ایزو/آیایسی ۲۷۰۰۱
ISO / IEC 27001 یک استاندارد بین المللی در مورد نحوه مدیریت امنیت اطلاعات است. این استاندارد در ابتدا به طور مشترک توسط سازمان بین المللی استاندارد سازی (ISO) و کمیسیون بین المللی الکتروتکنیک (IEC) در سال 2005 منتشر شد و سپس در سال 2013 مورد بازنگری قرار گرفت. سیستم مدیریت امنیت اطلاعات (ISMS) هدف آن کمک به سازمانها برای ایجاد امنیت بیشتر در دارایی های اطلاعاتی است که در اختیار دارند. به روزرسانی استاندارد این استاندارد در سال 2017 منتشر شد. سازمان هایی که شرایط استاندارد را برآورده کنند می توانند پس از اتمام موفقیت آمیز ممیزی ، توسط سازمان مسئول صدور گواهینامه معتبر، تأیید شوند.
اکثر سازمانها کنترل های امنیت اطلاعات مخصوص به خود دارند. با این وجود ، بدون سیستم مدیریت امنیت اطلاعات (ISMS) ، کنترل ها تا حدودی بی نظم و از هم گسیخته هستند ، زیرا اغلب به عنوان راه حل های نقطه ای برای موقعیت های خاص طراحی شده اند.
ایزو/آیایسی ۲۷۰۰۱ (به انگلیسی: ISO/IEC 27001) (قسمی از استانداردهای خانواده ISO/IEC 27000) استاندارد سیستم مدیریت امنیت اطلاعات (ISMS) است که در سال ۲۰۰۵ توسط سازمان بینالمللی استانداردها (ISO) و کمیسیون برق ایجاد گردید. نام کامل این استاندارد بدین صورت است: ISO/IEC 27001:2005 – تکنولوژی اطلاعات – تکنیکهای امنیت – سیستمهای مدیریت امنیت اطلاعات – نیازمندی ها.
ISO/IEC 27001 بهطور رسمی یک سیستم مدیریت را تعیین میکند که هدف آن تأمین امنیت اطلاعات است که در تحت شرایط کنترل مدیریت خاص امکانپذیر است. تعیین رسمی بدین معناست که این استاندارد یک سری از برآوردن نیازمندیها را الزام میکند و سرپیچی از این قوانین جرم محسوب میشود.
طریقه عملکرد استاندارد
بسیاری از سازمانها یک سری کنترلهای امنیت اطلاعات برای خود تعیین میکنند. با این حال، بدون سیستم مدیریت امنیت اطلاعات (ISMS)، کنترل حدودی بی سامانی و عدم یکپارچگی میانجامد. این سیستم را میتوان به صورت راه حلهای نقطهای (برای شرایط خاص) یا بهطور سرتاسری مثل قانون (کنوانسیون) پیادهسازی کرد. بهطور معمول کنترلهای امنیتی در عمل جنبههای خاصی از امنیت IT و/یا دادهها را هدف قرار میدهد؛ و اطلاعات و جنبههای غیر IT (مانند کارهای اداری و اطلاعات خصوصی شرکت) کمتر محافظت میشوند. علاوه بر این، برنامهریزی کسب و کار و حفاظت فیزیکی کاملاً بهطور مستقل از IT و/یا امنیت اطلاعات اداره میشودxx، در حالی که معمولاً در سازمان، مرجعی که نیاز به تعریف و اختصاص دادن امنیت اطلاعات در نقشها و مسئولیتهای منابع انسانی داشته باشد وجود ندارد.
ISO/IEC 27001 مستلزم مدیریت موارد زیر است:
- بررسی سیستماتیک خطرات امنیتی اطلاعات سازمان، با در نظر گرفتن تهدیدها، آسیبپذیریها، و اثرات و عواقب؛
- طراحی و پیادهسازی یک مجموعه منسجم و جامع از کنترل امنیت اطلاعات و/یا دیگر اشکال مقابله با خطر (مانند پیشگیری ازخطرات یا انتقال ریسک؛ بیمه) برای هدف قرار دادن آن دسته از خطراتی که اجتناب ناپذیر تلقی میشوند؛
- انطباق یک پروسه مدیریت فراگیر به سازمان از تداوم کنترلهای امنیتی اطمینان حاصل شود. تا گسترش و پیشروی سازمان به جلو، همیشه نیازهای امنیتی اطلاعات سازمان رفع شود.
