ISO / IEC 27000: 2018 مروری بر سیستم های مدیریت امنیت اطلاعات (ISMS) و اصطلاحات و تعاریفی است که معمولاً در خانواده استاندارد سیستم مدیریت امنیت اطلاعات ISO / IEC 27001 استفاده می شود.
2018 برای تمام انواع سازمان ها و برنامه های کاربردی، از شرکت های چند ملیتی به شرکت های کوچک و متوسط طراحی شده است، نسخه جدیدی که در ماه فوریه منتشر شد، برای سازمان های دولتی و غیر انتفاعی ارزشمند است.
خانواده 27000 دارای بیش از دوازده استاندارد است. ISO / IEC 27000 که اخیرا منتشر شده است، درک اینکه چگونه استانداردها برآورده می شوند: دامنه، نقش، عملکرد و ارتباط آنها است.
انجمن ایزو / IEC 27001 آن را مفید خواهد یافت زیرا همه اصطلاحات پایه ای که توسط استانداردهای دیگر در خانواده ISO / IEC 27000 مورد استفاده قرار می گیرد، گرد هم می آیند.
در محیط کسب و کار امروز، که در آن تکنولوژی و ارتباطات در حال رشد با سرعت چشمگیر هستند، حفاظت از اطلاعات مهمتر شده است. اطلاعات برای سازمان برای ادامه فعالیت های خود بسیار مهم است. در حفاظت از اطلاعات، شناسایی خطرات و تهدیدات امنیتی به دارایی های اطلاعاتی و کنترل نقاط باز در سیستم، نیازمند تلاش های جدی است. ایجاد امنیت اطلاعات و تضمین تداوم کنترل هایی که باید انجام شود بستگی به درستی ایجاد اصول امنیتی مربوطه و درستی تعیین فرایندهای مدیریت دارد.
در دنیای کسب و کار امروز امنیت اطلاعات این یک خطر جدی محسوب می شود و شناسایی و اجرای کنترل های مطمئن امنیتی اطلاعات و نیز ریسک پذیری در سطوح قابل قبول بستگی به ایجاد استانداردهای خاص در سازمان دارد.
ISO / IEC 27001 تنها استاندارد حسابرسی بین المللی است که نیازهای سیستم مدیریت امنیت اطلاعات (ISMS) را تعریف می کند. این طراحی شده است تا اطمینان حاصل شود که کنترل ایمنی مناسب و مناسب انتخاب شده است.
سازمان بین المللی استاندارد ISO / IEC 27001 سیستم مدیریت امنیت اطلاعات مجموعه ای از استانداردهای است که به محافظت و مدیریت دارایی های اطلاعات ارزشمندی کمک می کند. این تنها سیستم بین المللی است که استانداردهای مورد نیاز برای امنیت اطلاعات را تعریف می کند. این سیستم طراحی شده است تا اطمینان حاصل شود که کنترل ایمنی مناسب و مناسب انتخاب شده است.
در استاندارد سازمان بین المللی استاندارد (ISO) کارهای تهیه استاندارد معمولا توسط کمیته های فنی انجام می شود. استاندارد ISO 27000 توسط کمیته فنی مشترک ایجاد شده توسط سازمان بین المللی استاندارد و کمیته بین المللی الکتروتکنیک تهیه شده است.
کمیسیون فنی الکتریکی بین المللی (IEC - کمیته بین المللی الکتروتکنیک) در 1906 تاسیس شد و استانداردهای بین المللی برای الکترونیک و فن آوری های مشابه را تنظیم می کند. موسسه استانداردهای ترکیه (TSE) عضو این کمیسیون است. هدف اصلی کمیسیون مستقل انتخابات، بهبود کیفیت محصولات و خدمات در سطح جهانی، کمک به سلامت و ایمنی انسان و حمایت از حفاظت از محیط زیست است. ISO در امور خارج از محدوده کمیسیون بین المللی الکتروتکنیک کار می کند.
