ایزو مدیریت امنیت اطلاعات

استاندارد مدیریت امنیت اطلاعات (ایزو 17799)

در عصر جدید با رشد سريع و سرعت بالای تغییرات در فناوری اطلاعات، باید از دسترسی سریع و جامع به اطلاعات تشکر کرد.  به همین دلیل، روز به روز خدمات اطلاعاتی هم پیشرفته شده است. این خدمات برای سازمان ها یک سرمایه مهم به شمار می آیند. به دلیل اینکه این اطلاعات بسیار گسترده و پیوسته می باشند، دسترسی به آن ها هم باید به شکل کنترل شده باشد تا از تهدیدات علیه آن جلوگیری شود. به همین دلیل رویکرد سیستم مدیریت امنیت اطلاعات شکل گرفته است که نتیجه سال ها تجربه و فعالیت برای حفظ امنیت اطلاعات می باشد. در جهت تکمیل استانداردهاي انتشار یافته برای سیستم امنیت اطلاعات، نسخه ی انتشار شده ی جهانی ISO/IEC 27001 تحت عنوان “فناوري اطلاعات-فنون امنيتي-سيستم مديريت امنيت اطلاعات-الزامات” در مباحثه با استاندارد BS 7799-2:2005، بنیان و الگوی مناسبی برای برپایی سيستم مديريت امنيت اطلاعات و همچنین مميزي سازمان برای کسب گواهينامه مطابقت سیستم با استاندارد است. به همراه آن استانــدارد مديريتـــي  ISO /IEC 17799:2005 يا BS 7799 1:2005تحت عنوان “فناوري اطلاعات-فنون امنيتي-راهنماي كاربردی براي مديريت امنيت اطلاعات” که شامل توصیف كنترل‌ و بررسی های ضرورت سيستم و همچنین گزارش فني ISO /IEC TR 13335 حاوی جزئيات و فنون مورد درخواست در مرحله های ارتباطات و مطمئن‌سازي اطلاعات، کامل کننده های مناسبي براي ISO/IEC 27001 در برپایی سيستم مديريت امنيت اطلاعات مي‌باشند. روند ممیزی این نوع از سیستم ها بر پایه ی قوانین بين‌المللي شکل می گیرد و حاوی مراحل مميزي مقدماتی (Pre-Audit) به صورت یک مورد گزینشی می باشد و ممیزی صدور گواهينامه (Certification Audit)  شامل دو مرحله مميزي مستندات و مميزي در محل سازمان است. در صورت موفقيت سازمان در صدور مميزي ، گواهينامه انطباق سيستم با استاندارد ISO/IEC 27001، تحت اعتبار دهي DAkkS و براي مدت سه سال صادر مي‌گردد.

موسسه های مالی همیشه به دنبال قوانین و مقرراتی بوده اند که هدف شان امنیت اطلاعات باشد. در حالی که این قوانین به خوبی توانسته اند حوزه امنیت اطلاعات را تعریف کنند و نقش امنیت اطلاعات را در مدیریت ریسک به خوبی مشخص کنند، اما همچنان نتوانسته اند، مشخصات و اجزای یک سیستم امنیت اطلاعات کاربردی و تاثیر گذار و نحوه دست یابی به آن را شرح دهند. خوشبختانه سازمان استاندارد های بین المللی توانسته است در این زمینه دو استاندارد را معرفی کند و رضایت موسسه ها و شرکت ها را در خصوص امنیت اطلاعات از طریق این دو استاندارد جلب کند. این دو استاندارد یکی ایزو 17799 و دیگری ایزو 27001 می باشد که در کنار یکدیگر توانسته اند بهترین قوانین و استاندارد ها را برای امنیت اطلاعات فراهم کنند. استاندارد های هر دو برگرفته از استاندارد بریتانیایی می باشند که سال ها پیش قدرت امنیت اطلاعات را در اختیار داشت. این استاندارد شامل دو بخش می باشد که یکی از آن دو، ایزو امنیت اطلاعات 17799 می باشد.

ایزو 17799 بهترین قوانین را برای آغاز، اجرا یا نگهداری سیستم های مدیریت امنیت اطلاعات ارائه کرده است. امنیت اطلاعات را می توان در حوزه حفظ محرمانگی اطلاعات (یعنی کسب اطمینان از این موضوع که اطلاعات تنها برای افرادی خاص در دسترس می باشند)، امانت و راستی (به معنای مراقبت از درستی اطلاعات و روش ها پردازش آن ها) و دسترسی پذیری (کسب اطمینان از اینکه افراد مجاز هر زمان که به اطلاعات نیاز دارند، به آن دسترسی دارند) تعریف کرد.  