در حالی که ممکن است به غیر از (یا به جای) ISO/IEC 27002 (کد از تمرین برای مدیریت امنیت اطلاعات) مجموعه دیگری از کنترلهای امنیت اطلاعات بهطور بالقوه تحت لوای ISO/IEC 27001 ISMS به کار گرفته شوند، ولی معمولاً این دو استاندارد در کنار هم استفاده میشود. ضمیمه A در ISO/IEC 27001 فهرستی خلاصه از کنترلهای امنیتی اطلاعات موجود در ISO/IEC 27002را بیان میکند. این در حالی است که ISO/IEC 27002 اطلاعات بیشتر و راهنماییهای پیادهسازی را فراهم میکند.
سازمانهایی که مجموعهای از کنترلهای امنیت اطلاعات را مطابق با ISO/IEC 27002 پیادهسازی کردهاند، به احتمال زیاد، همزمان تمایل به اجرای بسیاری از الزامات ISO/IEC 27001 را دارند. اما ممکن است برخی از المانهای سیستم مدیریت فراگیر را اجرا نکرده باشند. برعکس این قضیه نیز درست است، به عبارت دیگر، یک گواهی تضمین مطابق با ISO/IEC 27001 اطمینان میدهد که پیادهسازی سیستم مدیریت در زمینه امنیت اطلاعات تضمین شدهاست. ولی در مورد وضعیت مطلق امنیت اطلاعات در درون سازمان اطلاعات کمی را در اختیار ما قرار میدهد. کنترلهای امنتی تکنیکی، مثل ضدویروسها و دیوارهای آتش، بهطور عادی در ISO/IEC 27001 مورد بحث نیستند: در این استاندارد پیشفرض آن است که سازمان همه کنترلهای امنیتی لازم برای ISMS را بهطور کلی در در حال اجرا دارد و تنها برآورده کردن الزامات ISO/IEC 27001 باقیماندهاست. به علاوه، این سیستم مدیریت، حوزههایی از ISMS را که جهت صدور گواهینامه (که ممکن است آن را به یک واحد کسب و کار نیز محدود کند) لازم هستند را مشخص میکند. گواهی ISO/IEC 27001 لزوماً به معنای آن نیست که قسمتهایی از سازمان که در خارج از حوزه گواهینامه هستند، نیز رویکرد کافی برای مدیریت امنیت اطلاعات را دارا هستند.
استانداردهای دیگر خانواده ISO/IEC 27000 به ارائه راهنماییهای اضافی در جنبههای خاصی از طراحی، پیادهسازی و اجرای ISMS (برای مثال خطر در مدیریت امنیت اطلاعات ISO/IEC 27005) میپردازند.
