استاندارد ایزو

  • ISMS و استاندارد ISO 27001

    براساس پیش بینی های موسسه CyberSecurity Venture جرایم سایبری مبلغ نجومی ای بالغ بر شش تریلیون دلار را در سال ۲۰۲۱ به جهان تحمیل خواهد کرد که این مبلغ رشدی سه تریلیون دلاری نسبت به سال ۲۰۱۵ را خواهد داشت. این پیش بینی ها رشد وسعت و پیچیدگی های جرایم سایبری در آینده و نیاز به بهره گیری از استانداردهای ایمن سازی و استراتژی های دقیق دفاع سایبری را بر فعالان و تصمیم گیران این صنعت بیش از پیش آشکار میسازد.

    در این زمینه استانداردهای متفاوتی برای طراحی و تبیین سیاست های ایمن سازی و دفاعی سازمانها و موسسات طراحی گردیده که یکی از شناخته شده ترین آنها استاندارد ISO 27001 است. برای درک بهتر ابعاد این استاندارد شناخت سیستم مدیریت امنیت اطلاعات یا Information Security Management Systems ضروری است.

    به زبان ساده ISMS روشی سیستماتیک برای مدیریت و حفاظت از اطلاعات و داده های حساس با استفاده از استانداردهای مختلف برای سازمانها و موسسات است. سیستم مدیریت امنیت اطلاعات نیازهای سازمانهایی با ابعاد مختلف را پوشش میدهد. ایمن سازی و مدیریت و کنترل ریسک سازمانها گستره وسیعی  شامل افراد، سیستم های سخت افزاری و نرم افزاری و پردازش ها در بخشهای مختلف سازمانها را در برمیگیرد. سیستم ISMS  با طراحی ای دقیق توانایی مواجه با تهدیدات جدید و تغییرات لازم با توجه به رشد نیازهای سازمان مربوطه و حفظ محرمانگی (Confidentiality) یکپارچگی (Integrity) و دسترسی(Availability)  اطلاعات را دارا است.

    در این میان استاندارد بین المللی  ISO/IEC 27001 (ISO 27001) که مشترکا توسط موسسات ISO  و IEC توسعه داده شده  بهترین و شناخته شده ترین روش برای پیاده سازی و ممیزی سیستم مدیریت امنیت اطلاعات یا  ISMS برای یکپارچه سازی و حفاظت از اطلاعات حیاتی و حساس در سازمانها و موسسات و به تبع آن برنامه ریزی برای جلب اطمینان و اعتماد مشتریان است. نسخه های مختلف استانداردهایISO  توسط اعضای موسسات ISO  و IEC از سراسر دنیا توسعه و بهینه سازی میشود که شرکتها و سازمانهای مختلف میتوانند بعد از اعمال و ممیزی این استاندارد گواهینامه آن را دریافت نمایند.

    استاندارد ISO 27001 برای پیاده سازی و اجرایی کردن سیاستهای ایمن سازی چک لیست یا سیستم مرحله به مرحله ای را ارائه نمیکند، در عوض با ارائه راهکارها و چهارچوب های مدون تصحیحی (Corrective Actions) و جلوگیری کننده (Preventive Actions ) تقویت سیستمهای امنیت اطلاعات سازمانها را ممکن میسازد. شایان ذکر است پیاده سازی صحیح این استاندارد مستلزم همکاری و هماهنگی در تمام بخشهای سازمان است. استاندارد ISO 27001 بخشهای مختلفی را پوشش میدهد که در ذیل به مهمترین آنها اشاره میکنیم:

    • ایمن سازی نرم افزاری و سخت افزاری زیرساختهای مهم سازمان
    • ارائه راهکارهایی برای امنیت منابع انسانی و دارایی ها
    • ارائه راهکار برای پیشگیری از انواع جرایم سایبری
    • پیشگیری از خراب کاری در اطلاعات حساس و حیاتی سازمان
    • ایمن سازی اطلاعات و پیشگیری از سرقت درون سازمانی
    • ایمن سازی در مقابل از دست دادن اطلاعات
    • پیشگیری از سو استفاده از اطلاعات حساس و حیاتی
    • پیشگیری از نفوذ در شبکه
    • پیشگیری از درز اطلاعات شخصی کارکنان و مشتریان

    در پایان ذکر این نکته ضروری است که گرچه کسب گواهینامه های استاندارد ISO 27001 نشان دهنده اهمیت حفظ امنیت اطلاعات برای سازمان کسب کننده گواهی است، ولی این به معنای امنیت صد در صدی آن سازمان نخواهد بود و بهره گیری از دیگر راهکارهای ایمن سازی در کنار این استاندارد کاملا ضروری و حیاتی خواهد بود.

دکمه بازگشت به بالا
بستن