استاندارد های ایزو 27000

استاندارد های ایزو 27000

توجه نکردن به امنیت اطلاعات و در نتیجه نقض قوانین محرمانگی، خراب شدن داده ها یا از دست دادن دسترسی به داده های شرکت، می تواند بر هر شغلی تاثیر منفی بگذارد. خسارت های احتمالی که ممکن است بعد از این اتفاق رخ دهد اعمل از خسارت های مالی، شهرت و … اثرات مخربی را بر روی نام برند شما خواهند گذاشت. خانواده استاندارد های ایزو 27000 از استاندارد هایی هستند که بر روی امنیت اطلاعات متمرکز شده اند. جالب است بدانید که در بیشتر موارد خسارت های ذکر شده، ناشی از هک شدن سیستم که توسط هکر ها انجام می گیرد هستند. بنابراین استفاده از یک استاندارد برای اجرا سیستم های امنیت اطلاعاتی امری کاملا ضروری برای کسب و کارهایی که به اطلاعات کاربران خود اهمیت می دهد است.

استاندارد های سری ISO 27000 از بهترین گواهینامه ها برای برقراری امنیت اطلاعات هستند که مطابقت کامل با استاندارد های ایزو 9001 (مدیریت کیفیت) ، ایزو 14001 (مدیریت محیط زیست) و ایزو 45001 (مدیریت ایمنی و بهداشت) و دیگر استاندارد های ایزو دارد و برای اجرا این موارد با یکدیگر نیاز به نگرانی نیست.

گواهینامه های ایزو 27000 به صورت مشترک توسط سازمان استاندارد سازی (ISO) و کمیسیون بین المللی الکتروتکنیک (IEC) منتشر شده است و خود شامل ده ها استاندارد و دستورالعمل های متعدد می باشد. در این میان 6 استاندارد آن بسیار کاربردی هستند که در ادامه آنها را مورد بررسی قرار خواهیم داد.

نامکاربرد
ISO 27001الزامات سیستم های مدیریت امنیت اطلاعات
ISO 27002قوانینی برای کنترل امنیت اطلاعات
ISO 27005مدیریت ریسک امنیت اطلاعات
ISO 27017قوانینی برای کنترل امینت اطلاعات بر اساس ایزو 27002 برای خدمات ابری
ISO 27018کد های عملی برای حفاظت از اطلاعات شناسایی شده شخصی PII
ISO 27701مدیریت اطلاعات حریم خصوصی

لیست استاندارد های ایزو 27000

استاندارد ایزو 27001

معرفی استاندارد های ایزو 27000ISO 27001 اصلی ترین استاندارد امنیت اطلاعات می باشد که الزامات ISMS (چارچوبی از فرایند ها، فناوری و افراد است) یک سازمان را فراهم می کند. این برنامه از کنترل های فنی، اداری، مدیریتی و قانونی برای مدیریت موثر ریسک جهت محافظت از دارایی های اطلاعاتی یک کسب و کار استفاده می کند. به طور کلی شما باید خطرات امنیت اطلاعات سازمان خود را بررسی کرده و فعالیت هایی را برای بهبود آنها انجام دهید.

ضمیمه A مدرک ایزو 27001 لیستی از کنترل ها را ارائه می دهد که در صورت اجرا به کاهش خطرات امنیت اطلاعات شما کمک می کند. کنترل های ضمیمه A ، مربوط به خطرات سازمان شما در “بیانیه کاربردی” گنجانده می شوند و شامل کنترل هاییست که برای سازمان شما قابل اجرا هستند. همچنین سازمان ها می توانند برای دریافت گواهینامه ایزو 27001 اقدام کنند و مدرک آن را در اختیار داشته باشند.

