Menu
اگر اطلاعات شما دارای ارزش هستند، آنها را حفاظت کنید.
گواهینامه ایزو ۲۷۰۰۱ اثبات کننده این است که سیستم مدیریت امنیت اطلاعات شما در برابر یک استاندارد الگوی برتر گواهی گردیده و منطبق شناسایی شده است. گواهینامه ای که توسط یک مرجع ثبت وصدور گواهینامه شخص ثالث صادر می شود بیانگر این است که شما پیش بینی های لازم جهت حفاظت اطلاعات حساس در برابر دسترسی ها و تغییرات غیر مجاز را مبذول نموده اید.
این استاندارد یک رویکرد فرایندی را در ایجاد، استقرار، عملیاتی نمودن، پایش، بازنگری، نگهداری و بهبود سیستم مدیریت امنیت اطلاعات یک سازمان اتخاذ نموده است.
ISO 27001 توسط سازمان بین المللی استاندارد سازی (ISO) ایجاد گردیده و استانداردی است که به منظور صدور گواهینامه مورد استفاده قرار می گیرد. این استاندارد جایگزین استاندارد BS 7799 شده و در واقع یک استاندارد بین المللی برای سیستم مدیریت امنیت اطلاعات می باشد. همچنین با سازماندهی مجدد بر پایه استاندارد BS 7799 با سایر استانداردهای بین المللی هم راستا گردیده است و برخی کنترل های جدید همچون تاکید بر شاخصه های امنیت اطلاعات و مدیریت حادثه را در بر گرفته است.
این استاندارد رویکرد جامعی را به مبحث امنیت اطلاعات اتخاذ می نماید. دارایی هایی که نیازمند حفاظت می باشند از اطلاعات دیجیتال، اسناد کاغذی و دارایی های فیزیکی (نظیر کامپیوتر ها و شبکه ها) تا دانش تک تک پرسنل را شامل می شوند. موضوعاتی که باید مد نظر داشته باشید نیز مواردی چون توسعه صلاحیت های کارکنان تا حفاظت فنی در برابر هر گونه سوء استفاده های کامپیوتری را در بر می گیرد. استاندارد ISO 27001 از اطلاعات شما در قالب موارد زیر محافظت می نماید:
استاندارد ISO 27001 همراستای با سایر سیستم های مدیریتی بوده و استقرار و اجرای سازگار و یکپارچه آن با استانداردهای مدیریتی مرتبط امکان پذیر می باشد. نتیجه این همراستایی عبارت است از:
این استاندارد حفاظت از اطلاعات را در سه مفهوم خاص یعنی قابل اطمینان و محرمانه بودن بودن اطلاعات (Confidentiality)، صحت اطلاعات (Integrity) و در دسترس بودن اطلاعات (Availability) تعریف می نماید.
در زیر جهت نحوه عملکرد و مدیریت سیستم امنیت اطلاعات توضیحاتی بیان گردیده است. برخی از تعاریف موجود در این استاندارد بیان گردیده که جهت درک بهتر به آن می پردازیم:
اطلاعات (information): دانشی که ممکن است از هر منبعی برگرفته شود و یا بعبارتی داده های پردازش شده ای که جزء داراییها محسوب می شوند. معمولا ۳۶% اطلاعات برروی کاغذ، ۲۰% در اسناد الکترونیکی و ۴۴% دیگر در ذهن افراد ذخیره می گردد.
دارای(asset): هر چیزی که برای سازمان دارای ارزش می باشد.
قابلیت دسترسی (availability): ویژگی در دسترس و قابل استفاده بودن , به محض تقاضای یک موجودیت مجاز. (اطلاعات در صورت نیاز باید بطور صحیح در دسترس باشد.)
محرمانه بودن (confidentiality): ویژگی که اطلاعات در دسترس افراد , موجودیت ها یا فرآیند های غیر مجاز قرار نگرفته یا فاش نشود.(تنها افراد مجاز به اطلاعات دسترسی خواهند یافت.)
یکپارچگی (Integrity): کامل بودن و صحت اطلاعات و روشهای پردازش اطلاعات مورد نظر هستند.
امنیت اطلاعات: حفظ محرمانه بودن , یکپارچگی و قابلیت دسترسی اطلاعات , همچنین ویژگی هایی از قبیل سندیت , پاسخگویی , انکار ناپذیری و قابلیت اطمینان , می توانند لحاظ شوند.
رخداد امنیت اطلاعات: رخداد شناسایی شده یک سیستم , خدمت یا شبکه , که دلالت بر نقص احتمالی خط مشی امنیت اطلاعات یا نقص حفاظتی , یا وضعیتی که ممکن است با امنیت مرتبط بوده و قبلاٌ شناخته نشده باشد.
رویداد امنیت اطلاعات: یک یا مجموعه ای از رویداد های امنیت اطلاعات ناخواسته یا پیش بینی نشده که به احتمال زیاد , عملیات کسب و کار را به خطر انداخته و امنیت اطلاعات را تهدید کنند.