اصول امنیت اطلاعات می تواند به شرح زیر توضیح داده شود:
- محرمانه بودن: فقط افراد مجاز باید اطلاعات را داشته باشند.
- اصل یکپارچگی: اطلاعات و روش پردازش این اطلاعات باید به عنوان یک کل در نظر گرفته شود. اطلاعات نباید توسط افراد غیر مجاز تغییر یابد.
- سیاست دسترسی: فقط کاربران مجاز باید دسترسی به اطلاعات داشته باشند.
امنیت اطلاعاتدر یک سازمان، با ایجاد مجموعه ای از کنترل ها، می توان تمام سیاست ها، رویه ها، فرآیندها، ساختار سازمانی، عملکرد نرم افزار و سخت افزار را به دست آورد.
استاندارد ISO / IEC 27001رویکرد فرآیند را در ایجاد این سیستم تصویب می کند. هر فعالیتی در سازمان می تواند به عنوان یک فرآیند در نظر گرفته شود. خروجی یک فرایند می تواند ورودی فرآیند دیگری باشد. در رويكرد فرآيندي در مديريت امنيت اطلاعات، شناسايي و مديريت نقاط كنترل ضروري جهت مديريت خطرات امنيت اطلاعات سازمان ضروري است.
ایزو 27001 سیستم مدیریت امنیت اطلاعاتیک سیستم برای اطمینان از کنترل های امنیتی مناسب برای حفاظت از دارایی های اطلاعاتی و اطمینان دادن به اشخاص مورد علاقه است. یک سازمان دارای گواهینامه ایزو 27001 ثابت می کند که خطرات امنیتی را می داند، این خطرات را مدیریت می کند، منابع را برای جلوگیری از خطرات خاص و ارائه به مشتریان و اشخاص ثالث، اختصاص می دهد. داشتن این گواهینامه به این معنا نیست که سازمان دارای سطح امنیتی 100 درصد است. این نیز امکان پذیر نیست.
سازمان هایی که استاندارد ISO 27001 را ایجاد و پیاده سازی می کنند تا زمانی که بتوانند این سیستم را زنده نگه دارند گواهی ایزو 27001 معنای سازمان باید برنامه های پیشگیری از خطر را برای مدیریت خطرات امنیتی برنامه ریزی کند. این برنامه باید یک برنامه باشد که شامل خطرات امنیتی اطلاعات، فعالیت های مدیریتی، منابع اختصاص یافته، مسئولیت های کارمندان و اولویت ها باشد. علاوه بر این، برنامه پیشگیری از ریسک آماده شده باید اجرا شود.
علاوه بر این، چک های امنیتی و اثربخشی این کنترل ها باید اندازه گیری شود. به این ترتیب، مدیران و کارکنان مرتبط می توانند از این در مراحل تصمیم گیری استفاده کنند.
توانایی سازمان برای شناسایی آسیب پذیری های امنیتی به موقع و پاسخ دادن به آنها در صورت وقوع نقض های امنیتی مربوط به میزان قابل قبول بودن آن می باشد.
تمام این نکات نشان می دهد که سیستم مدیریت امنیت اطلاعات ISO 27001 در سازمان شناسایی و اجرا شده است. برای موسساتی که گواهی ایزو 27001 را دریافت خواهند کرد برای نصب سیستم و تکمیل مستندات مورد نیاز سیستم، کافی نیست. برای به دست آوردن یک گواهینامه، لازم است که الزامات سیستم را برآورده سازیم.
سازمان صدور گواهینامه TÜRCERT همچنین سازمان هایی است که مطالعات ارزیابی انطباق را انجام می دهند و فعالیت های خود را براساس مجوز دریافت شده از سوی واحدهای اعتباربخشی مربوطه ادامه می دهند. اگر می خواهید اطلاعات بیشتری در مورد گواهینامه ایزو 27001 کسب کنید و آنچه لازم است هنگام اخذ این گواهینامه توجه داشته باشید و یا گواهینامه سیستم مدیریت امنیت اطلاعات ISO 27001 دریافت شود، موسسه صدور گواهینامه TÜRCERT آدرس مناسب است. TÜRCERT آماده ارائه انواع پشتیبانی با مديران و کارکنان باتجربه است.