استاندارد ایزو 27002

این دستورالعمل، اطلاعات بیشتری در مورد کنترل های خطر امنیت اطلاعات موجود در ضمیمه A ارائه می کند و همچنین می توان برای تصمیم گیری در مورد اینکه کدام یک از آنها برای سازمان شما قابل اجرا میباشد نیز به شما کمک کند. در اصل ISO 27002 همان محتوای ضمیمه A را ارائه می کند با این تفاوت که راهنمایی پیاده سازی نیز برای هر یک از آنها در ذکر کرده است. باید در نظر داشته باشید که سازمان ها نمی توانند دارای گواهینامه ایزو 27002 باشند، زیرا این یک نوع سند عملی در نظر گرفته می شود.

استاندارد ایزو 27005

استاندارد های خانواده ISO 27000این سند دستورالعمل های مدیریت ریسک امنیتی ISRM را ارائه می کند. البته مواردی از ISRM که توسط ایزو تایید شده اند و توسط ایزو 27001 پشتیبانی می شوند در این سند مورد بررسی دقیق قرار گرفته است. دستورالعمل های ISO 27005 به جای تعین روش های شناسایی خاص، رویکرد گسترده ای را برای اعمال مدیریت ریسک در هر سازمانی، بدون در نظر گرفتن صنعت ارائه می دهد. این سیستم نیز به عنوان یک سند راهنما می باشد و سازمان شما نمی تواند گواهینامه آن را دریافت کند.

استاندارد ایزو 27017

در این سیستم کد های عملی برای استفاده از گواهینامه ایزو 27001 ارائه شده است که راهنمایی هایی را برای کنترل های امنیت اطلاعات قابل اجرا در سازمان هایی که از خدمات مبتنی به ابر استفاده می کنند، ارائه می دهد. ISO 27017 علاوه بر راهنمایی پیاده سازی در مورد کنترل های مربوط به ایزو 27001 و 27002 ، کنترل های اضافی مبتنی بر ابر را هم ارائه می کند. به عنوان یک سند این استاندارد نیز فاقد گواهینامه می باشد.

استاندارد ایزو 27018

سند ایزو 27018 دستورالعمل هایی را ارائه می دهد و اهداف کنترل متداول مرتبط با حفاظت از اطلاعات شناسایی شده شخصی (PII) را در سیستم های ابری عمومی که به عنوان پردازه PII عمل می کنند، ارائه می دهد. این استاندارد از شما می خواهد تا کنترل های مربوط به ایزو 27001 و ایزو 27002 را با در نظر گرفتن هرگونه الزامات قانونی مربوط برای سازمان خودتان، اجرا کنید. این کار ممکن است سبب شود تا یک لیست جداگانه از کنترل هایی برای ابر عمومی PII در نظر بگیرید.

استاندارد ایزو 27701

ISO 27701 راهنمایی هایی را برای ایجاد، پیاده سازی، نگهداری و بهبود مستمر سیستم مدیریت اطلاعات حریم خصوصی را (PIMS) را ارائه می دهد. به عنوان یک فرمت کلی چارچوبی را برای تایید نقش “کنترل کننده های اطلاعات شناسایی شده شخصی (PII)” و “پردازنده های PII” در یک سازمان فراهم می کند. افرادی که به این وظایف محول شده اند، مسئول کنترل حریم خصوصی هستند تا خطر حقوق خصوصی افراد کاهش یابد. اخذ و صدور گواهینامه ایزو 27701 قابل انجام است و شما می توانید این سند را برای سازمان خود دریافت کنید.

کدام استاندارد سری ISO 27001 برای دریافت مناسب است ؟

با اینکه استاندارد های مختلفی در خانواده استاندارد های ایزو 27000 وجود دارد، اما استاندارد ایزو 27001 جزو پرکاربرد ترین آنها می باشد و در میان مشتریان رایان سرت نیز این استاندارد محبوبیت بیشتری را کسب کرده است. همچنین این سیستم بسیار جامع در نظر گرفته شده و می تواند مدیریت امنیت اطلاعات را برای انواع سازمان ها اجرا کند. البته با توجه به نیاز های خود می توانید از استاندارد های دیگر سری ISO 27000 نیز استفاده کنید.

مقالات مفید

1 دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *