توجه نکردن به امنیت اطلاعات و در نتیجه نقض قوانین محرمانگی، خراب شدن داده ها یا از دست دادن دسترسی به داده های شرکت، می تواند بر هر شغلی تاثیر منفی بگذارد. خسارت های احتمالی که ممکن است بعد از این اتفاق رخ دهد اعمل از خسارت های مالی، شهرت و … اثرات مخربی را بر روی نام برند شما خواهند گذاشت. خانواده استاندارد های ایزو 27000 از استاندارد هایی هستند که بر روی امنیت اطلاعات متمرکز شده اند. جالب است بدانید که در بیشتر موارد خسارت های ذکر شده، ناشی از هک شدن سیستم که توسط هکر ها انجام می گیرد هستند. بنابراین استفاده از یک استاندارد برای اجرا سیستم های امنیت اطلاعاتی امری کاملا ضروری برای کسب و کارهایی که به اطلاعات کاربران خود اهمیت می دهد است.
استاندارد های سری ISO 27000 از بهترین گواهینامه ها برای برقراری امنیت اطلاعات هستند که مطابقت کامل با استاندارد های ایزو 9001 (مدیریت کیفیت) ، ایزو 14001 (مدیریت محیط زیست) و ایزو 45001 (مدیریت ایمنی و بهداشت) و دیگر استاندارد های ایزو دارد و برای اجرا این موارد با یکدیگر نیاز به نگرانی نیست.
گواهینامه های ایزو 27000 به صورت مشترک توسط سازمان استاندارد سازی (ISO) و کمیسیون بین المللی الکتروتکنیک (IEC) منتشر شده است و خود شامل ده ها استاندارد و دستورالعمل های متعدد می باشد. در این میان 6 استاندارد آن بسیار کاربردی هستند که در ادامه آنها را مورد بررسی قرار خواهیم داد.
| نام | کاربرد |
|---|---|
| ISO 27001 | الزامات سیستم های مدیریت امنیت اطلاعات |
| ISO 27002 | قوانینی برای کنترل امنیت اطلاعات |
| ISO 27005 | مدیریت ریسک امنیت اطلاعات |
| ISO 27017 | قوانینی برای کنترل امینت اطلاعات بر اساس ایزو 27002 برای خدمات ابری |
| ISO 27018 | کد های عملی برای حفاظت از اطلاعات شناسایی شده شخصی PII |
| ISO 27701 | مدیریت اطلاعات حریم خصوصی |
لیست استاندارد های ایزو 27000
استاندارد ایزو 27001
ISO 27001 اصلی ترین استاندارد امنیت اطلاعات می باشد که الزامات ISMS (چارچوبی از فرایند ها، فناوری و افراد است) یک سازمان را فراهم می کند. این برنامه از کنترل های فنی، اداری، مدیریتی و قانونی برای مدیریت موثر ریسک جهت محافظت از دارایی های اطلاعاتی یک کسب و کار استفاده می کند. به طور کلی شما باید خطرات امنیت اطلاعات سازمان خود را بررسی کرده و فعالیت هایی را برای بهبود آنها انجام دهید.
ضمیمه A مدرک ایزو 27001 لیستی از کنترل ها را ارائه می دهد که در صورت اجرا به کاهش خطرات امنیت اطلاعات شما کمک می کند. کنترل های ضمیمه A ، مربوط به خطرات سازمان شما در “بیانیه کاربردی” گنجانده می شوند و شامل کنترل هاییست که برای سازمان شما قابل اجرا هستند. همچنین سازمان ها می توانند برای دریافت گواهینامه ایزو 27001 اقدام کنند و مدرک آن را در اختیار داشته باشند.
