استاندارد ISO 27001 چیست؟
رشد سريع و سرعت روزافزون تغييرات در علوم و فناوري را در عصر حاضر، بايد مديون دسترسي گسترده و فراگير به اطلاعات دانست. حركت رو به گسترش جوامع در راستاي جامعة اطلاعاتي، موجب رشد وسيع خدمات اطلاعاتي شده و با اين نگرش، اطلاعات براي يك سازمان، سرمايهاي فوقالعاده با ارزش محسوب ميشود. با وجود اتصالات گسترده جهاني، اطلاعات ميبايست به صورت كنترل شده در معرض استفادة مخاطبين قرار گرفته و در برابر تهديدهاي موجود عليه آن، به نحو مطلوب حفاظت شود. بدينمنظور رويكردي تحت عنوان سيستم مديريت امنيت اطلاعات، حاصل از تجارب و فعاليتهاي مستمر در دهه گذشته، در خصوص حفاظت از اين مزيت رقابتي سازمانها پديد آمده است. در راستاي تكامل استانداردهاي منتشره براي سيستم، نسخه منتشر شده جهانيISO/IEC 27001 به نام “فناوري اطلاعات- فنون امنيتي- سيستم مديريت امنيت اطلاعات- الزامات” ، در تناظر با استاندارد BS 7799-2:2005 ، مبنا و مدل مناسبي براي استقرار سيستم مديريت امنيت اطلاعات و نيز مميزي سازمان براي دريافت گواهينامة تطابق سيستم با استاندارد ميباشد. در كنار آن، استانــدارد مديريتـــي ISO/IEC 17799:2005 (يا BS 7799-1:2005)، به نام “فناوري اطلاعات- فنون امنيتي- راهنماي كاربرد براي مديريت امنيت اطلاعات” ، كه مشتمل بر تشريح كنترلهاي مورد نياز سيستم و نيز گزارش فني ISO/IEC TR 13335 مشتمل بر جزئيات و فنون مورد نياز در مراحل ايمن سازي اطلاعات و ارتباطات، مكملهاي مناسبي براي ISO/IEC 27001 در استقرار سيستم مديريت امنيت اطلاعات ميباشند.
تاریخچه استاندارد ISO 27001:
BS 7799 استانداردی می باشد که در سال ۱۹۹۵ برای اولین بار توسط BSI Group (گروه استانداردهای انگلستان) ایجاد شد. این استاندارد توسط دپارتمان صنعت و تجارت (DTI) دولت بریتانیا نوشته شد و شامل چندین بخش است. اولین بخش شامل بهترین تجربیات مدیریت امنیت اطلاعات است و در سال ۱۹۹۸ بازبینی شد.
پس از مباحثات بسیار بین صاحبان استاندارد در جهان، استاندارد ISO 27001 در سال ۲۰۰۰ توسط بنیاد ISO تحت عنوان ISO/IEC 17799 انطباق لازم را پیدا کرد. این استاندارد نام ”تکنولوژی اطلاعات – کد تجربی مدیریت امنیت اطلاعات“ را با خود حمل میکرد.
استاندارد ISO/IEC 17799 در جوئن ۲۰۰۵ بازبینی شد و در نهایت در سال ۲۰۰۷ تحت عنوان ISO/IEC 27002 در سری استانداردهای ISO 27000 جای گرفت. قسمت دوم BS7799 برای اولین بار در سال ۱۹۹۹ توسط BSIو با کد ” BS7799 – قسمت ۲“تحت عنوان ”سیستمهای مدیریت امنیت اطلاعات – مشخصات، به همراه راهنمای کاربرد“ منتشر شد. BS 7799-2 بر چگونگی پیاده سازی یک سیستم مدیریت امنیت اطلاعات (ISMS) تمرکز دارد. این استاندارد بعداً به استاندارد ISO 27001 تبدیل شد.
دامنه کاربرد استاندارد ISO 27001:
تمام سازمان هایی که اهمیت اطلاعات و محرمانه نگه داشتن آنها را می دانند و اطلاعات حساس و محرمانه آنها میبایست به هر طریقی محافظت شود.
مزایای پیاده سازی ایزو 27001:
1- تعییین مراحل ایمن سازی و نحوه شکل گیری چرخه امنیت
2- تکنیک های مورد استفاده در هر مرحله ایمن سازی و جزئیات آن
3- مشخص کردن تهدیدات و کاهش چشمگیر اثرات آنها در ارزیابی مناسب خطر
4- خط مشی امنیتی و طرح ها و برنامه های تدوین شده و مورد نیاز سازمان در این زمینه
5- اطمینان دادن به مشتریان ، تامین کنندگان و سهامداران که شما در حفاظت اطلاعات جدی هستید
6- شناسایی، ارزیابی و تدوین راه کارهای برخورد با مخاطرات RISKS در سازمان
7- گواهی ISMS به شما اجازه می دهد تا به مشتریان ، تامین کنندگان و سازمان های دولتی نشان بدهید که شما مجاب به حفظ اطلاعات هستید.
8- نیاز و نحوه ایجاد تشکیلات سیاست گذاری، اجرای فنی در زمینه امنیت فضای تبادل اطلاعات (افتا)
9- کمک به مدیریت در تبعیت از قانون و مقررات و الزامات قراردادی
10- بدست آوردن مزیت رقابتی و ارتقای تصویر سازمانی تان
11- ایجاد اعتماد بین سهامداران و مشتریان در مورد حفاظت دادهها