ایزو 27001 سیستم مدیریت امنیت اطلاعات شرکت های تاسیس شده، زیرساخت های اطلاعاتی را شناسایی، حملات احتمالی و خطرات این دارایی ها را تجزیه و تحلیل کرده و تصمیم می گیرند چه اتفاقی در مورد این خطرات رخ دهد. این مهم ترین سیستم در میان سیستم های مدیریت یکپارچه است، به ویژه برای سازمان هایی که در تلاش برای به دست آوردن هویت سازمانی هستند.
سیستم مدیریت امنیت اطلاعات ISO 27001 سازمان را با مزایای زیادی در زمینه شناسایی خطرات مربوط به حفاظت از اطلاعات و شناسایی اقدامات برای از بین بردن یا به حداقل رساندن این خطرات ارائه می دهد.
هیچ محدودیتی در بخش اجرای این سیستم وجود ندارد. سازمانها در هر بخش می توانند یک سیستم مدیریت امنیت اطلاعات را ایجاد کنند در صورت نیاز به حفاظت از اطلاعات. با این حال، به خصوص در بانک ها و موسسات مالی، موسسات بهداشتی، سازمان های دولتی، بخش فناوری اطلاعات اطلاعات حفاظت از اطلاعات بسیار مهم است.
استانداردهای ایزو 27000 اساسا از استانداردهای بسیاری تشکیل شده است. برخی از این استانداردها عبارتند از:
- ایزو 27001 سیستم مدیریت امنیت اطلاعات استاندارد: این استاندارد اساسی سیستم مدیریت امنیت اطلاعات است.
- استاندارد ایزو 27002 برای سیستم مدیریت امنیت اطلاعات
- سفارشی سازی سیستم مدیریت امنیت ایزو 27003، راهنمای پیاده سازی
- مقیاس ISO 27004، گزارشات استاندارد
- ایزو 27005 سیستم مدیریت امنیت اطلاعات سیستم مدیریت ریسک استاندارد
- استاندارد ایزو 27006 برای الزامات حسابرسی و صدور گواهینامه امنیت اطلاعات
امروزه مدیریت امنیت اطلاعات یک سیستم است که باید به طور کلی مدیریت شود، از جمله تمام منابع انسانی در سازمان، به ویژه مدیریت ارشد، سیستم های اطلاعاتی و فرآیندهای کسب و کار.
ما گفته ایم که استانداردهای سیستم مدیریت امنیت اطلاعات ISO 27001 استاندارد اصلی سیستم است. نصب و صدور گواهینامه سیستم مدیریت امنیت اطلاعات در سازمان ها بر اساس این استاندارد انجام می شود.
اهداف اصلی این استاندارد عبارتند از:
- شناسایی آسیب پذیری های احتمالی آسیب پذیری اطلاعات سازمان، شناسایی تهدیدات به دارایی های اطلاعاتی و سیستماتیک حسابرسی آنها.
- برای تعیین کنترل برای اطمینان از امنیت دارایی های اطلاعاتی در معرض خطر، برای اطمینان از انجام این کنترل ها و حفظ خطرات احتمالی در سطوح قابل قبول.
- برای اطمینان از تداوم کنترل های امنیتی اطلاعاتی که به این طریق انجام می شود و برای تعیین و پیاده سازی فرایندهای مدیریتی برای این منظور است.
استاندارد سیستم مدیریت امنیت اطلاعات ISO 27001 توسط سازمان بین المللی استاندارد در 2005 منتشر شد. نام کامل ISO / IEC 27001: تکنیک های امنیتی فناوری اطلاعات 2005 سیستم های مدیریت امنیت اطلاعات مورد نیاز است. این معمولا به عنوان استاندارد صدور گواهینامه ISO 27001 شناخته می شود.
استانداردهای ایزو 27001 شامل ساختار شرکت، سیاست ها، فعالیت های برنامه ریزی، مسئولیت ها، فعالیت ها، دستورالعمل های اجرایی، پروسه های کسب و کار و منابع سازمان است که این سیستم را ایجاد کرده است.