاندارد ISO 27001توصیههایی ارائه میدهد.
- ISO 27008 جزئیاتی در مورد ارزیابی کنترلها را ارائه میدهد.
- ISO 27009 در مورد اجرای کنترلها در بخشهای صنعتی خاص مشورت میدهد.
توجه داشته باشید که این تنها تعدادی از استانداردهای موجود در خانواده استانداردهای ایزو 27000 هستند و برای سازمانها ممکن است نیاز به تعیین استانداردهای بیشتر و مناسبی داشته باشند.
خرید کتاب استاندارد ISO 27001 , ISO 27002
تاکنون کتب، مقالات و نشریههای مفید و کاربردی بسیار زیادی در خصوص استاندارد بینالمللی ایزو 27001 منتشر شده و در دسترس عموم قرار گرفته است.
چکیده ای از استاندارد مدیریت امنیت اطلاعات ISMS (ایزو 27001)
اقدامات و عملیاتهای سازمانی معمولاً از طریق سامانههای اطلاعاتی که شامل دادهها و اطلاعات محرمانه هستند، انجام میشود. مجرمان سایبری تلاش میکنند با دسترسی به این سامانهها و سیستمها ضمن سرقت اطلاعات، از سازمانها و کسبوکارها درخواست باج نموده یا از این اطلاعات برای دستیابی به سایر اهداف پلیدشان استفاده کنند.
واضح است که ایجاد کوچکترین اختلالی در عملکرد سازمان منجر به قطع عملیاتهای کاری شده و خسارتهای بسیار زیادی را به سازمان وارد خواهد کرد. بنا به توصیه کارشناسان امنیتی، سازمانها باید از اصول و رویههای امنیتی استاندارد پیروی کرده و اقدامات لازم جهت فراهم کردن یک فرهنگ جامع امنیتی را در سازمانشان انجام دهند.
استاندارد ایزو 27001 یکی از معروفترین استانداردهای مدیریت امنیت اطلاعات است که به سازمان شما کمک میکند تا از اطلاعاتتان به خوبی محافظت کرده و به مشتریانتان اطمینان خاطر دهید از دادههای خصوصی آنها به روشی کاملاً امن حفاظت میشود. این استاندارد بینالمللی از طریق ایجاد یک سیاست جامع در سازمان، سازماندهی اطلاعات و دادههای محرمانه و کنترل دسترسیها کلیه مخاطرات و تهدیدات امنیتی را مدیریت میکند. ایزو 27001 همچنین در صورت وقوع حوادث امنیتی، مانع از گسترش آنها شده و پیامدهای منفی ناشی از چنین حوادثی را به شدت کاهش میدهد.