استاندارد ایزو 27002
این دستورالعمل، اطلاعات بیشتری در مورد کنترل های خطر امنیت اطلاعات موجود در ضمیمه A ارائه می کند و همچنین می توان برای تصمیم گیری در مورد اینکه کدام یک از آنها برای سازمان شما قابل اجرا میباشد نیز به شما کمک کند. در اصل ISO 27002 همان محتوای ضمیمه A را ارائه می کند با این تفاوت که راهنمایی پیاده سازی نیز برای هر یک از آنها در ذکر کرده است. باید در نظر داشته باشید که سازمان ها نمی توانند دارای گواهینامه ایزو 27002 باشند، زیرا این یک نوع سند عملی در نظر گرفته می شود.
استاندارد ایزو 27005
این سند دستورالعمل های مدیریت ریسک امنیتی ISRM را ارائه می کند. البته مواردی از ISRM که توسط ایزو تایید شده اند و توسط ایزو 27001 پشتیبانی می شوند در این سند مورد بررسی دقیق قرار گرفته است. دستورالعمل های ISO 27005 به جای تعین روش های شناسایی خاص، رویکرد گسترده ای را برای اعمال مدیریت ریسک در هر سازمانی، بدون در نظر گرفتن صنعت ارائه می دهد. این سیستم نیز به عنوان یک سند راهنما می باشد و سازمان شما نمی تواند گواهینامه آن را دریافت کند.
استاندارد ایزو 27017
در این سیستم کد های عملی برای استفاده از گواهینامه ایزو 27001 ارائه شده است که راهنمایی هایی را برای کنترل های امنیت اطلاعات قابل اجرا در سازمان هایی که از خدمات مبتنی به ابر استفاده می کنند، ارائه می دهد. ISO 27017 علاوه بر راهنمایی پیاده سازی در مورد کنترل های مربوط به ایزو 27001 و 27002 ، کنترل های اضافی مبتنی بر ابر را هم ارائه می کند. به عنوان یک سند این استاندارد نیز فاقد گواهینامه می باشد.
استاندارد ایزو 27018
سند ایزو 27018 دستورالعمل هایی را ارائه می دهد و اهداف کنترل متداول مرتبط با حفاظت از اطلاعات شناسایی شده شخصی (PII) را در سیستم های ابری عمومی که به عنوان پردازه PII عمل می کنند، ارائه می دهد. این استاندارد از شما می خواهد تا کنترل های مربوط به ایزو 27001 و ایزو 27002 را با در نظر گرفتن هرگونه الزامات قانونی مربوط برای سازمان خودتان، اجرا کنید. این کار ممکن است سبب شود تا یک لیست جداگانه از کنترل هایی برای ابر عمومی PII در نظر بگیرید.
استاندارد ایزو 27701
ISO 27701 راهنمایی هایی را برای ایجاد، پیاده سازی، نگهداری و بهبود مستمر سیستم مدیریت اطلاعات حریم خصوصی را (PIMS) را ارائه می دهد. به عنوان یک فرمت کلی چارچوبی را برای تایید نقش “کنترل کننده های اطلاعات شناسایی شده شخصی (PII)” و “پردازنده های PII” در یک سازمان فراهم می کند. افرادی که به این وظایف محول شده اند، مسئول کنترل حریم خصوصی هستند تا خطر حقوق خصوصی افراد کاهش یابد. اخذ و صدور گواهینامه ایزو 27701 قابل انجام است و شما می توانید این سند را برای سازمان خود دریافت کنید.
کدام استاندارد سری ISO 27001 برای دریافت مناسب است ؟
با اینکه استاندارد های مختلفی در خانواده استاندارد های ایزو 27000 وجود دارد، اما استاندارد ایزو 27001 جزو پرکاربرد ترین آنها می باشد و در میان مشتریان رایان سرت نیز این استاندارد محبوبیت بیشتری را کسب کرده است. همچنین این سیستم بسیار جامع در نظر گرفته شده و می تواند مدیریت امنیت اطلاعات را برای انواع سازمان ها اجرا کند. البته با توجه به نیاز های خود می توانید از استاندارد های دیگر سری ISO 27000 نیز استفاده کنید.
بدون دیدگاه