گواهینامه ایزو 27001:2013


معرفی ایزو IEC 27001  استاندارد فن آوری اطلاعات ، تکنیک های امنیتی و سیستم های مدیریت امنیت اطلاعات 

ISO / IEC 27001 به طور رسمی یک سیستم مدیریت امنیت اطلاعات (ISMS) می باشد که مجموعه ای از فعالیت های مربوط به مدیریت خطرات احتمالی اطلاعات (به نام "خطرات امنیت اطلاعات" در استاندارد) را مشخص میکند.  ISMS یک چارچوب مدیریتی جامع است که از طریق آن سازمان شناسایی، تحلیل خطرات و ریسک های اطلاعاتی خود را شناسایی می نماید. ISMS تضمین می کند که ترتیبات امنیتی دقیقی تنظیم شود که با تغییرات در تهدیدات امنیتی، آسیب پذیری ها و تاثیرات تجاری که بخشی مهم و مزیتی کلیدی و مبتنی بر ریسک انحصاری هست اجرایی گردد.

این استاندارد تمامی انواع سازمان ها (مانند شرکت های تجاری، سازمان های دولتی و حتی غیر سودآوری) و با هر اندازه (از شرکت های کوچک به شرکت های بزرگ چند ملیتی) و تمام صنایع یا بازارها (مانند خرده فروشی، بانکی، دفاع، مراقبت های بهداشتی، آموزش و دولت ) را شامل می شود.

استاندارد ایزو IEC 27001  به طور رسمی دستورالعمل هایی عمومی جهت کنترل اطلاعات را نمیدهد به این دلیل که این دستورالعمل ها برای هر سازمانی متفاوت هستند.دستورالعملهای کنترل امنیت اطلاعات از     استاندارد ISO / IEC 27002 در ضمیمه A به ISO / IEC 27001 تغییر پیدا کرده است. سازمان های اجرا کننده سیستم ISO / IEC 27001 می توانند هر کدام از دستورالعمل های ذکر شده در این استاندارد را برای کنترل خطرات خاص و احتمالی اطلاعات سازمان خود اعمال کنند. علاوه بر کنترل خطرات احتمالی اطلاعات هر سازمان، مدیریت مجموعه ها ممکن است تصمیم بگیرند که از ایجاد خطرهای احتمالی مربوط به اطلاعات سازمان پیشگیری نماید نه اینکه فقط از سیاست کنترل خطرهای احتمالی استفاده نمایند. تصمیم گیری در مورد ریسک پذیری فرآیندها و  مدیریت ریسک در سازمان در استاندارد ایزو 27001 گنجانده شده است.

تاریخچه ایزو 27001

استاندارد ISO / IEC 27001 از استاندارد  BS 7799 Part2 مشتق شده است که برای اولین بار در سال 1999 منتشر شد.

BS 7799 part 2 توسط BSI در سال 2002 تجدید نظر شده است و به صراحت شامل پروسه برنامه، انجام، چک، قانون هست.

BS 7799 part 2 به عنوان ISO / IEC 27001 در سال 2005 به تصویب رسید. این استاندارد در سال 2013 به طور گسترده مورد بازنگری قرار گرفت و آن را با سایر استانداردهای سیستم مدیریت صدور گواهینامه ایزو مطابقت داده شد.

ساختار استاندارد ISO / IEC 27001: 2013 دارای بخش های زیر است:

1) مقدمه : استاندارد از رویکرد فرآیند استفاده می کند.

2) دامنه : که شامل مشخصه های عمومی ISMS مناسب برای سازمان ها با هر نوع فعالیت، اندازه و یا ماهیتی است.

3) نکته های استاندارد : برای درخواست کنندگان استاندارد ایزو 27001 رعایت الزامات استاندارد ایزو       ISO / IEC 27000 کاملا ضروری است و استاندارد ISO27k بطور اختیاری اجرایی میگردد.

4) شرایط و تعاریف : این استاندارد دارای شرایط و تعاریفی است که در سازمانهایی که  استاندارد ایزو 27000 را اجرایی کردند، جایگزین شده است.

5) زمینه سازمانی: درک ساختار سازمان، نیازها ، انتظارات و تعریف محدوده ISMS در بخش 4.4 متن این استادارد به وضوح بیان شده است که اعلام میکند "سازمان باید یک سیستم ISMS سازگار را ایجاد، پیاده سازی، حفظ نماید و به طور مستمر بهبود بخشد."

6) رهبری : مدیریت ارشد در هر سازمانی میبایست رهبری و تعهد به ISMS را بر عهده گیرد و سیاست های ماموریت و تخصیص مسئولیت بخشهای مختلف سازمان را برای پیشبرد اهداف سازمان مطابق با ISMS مشخص نماید.

7) برنامه ریزی : روند تشریح، شناسایی، تجزیه و تحلیل و برنامه ریزی برای درمان خطرات اطلاعات و اهداف امنیت اطلاعات را مشخص می کند.

8) پشتیبانی: میبایست منابع کافی و شایسته جهت آگاه سازی و مستند سازی اطلاعات سازمان تهیه و کنترل شود.

9) عملیات : جزئیات کمی در مورد ارزیابی و ریسک خطرات ، مدیریت تغییرات و مستند سازی اطلاعات سازمان ها وجود دارد تا حدی که توسط حسابرسان صدور گواهینامه ایزو مورد ارزیابی قرار گیرند.

10) ارزیابی عملکرد : نظارت، اندازه گیری، تجزیه و تحلیل و ارزیابی - ممیزی -  بررسی کنترل های امنیتی اطلاعات، فرایندها و سیستم مدیریت به منظور بهبود سیستماتیک در صورت لزوم را شامل می شود.

11) بهبود: این مرحله شامل دسترسی به یافته های حسابرسی و بررسی عدم انطباقها و اقدامات اصلاحی میباشد. این اقدامات اصلاحی تا جایی پیش میرود که سازمان به استاندارد ISMS دسترسی پیدا کند.

در متن استاندارد ایزو  IEC 27001 ، استاندارد ایزو IEC 27000 به عنوان یک استاندارد ضروری گنجانده شده است  و در چندین مورد برای کسب اطلاعات بیشتر ارجاع به استاندارد ISO 31000 در مورد مدیریت ریسک نیز وجود دارد.

الزامات اجباری برای صدور گواهینامه ایزو IEC 27001 :

این استاندارد یک استاندارد رسمی برای ISMS با دو هدف متمایز است:

هدف اول: در یک سطح نسبتا بالا، یک سازمان می تواند برای انجام یک سیستم ISMS اقدام کند.

هدف دوم:  می تواند (به صورت اختیاری) به عنوان مبنایی برای ارزیابی تطابق رسمی توسط حسابرسان صدور گواهینامه معتبر به منظور صدور گواهینامه ایزو برای یک سازمان استفاده شود.

مستندات اجباری زیر به صراحت برای صدور گواهینامه ایزو 27001 مورد نیاز است:

1. محدوده ISMS (به عنوان بند 4.3)

2. سیاست امنیتی اطلاعات (بند 5.2)

3. فرایند ارزیابی خطر اطلاعات (بند 6.1.2)

4. روند پردازش ریسک اطلاعات (بند 6.1.3)

5. اهداف امنیت اطلاعات (بند 6.2)

6. گواهی صلاحیت افراد کار در امنیت اطلاعات (بند 7.2)

7. سایر اسناد مرتبط با ISMS که توسط سازمان مورد نیاز است (بند 7.5.1 ب)

8. اسناد برنامه ریزی عملیاتی و کنترل (بند 8.1)

9. نتایج ارزیابی ریسک (بند 8.2)

10. تصمیم گیری در مورد درمان ریسک (بند 8.3)

11. مدارک نظارت و اندازه گیری امنیت اطلاعات (بند 9.1)

12. برنامه حسابرسی داخلی و نتایج حسابرسی اجرا شده (بند 9.2)

13. شواهد ارزیابی مدیریت ارشد ISMS (بند 9.3)

14. شواهد عدم انطباق شناسایی شده و اقدامات اصلاحی ناشی از آن (بند 10.1)

سازمانها می توانند ISMS خود را به طور وسیع یا به همان اندازه محدود کنند که می خواهند - در حقیقت، تصمیم گیری مهم برای مدیریت ارشد است . دامنه ISMS مستند شده یکی از الزامات اجباری برای صدور گواهینامه ایزو 27001 است.

مطابقت گواهینامه ISO / IEC 27001 با یک گواهینامه معتبر و قابل اعتماد، به طور کامل اختیاری است ، اما به طور فزاینده ای از تامین کنندگان و شرکای تجاری از سازمان هایی نگران امنیت اطلاعات خود و امنیت اطلاعات در سراسر زنجیره عرضه و یا شبکه هستند .

طبق بررس انجام شده در سال 2016، بیش از 33000 گواهینامه ISO / IEC 27001 در سراسر جهان وجود دارد، هر سال حدود 20 درصد افزایش یافته است 

این گواهینامه پتانسیل بازاریابی دارد و نشان می دهد که سازمان به طور جدی امنیت اطلاعات را مدیریت می کند. با این حال، ، ارزش اطمینان گواهینامه ایزو 27001 بسیار وابسته به دامنه ISMS است و به عبارت دیگر، ایمنی بیش از حد در گواهی سازمانی ISO / IEC 27001 سازمان وجود ندارد.

وضعیت استاندارد

ISO / IEC 27001 در سپتامبر 2013 به طور کامل بازنویسی و مجددا صادر شد

از آنجا که ISO / IEC JTC1 اصرار بر تغییرات قابل توجهی برای اصلاح این استاندارد با سایر استانداردهای سیستم های مدیریتی که شامل تضمین کیفیت، حفاظت از محیط زیست و غیره دارد.ایده این است که مدیرانی که با هر یک از سیستم های مدیریت ایزو آشنا هستند، اصول پایه ای ISMS را درک خواهند کرد

مفاهیمی مانند صدور گواهینامه، سیاست، عدم انطباق، کنترل اسناد، ممیزی داخلی و بررسی مدیریت برای همه استانداردهای سیستم های مدیریتی رایج هستند و در واقع این فرایندها می توانند به شدت در سازمان استاندارد سازی شوند.

درباره ISO/IEC 27001

ISO / IEC 27001  یک چارچوب عالی است که به سازمانها کمک می کند تا دارایی های اطلاعاتی خود را مدیریت کنند و محافظت نمایند تا امنیت آنها حفظ شود

مراحل اخذ گواهینامه ISO / IEC 27001:

1.     معرفی  ISO / IEC 27001

2.     . مدیریت ایمنی اطلاعات ISO / IEC 27001 چیست و چگونه برای کسب و کار مناسب است

3.      پیاده سازی ISO / IEC 27001

4.     . کشف بهترین راه برای پیاده سازی یک سیستم مدیریت ایزو ISO/ IEC 27001

5.     اخذ گواهینامه ایزو ISO / IEC 27001