این استاندارد شامل 12 بخش می باشد:

• ارزیابی ریسک و رفع آن ها: این بخش در نسخه جدید، آورده شده است و هدف آن اصول تحلیل امنیت ریسک و خطرات می باشد.
•  سیاست های امنیتی: هدف این بخش مسیر دهی و راهنمای مدیریتی و پشتیبانی از امنیت اطلاعات می باشد.
• سازمان امنیت اطلاعات:  هدف این بخش ابتدا مدیریت امنیت اطلاعات در سازمان و موسسه ها می باشد و سپس حفظ و نگهداری امنیت اطلاعات و پردازش روند اطلاعاتی با توجه به طرفین خارج از سازمان.
• مدیریت سرمایه: هدف این بخش دست یابی و نگهداری روش های حفاظت از سرمایه های سازمانی و کسب اطمینان از رسیدن به بهترین سطح امنیتی می باشد.
• امنیت منابع انسانی : اهداف این بخش شامل :

1. کسب اطمینان از اینکه کارمندان و طرفین قرارداد و اشخاص ثالث برای شغل و وظایف شان مناسب و شایسته باشند، وظایف و مسئولیت های خود را دقیق بدانند و ریسک سوء استفاده از اطلاعات شامل سرقت اطلاعات را به حداقل رسانند،
2. کسب اطمینان از پیروی سازمان از سیاست های امنیتی،
3. کسب اطمینان از اینکه دو مورد بالا به خوبی در سازمان اجرا می شود  و تحت کنترل مدیریت می باشد.

• امنیت محیطی و فیزیکی: اهداف این بخش هم شامل موارد زیر می باشد:

1. جلوگیری از دسترسی افراد غیر مجاز به اطلاعات، جلوگیری از دخالت و آسیب زدن به اطلاعات سازمان مربوطه،
2. جلوگیری از، از بین رفتن اطلاعات، سرقت و آسیب به آن ها،
3. جلوگیری از تخریب و ایجاد وقفه در فعالیت های سازمان.

• مدیریت ارتباطات و اجرا : اهداف این بخش شامل موضوعات زیر است:

1. کسب اطمینان از این موضوع که فرایند پردازش اطلاعات به روشی امن انجام می شود،
2. حفظ سطح امنیتی مناسب اطلاعات و سرویس های ارسال اطلاعات مطابق با توافق های مربوطه،
3. کاهش و به حداقل رساندن خطرات علیه سیستم های امنیت اطلاعات و جلوگیری از شکست های امنیتی،
4. حفاظت از ترکیب اطلاعات و نرم افزار ها،
5. حفظ دسترسی پذیری و ترکیب اطلاعات و پردازش اطلاعات،
6. کسب اطمینان از اطلاعات در شبکه ها و حفاظت از زیر ساخت های آن ها،
7. جلوگیری از انتشار، تغییر، حذف و یا تخریب غیر مجاز اطلاعات،
8. جلوگیری از تخریب فعالیت های کسب و کاری،
9. حفظ امنیت اطلاعات و یا تبادل نرم افزار ها هم به صورت درون سازمانی و هم برون سازمانی،
10. کسب اطمینان از امنیت خدمات تجارت الکترونیک،
11. شناسایی فعالیت های غیر مجاز در سازمان که ممکن است به امنیت اطلاعات خدشه وارد کند.

• کنترل دسترسی: این بخش هم بر کنترل دسترسی به اطلاعات، دسترسی های مجاز، جلوگیری از دسترسی های غیر مجاز به سیستم های اطلاعاتی، جلوگیری از دسترسی کاربران غیر مجاز و خدشه وارد کردن به امنیت اطلاعات و پردازش آن ها، جلوگیری از دسترسی های غیر مجاز به خدمات شبکه ای، جلوگیری از دستری های غیر مجاز به سیستم های عامل، جلوگیری از دسترسی های غیر مجاز به اطلاعات سیستم های کاربردی، کسب اطمینان از امنیت اطلاعات سیار و تجهیزات ارتباط از راه دور، می باشد.
• فراگیری سیستم های اطلاعاتی، توسعه و نگهداری : اهداف این بخش هم شامل موارد زیر است:

1. کسب اطمینان از بخش ترکیبی سیستم های اطلاعاتی،
2. پیشگیری از حذف اطلاعات، جلوگیری از خطاها یا اصلاحات غیر مجاز روی اطلاعات در میان اپلیکیشن های مربوطه،
3. حفاظت از محرمانگی و دسترسی های مجاز به اطلاعات به کمک کد گذاری،
4. حفظ امنیت فایل های سیستم ،
5. حفظ و نگهداری نرم افزار های سیستم امنیت اطلاعات،
6. کاهش و مدیریت ریسک

