مشاوره ISO27001
استاندارد ISO27001:2013 مدیریت امنیت اطلاعات
بطور
رسمی مشاوره ISO27001 سیستم مدیریت امنیت اطلاعات مجمو عه ای از فعالیت های مرتبط به مدیریت
خطرات اطلاعات را مشخص می نماید. استاندارد ISO27001 الزامات را برای ایجاد،
پیاده سازی، نگهداری و بهبود مستمر یک سیستم مدیریت امنیت اطلاعات در فضای سازمان مشخص
میکند. این استاندارد بین المللی همچنین شامل الزاماتی برای ارزیابی و مقابله با
مخاطرات امنیتی سازمان متناسب با نیازهای آن میباشد. تمامی الزامات این استاندارد
بین المللی عمومی بوده و قابلیت اعمال درکلیۀ سازمانها، صرف نظر از نوع، اندازه و
ماهیت فعالیت آنها را دارا است
مزایای مشاوره ISO27001
واضح است که با توجه
به وجود الزامات جامع و منسجم امنیت اطلاعات در این استاندارد، پیادهسازی آن موجب
ارتقای امنیت اطلاعات در حوزههای مختلف نظیر دارایی های اطلاعاتی، شبکه و سرویس
های زیرساختی، نرمافزارها و سخت افزارها، منابع انسانی، امنیت فیزیکی، مدیریت
حوادث و وقایع، تداوم کسب و کار، ارتباط با اشخاص ثالث و غیره در سازمان خواهد شد.
اما شاید این موضوع
دلیل اصلی (و یا حداقل اولویت اول) برخی سازمانها برای پیادهسازی و استقرارISO27001
سیستم مدیریت امنیت اطلاعات و اخذ گواهینامه ISO27001 نباشد. برخی سازمانها به دلیل
وجود الزام دستگاه های بالادستی و یا کارفرمایان خاص و یا حتی شرکای تجاری خود در
این مسیر پای می گذارند. دسته دیگر سازمانها که معمولا بیشتر با اطلاعات محرمانه
مشتریان سروکار دارند، (نظیر بانک ها و موسسات مالی) پیادهسازی ISMS را
در سازمان خود به عنوان یک عامل تضمینکننده برای آسودگی مشتریان و سرویسگیرندگان
خود مطرح میکنند. به هر حال با وجود هر نوع نیت و یا اولویتی برای پیادهسازی این
سیستم در سازمان، باید توجه داشت که کسب موفقیت در این عرصه و بهرهمندی از مزایای
فراوان استقرار سیستم مدیریت امنیت اطلاعات در سازمان نیازمند عزم جدی، تلاش
مستمر، حمایت مدیریت ارشد و عوامل کلیدی بسیاری است.
تاریخچه استاندارد ISO27001
با ارائه
اولین استاندارد مدیریت امنیت اطلاعات در سال 1995، نگرش سیستماتیک به مقوله امنیت
اطلاعات شکل گرفت. بر اساس این نگرش، تامین امنیت اطلاعات در یک مجموعه سازمانی،
سریع و یکجا مقدور نمی باشد و لازم است این امر به صورت مداوم و در یک چرخه ایمن
سازی شامل مراحل 1-طراحی، 2-پیاده سازی، 3- ارزیابی و 4- اصلاح انجام گیرد .برای
این منظور لازم است هر سازمان بر اساس یک متدلوژی مشخص، ضمن تهیه طرحها و برنامه
های امنیتی مورد نیاز، تشکیلات لازم جهت ایجاد و تداوم امنیت اطلاعات خود را نیز
ایجاد نماید.
سیستم مدیریت
امنیت اطلاعات ابزاری است برای شناسایی، مدیریت و به حداقل رساندن احتمال وقوع
تهدیداتی که امروزه سازمانها بواسطه از دست دادن اطلاعات خود با آن رو در رو می
باشند. این تهدیدات مشتمل بر: تهدیدات داخلی سازمان، تهدیدات اتفاقی، تهدیدات ناشی
از خطاهای عمدی و غیرعمدی می باشد.که بدینوسیله اطمینان از تداوم کسب و کار، به
حداقل رساندن ریسک تجاری و به حداکثر رساندن نرخ بازگشت سرمایه را حاصل می نماید.