مبدأ استاندارد ISO/IEC 27001
BS 7799 استانداردی میباشد که در سال ۱۹۹۵ برای اولین بار توسط BSI Group (گروه استانداردهای انگلستان) ایجاد شد. این استاندارد توسط دپارتمان صنعت و تجارت (DTI) دولت بریتانیا نوشته شد و شامل چندین بخش است. اولین بخش شامل بهترین تجربیات مدیریت امنیت اطلاعات است و در سال ۱۹۹۸ بازبینی شد. پس از مباحثات بسیار بین صاحبان استاندارد در جهان، این استاندارد در سال ۲۰۰۰ توسط بنیاد ISOتحت عنوان ISO/IEC 17799 انطباق لازم را پیدا کرد. این استاندارد نام ”تکنولوژی اطلاعات – کد تجربی مدیریت امنیت اطلاعات“ را با خود حمل میکرد. استاندارد ISO/IEC 17799 در جوئن ۲۰۰۵ بازبینی شد و در نهایت در سا ل۲۰۰۷ تحت عنوان ISO/IEC 27002 در سری استانداردهای ISO 27000 جای گرفت. قسمت دوم BS7799 برای اولین بار در سال ۱۹۹۹ توسط BSIو با کد ” BS7799 – قسمت ۲“تحت عنوان ”سیستمهای مدیریت امنیت اطلاعات – مشخصات، به همراه راهنمای کاربرد“ منتظر شد. BS 7799-2 بر چگونگی پیاده ساری یک سیستم مدیریت امنیت اطلاعات (ISMS) تمرکز دارد. این استاندارد بعداً به استاندارد ISO/IEC 27001 تبدیل شد. نسخه ۲۰۰۲ استاندارد BS 7799-2 به معرفی چرخه ”برنامهریزی، اجرا، بررسی، پیاده سازی“ (PDCA) پرداخت که بر محور استانداردهای کیفیت مثل ISO 9000 بنا نهاده شده بود. در نوامبر ۲۰۰۵ این استاندارد توسط بنیاد ISO با ISO/IEC 27001 منطبق شد. ISO/IEC 27001 قسمت ۳ نیز در سال ۲۰۰۵ منتشر شد که مدیریو تحلیل خطر را پوشش میداد. این استاندارد نیز بعداً با ISO/IEC 27001 منطبق شد.
گواهینامه
تعدادی از ثبتکنندههای معتبر جهانی میتوانند برای یک ISMS گواهی انطباق با استاندارد ISO/IEC 27001 را صادر کنند. دریافت هر نوع از نسخههای ملی شده (در کشورهای مختلف) استاندارد۲۷۰۰۱ (مثل نسخه ژاپنی آن؛ یعنی JIS Q 27001) توسط ثبتکنندههای معتبر جهانی، با دریافت استاندارد ISO/IEC 27001 معادل است. در برخی کشورها، آن دسته از شخصیتهای حقوقی که انطباق سیستم مدیریت با با استانداردهای خاص ارزیابی میکنند، ”گواهی دهنده“ اطلاق میشود، در حالی که در برخی دیگر از کشورها ”ثبتکننده“ یا عناوین دیگر اطلاق میشود. گواهی ISO/IEC 27001 مثل دیگر گواهیهای سیستم مدیریت ISO معمولاً شامل وارسی خارجی سه مرحلهای است:
- مرحله ۱: مرور مقدماتی و تهیه گزارش ISMS است. مثلاً بررسی وجود و کامل بودن اسناد و مدارک کلیدی، مثل سیاست امنیتی اطلاعات سازمان، منشور کاربردیات (SoA) و برنامه رفع خطر (RTP). هدف این مرحله شناساندن افراد با سازمان و برعکس است.
- مرحله ۲: یک ممیزی انطباق دقیق تر و رسمی تر است که بهطور مستقل ISMS را بر اساس الزامات مشخص شده در ISO/IEC 27001 بررسی میکند. حسابرسان به دنبال شواهدی برای تأیید طراحی و پیادهسازی و بهرهبرداری صحیح سیستم مدیریت هستند (مثلاً تأیید این که ”کمیته امنیت“و یا یک شخصیت حقوقی مشابه، بهطور منظم برای نظارت بر ISMS سیستم را بازبینی میکند). گذراندن این مرحله نشان دهنده سازگاری ISMS با گواهی با ISO/IEC 27001 است.
- مرحله ۳: شامل بازرسی یا ممیزیهای متعاقب به منظور تائید ادامه سازگاری و انطباق سازمان با استاندارد است. نگهداری گواهینامه نیازمند ممیزیهای دورهای برای تائید ادامه فعالیت ISMS بر اساس مشخصهها و اشارات استاندارد است. این عمل باید حداقل سالی ۱ مرتبه انجام انجام شود، ولی (با تفاوق طرفین) میتواند به دفعات بیشتر نیز انجام شود؛ خصوصاً در زمانی که ISMS هنوز در پیادهسازی استاندارد به تکامل نرسیدهاست.