• مدیریت حوادث علیه امنیت اطلاعات: این بخش از استاندارد مدیریت امنیت اطلاعات به دنبال امنیت اطلاعاتی است که هر از گاهی میان بخش های مختلف سازمان، مبادله می شود. همچنین بر ثبات و تاثیرگذاری رویکرد های اجرایی امنیتی سازمان هم نظارت می کنند.
• مدیریت ارتباط بازرگانی: در این بخش فعالیت های بازرگانی سازمان ها و فرایند های حیاتی که می تواند برای یک سازمان سود یا زیان دنبال داشته باشد، مورد نظر می باشد.
• پذیرش و پیروی از قوانین امنیت اطلاعات: با تکیه بر این بخش سازمان ها و شرکت باید از از تخطی از هر قانونی که در خصوص امنیت اطلاعات می باشد، جلوگیری کنند و مطمئن باشند که سیستم های امنیتی شان موافق با قوانین و استاندارد های بین المللی می باشد. افزایش تاثیرگذاری و کاهش دخالت های غیر مجاز هم از جمله اهداف این بخش می باشد.

در هر بخش، اهداف کنترل امنیت اطلاعات و دامنه کنترل ها کاملا مشخص شده می باشد و به همین دلیل این استاندارد بسیار دقیق می باشد. برای هر کنترل، راهنمای آن هم فراهم شده است. از هر سازمانی انتظار می رود، ارزیابی ریسک ها و خطرات امنیتی را با توجه به این کنترل ها، انجام دهد.

چرا باید برای اخذ ایزو امنیت اطلاعات به موسسه کاوش مراجعه کنید؟

برای اخذ این گواهینامه معتبر، باید دقت داشته باشید از از شرکت های مجاز و معتبر آن را تقاضا کنید. به خاطر داشته باشید که برخی از شرکت هایی که اقدام به ارائه گواهینامه هایی از این دست می کنند، توسط افراد سودجو و کلاهبرداری هدایت می شود، به همین دلیل توجه داشته باشید که گواهینامه تعالی سازمانی برای ایجاد حس رقابت میان سازمان ها و توسط مراکز دولتی بر گزار می شود.  موسسه کاوش یک کنسرسیوم جهت ارزیابی و اعتبار سنجی شرکت ها می باشد و وظیفه بررسی و طبقه بندی بنگاه های اقتصادی و کسب و کارهای مختلف را دارد که هدف آن استاندارد سازی سازمانی این بنگاه ها می باشد. موسسه کاوش زیر نظر سازمان استاندارد کار می کند و می تواند بهترین گزینه برای اخذ استاندارد مستند سازی سیستم های مدیریت کیفیت باشد. البته سازمان ملی استاندارد هیچ ایزو ای صادر نمی کند بلکه فقط به شرکتها مجوز اعطای ایزو می دهد، مانند وزارت علوم که مستقیم مدرک دانشگاهی نمی دهد. در کنار این ها تیم مشاوران کاوش، با صبر و حوصله آماده ارائه خدمات مشاوره ای رایگان به مراجعین خود می باشد. کاوش برای شما بسته های خودآموز مربوط به استاندارد مورد نظر شما را با قیمت های بسیار مناسب نیز فراهم کرده است که می توانید با تهیه آن ها، از مزایای آن ها بهره مند شوید. همچنین کاوش مجوز فعالیت از سازمان صنعت، معدن و تجارت و سازمان ملی استاندارد با هم دارد و در نتیجه با یک واسطه زیر مجموعه IAF می باشند.

روش تعیین قلمرو سیستم مدیریت امنیت اطلاعات

سازمانها می بایست قلمرو و کاربرد پذیری سیستم مدیریت امنیت اطلاعات را برای برپایی و تشکیل قلمرو خود شناسایی و تعریف نماید. به این صورت که سازمان باید در زمان تعیین مرزها، موارد زیر را در نظر بگیرد:

• شناسایی مسائل درونی و بیرونی مربوط با اهداف سازمان و مسائل اثرگذار
• طرفهای سود آور مربوط به سیستم مدیریت امنیت اطلاعات
• الزامات طرفهای ذینفع در رابطه با امنیت اطلاعات
• واسطه ها و ارتباطات میان فعالیت های انجام گرفته به وسیله ی سازمان و فعالیت هایی که با سازمانهای دیگر صورت می گیرد.
• مرزها و قلمروها نیز باید به شکل اطلاعات معتبر و مستند ، در معرض نمایش باشند.