بر
خلاف آنچه در ذهن بسیاری از کارشناسان به چشم می خورد، امنیت اطلاعات صرفا به
منظور محرمانگی اطلاعات نیست بلکه امنیت اطلاعات صرفا اطلاعاتی را امن تلقی می
نماید که دارای 3 ویژگی ذیل تواما باشد:
1.درستی و
تمامیت اطلاعات
2.محرمانگی اطلاعات
3.در دسترس پذیری اطلاعات
ایزو 27001 به
عنوان یک «زبان تجاری مشترک» تهیه گردیده تا به مدیران امنیت اطلاعات در پاسخ گویی
به نیاز سازمان های کوچک، متوسط و بزرگ در تمام بخش ها تجاری کمک کند.
ایزو 27001
برای هر نوع سازمانی در هر مکانی از دنیا قابل استفاده است. این استاندارد برای
محافظت از اطلاعات حساس حیاتی است. مانند اطاعات حوزه های مالی، سلامت، عمومی و آی
تی.
ایزو 27001
همچنین برای سازمانهایی که از طرف دیگر ارگانها به مدیریت اطلاعات آنها می پردازند
مناسب است، سازمانهایی مانند شرکتهای آی تی با منابع خارجی: اینگونه ایزو به
مشتریان اطمینان می دهد که اطلاعاتشان محافظت می گردد.
اطلاعات برای عملکرد
و یا حتی بقای یک سازمان امری حیاتی است. گواهینامه ایزو 27001 به ما کمک می کند
اطلاعات با ارزش خود را محافظت و مدیریت کنیم.
ایزو 27001
تنها استاندارد بین المللی قابل ممیزی است که الزامات مورد نیاز سیستم مدیریت
امنیت اطلاعات را معیّن می کند. این استاندارد انتخاب کنترل امنیتی مناسب را تضمین
می کند.این استاندارد به سازمان کمک می کند اطلاعات خود را محافظت کند و اعتماد
بخش های ذینفع و به ویژه مشتریان را جلب نماید. ایزو 27001 برای تهیه، پیاده سازی،
اجرا، نظارت، بررسی، نگهداری، و ارتقا سیستم مدیریت امنیت اطلاعات رویکردی پروسه
ای فراهم می سازد.
با ایجاد
سیستم مدیریت حفاظت اطلاعات و ارائه آن به استاندارد بین المللی ایزو 27001 ،
سازمان می تواند ریسک خود را ارزیابی کرده و کنترل مناسبی برای حفظ اسرار، انسجام
و در دسترس بودن سرمایه های اطلاعاتی داشته باشد. هدف اصلی حفاظت اطلاعات سازمان
جلوگیری از این است که دست نا محرمان بیافتد و یا آن داده ها برای همیشه از بین
برود.
نیازمندیهای ضروری ایزو 27001 عبارتند از:
الف- سیستم
مدیریت امنیت اطلاعات-نیازمندیهای اصلی- ایجاد و مدیریت ISMS-
مستندسازی نیازمندیها
ب- مدیریت مسئولیتها-
مدیریت تعهدات- مدیریت منابع
ج- ممیزی
داخلی ISMS
د- مدیریت
بازنگری ISMS-بازنگری
داخلی- بازنگری خارجی
و- بهبود ISMS-
بهبود مستمر- فعالیت اصلاحی- فعالیت پیشگیرانه
مزایای پیاده سازی
استاندارد ISO 27001 :
افزایش عملکرد
تجاری به موجب کاهش میزان ریسک های عملکردی
افزایش اعتماد
و اطمینان مشتری نسبت به «مطابقت با هدف» با انجام تجارت امن.
کاهش اثرات
منفی تجاری و ضررهای مالی.
ارتقا جایگاه
در بازار و ایجاد مزیت رقابتی.
حمایت بیشتر
از تداوم تجارت و در دسترس بودن خدمات.
شناسایی ریسکها
و ایجاد کنترلها برای مدیریت یا حذف آنه
ایجاد انعطاف برای تدوین کنترلها در
نواحی منتخب فعالیت شما
ایجاد اعتماد
بین سهامداران و مشتریان در مورد حفاظت دادهها
حصول اطمینان
از پایداری تجارت و کاهش صدمات و تهدیدها توسط ایمن ساختن اطلاعات
سازگاری با
استاندارد امنیت اطلاعات و حفاظت از داده ها
مطمئن ساختن
مشتریان و شرکای تجاری
امکان رقابت
بهتر و موفق تر با شرکت های رقیب
ایجاد مدیریت
فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات طبق موارد یاد شده واضح است که
این استاندارد علاوه بر رویکرد فرآیندی و مشتری محوری ، رویکردی تجاری را نیز دارا
میباشد.