ISO27001:2005

استاندارد مدیریت امنیت اطلاعات ISO 27001:2005

با ارائه اولین استاندارد مدیریت امنیت اطلاعات در سال 1995، نگرش سیستماتیک به مقوله امنیت اطلاعات شکل گرفت. بر اساس این نگرش، تامین امنیت اطلاعات در یک مجموعه سازمانی، سریع و یکجا مقدور نمی باشد و لازم است این امر به صورت مداوم و در یک چرخه ایمن سازی شامل مراحل 1-طراحی، 2-پیاده سازی، 3- ارزیابی و 4- اصلاح انجام گیرد .برای این منظور لازم است هر سازمان بر اساس یک متدلوژی مشخص، ضمن تهیه طرحها و برنامه های امنیتی مورد نیاز، تشکیلات لازم جهت ایجاد و تداوم امنیت اطلاعات خود را نیز ایجاد نماید.

سیستم مدیریت امنیت اطلاعات ابزاری است برای شناسایی، مدیریت و به حداقل رساندن احتمال وقوع تهدیداتی که امروزه سازمانها بواسطه از دست دادن اطلاعات خود با آن رو در رو می باشند. این تهدیدات مشتمل بر: تهدیدات داخلی سازمان، تهدیدات اتفاقی، تهدیدات ناشی از خطاهای عمدی و غیرعمدی می باشد.که بدینوسیله اطمینان از تداوم کسب و کار، به حداقل رساندن ریسک تجاری و به حداکثر رساندن نرخ بازگشت سرمایه را حاصل می نماید.
بر خلاف آنچه در ذهن بسیاری از کارشناسان به چشم می خورد، امنیت اطلاعات صرفا به منظور محرمانگی اطلاعات نیست بلکه امنیت اطلاعات صرفا اطلاعاتی را امن تلقی می نماید که دارای 3 ویژگی ذیل تواما باشد:

1.درستی و تمامیت اطلاعات

   2.محرمانگی اطلاعات

  3.در دسترس پذیری اطلاعات

ایزو 27001 به عنوان یک «زبان تجاری مشترک» تهیه گردیده تا به مدیران امنیت اطلاعات در پاسخ گویی به نیاز سازمان های کوچک، متوسط و بزرگ در تمام بخش ها تجاری کمک کند.

ایزو 27001 برای هر نوع سازمانی در هر مکانی از دنیا قابل استفاده است. این استاندارد برای محافظت از اطلاعات حساس حیاتی است. مانند اطاعات حوزه های مالی، سلامت، عمومی و آی تی.

ایزو 27001 همچنین برای سازمانهایی که از طرف دیگر ارگانها به مدیریت اطلاعات آنها می پردازند مناسب است، سازمانهایی مانند شرکتهای آی تی با منابع خارجی: اینگونه ایزو به مشتریان اطمینان می دهد که اطلاعاتشان محافظت می گردد.

اطلاعات برای عملکرد و یا حتی بقای یک سازمان امری حیاتی است. گواهینامه ایزو 27001 به ما کمک می کند اطلاعات با ارزش خود را محافظت و مدیریت کنیم.

ایزو 27001 تنها استاندارد بین المللی قابل ممیزی است که الزامات مورد نیاز سیستم مدیریت امنیت اطلاعات را معیّن می کند. این استاندارد انتخاب کنترل امنیتی مناسب را تضمین می کند.این استاندارد به سازمان کمک می کند اطلاعات خود را محافظت کند و اعتماد بخش های ذینفع و به ویژه مشتریان را جلب نماید. ایزو 27001 برای تهیه، پیاده سازی، اجرا، نظارت، بررسی، نگهداری، و ارتقا سیستم مدیریت امنیت اطلاعات رویکردی پروسه ای فراهم می سازد.

با ایجاد سیستم مدیریت حفاظت اطلاعات و ارائه آن به استاندارد بین المللی ایزو 27001 ، سازمان می تواند ریسک خود را ارزیابی کرده و کنترل مناسبی برای حفظ اسرار، انسجام و در دسترس بودن سرمایه های اطلاعاتی داشته باشد. هدف اصلی حفاظت اطلاعات سازمان جلوگیری از این است که دست نا محرمان بیافتد و یا آن داده ها برای همیشه از بین برود.

نیازمندیهای ضروری ایزو 27001 عبارتند از:

الف- سیستم مدیریت امنیت اطلاعات-نیازمندیهای اصلی- ایجاد و مدیریت ISMS- مستندسازی نیازمندیها

ب- مدیریت مسئولیتها- مدیریت تعهدات- مدیریت منابع

ج- ممیزی داخلی ISMS

د- مدیریت بازنگری ISMS-بازنگری داخلی- بازنگری خارجی

و- بهبود ISMS- بهبود مستمر- فعالیت اصلاحی- فعالیت پیشگیرانه

مزایای پیاده سازی استاندارد ISO 27001 :

افزایش عملکرد تجاری به موجب کاهش میزان ریسک های عملکردی

افزایش اعتماد و اطمینان مشتری نسبت به «مطابقت با هدف» با انجام تجارت امن.

کاهش اثرات منفی تجاری و ضررهای مالی.

ارتقا جایگاه در بازار و ایجاد مزیت رقابتی.

حمایت بیشتر از تداوم تجارت و در دسترس بودن خدمات.

شناسایی ریسک‌ها و ایجاد کنترل‌ها برای مدیریت یا حذف آنه

 ایجاد انعطاف برای تدوین کنترل‌ها در نواحی منتخب فعالیت شما

ایجاد اعتماد بین سهامداران و مشتریان در مورد حفاظت داده‌ها

حصول اطمینان از پایداری تجارت و کاهش صدمات و تهدیدها توسط ایمن ساختن اطلاعات

سازگاری با استاندارد امنیت اطلاعات و حفاظت از داده ها

مطمئن ساختن مشتریان و شرکای تجاری

امکان رقابت بهتر  و موفق تر با شرکت های رقیب

ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات طبق موارد یاد شده واضح است که این استاندارد علاوه بر رویکرد فرآیندی و مشتری محوری ، رویکردی تجاری را نیز دارا میباشد.

اخبار گروه نور

Feed