جهان امروز در حال حاضر جهان دانش است. کدام شرکت ها، سازمان ها، ایالت ها، مردم و جامعه مشترک است که آنها در عصر اطلاعات زندگی می کنند. دانش به یک عنصر ضروری از رقابت و موفقیت در تولید و مصرف یک محصول یا خدمات تبدیل شده است. به این ترتیب، اطلاعات ایمن و قابل اطمینان اجتناب ناپذیر است. صرف نظر از ماهیت کار و یا فرآیند این فرآیند، امنیت اطلاعات باید به طور موثر، مداوم و موفق در مدیریت تمامی فرایندها حصول اطمینان و مدیریت شود، حتی اگر فن آوری ارتباطی نباشد. مدیریت موثر فرایندها همچنین نیاز به مدیریت موثر فرآیندهای امنیتی اطلاعات دارد.
اگر یک شرکت استراتژی های امنیتی اطلاعات و روش های موثر برای مدیریت آنها را نداشته باشد، اجتناب ناپذیر است که این سازمان ها مشکلات جدی و زیان های مادی را نه تنها از نظر امنیت، بلکه همچنین در مدیریت عملیات و سایر فرآیندهای کسب و کار، تجربه می کنند.
انواع اطلاعاتی که در زندگی تجاری مورد استفاده قرار می گیرند و برای اهداف تجاری به اشتراک گذاشته می شوند ارزشمند هستند و باید محافظت شوند. امروزه انواع اطلاعات ارزشمندی در محیط های کامپیوتری نگهداری می شود.
امنیت اطلاعات در حصول اطمینان از تداوم هر سازمان بسیار مهم است و هدف آن اطمینان از اطمینان از اطلاعات بحرانی و محرمانه سازمان و سایر دارایی های اطلاعاتی، به ویژه در محیط های الکترونیکی است.
مشکلات و خطرات امنیتی اطلاعات نه تنها برای شرکت های بزرگ، بلکه برای دولت ها، سازمان های غیر انتفاعی، مدارس و سازمان های مشابه حتی در سطوح مختلف وجود دارد. این واقعیت هر روز در کشور و در سراسر جهان در ابعاد در حال افزایش است.
به طور خلاصه، مدیریت امنیت اطلاعات در روشی برای پوشش دادن خطرات همیشه در حال تغییر و به طور فزایندهای مهم به موازات استانداردهای بین المللی، مقررات قانونی ملی یا بین المللی مربوطه، تعهدات تجاری، روشهای اندازه گیری، توسعه فن آوری ها و تغییر فرآیندهای کسب و کار اهمیت دارد. در حال تبدیل شدن به یک
تحقیقات مختلف توسط بسیاری از سازمان های محلی و خارجی در زمینه امنیت اطلاعات انجام می شود. در میان این نتایج، یک مطالعه انجام شده در 2005 برای پوشش دادن تنها کشور ما کاملا قابل توجه است. بر اساس نتایج این نظرسنجی امنیتی اینترنتی که شامل بیش از یک هزار کاربر اینترنت و نزدیک به یک هزار شرکت است، دیده می شود که 65 از فایروال (درصد) دسترسی به اینترنت استفاده نمی کند. 43 درصد از سرورهای وب در معرض خطر اطلاعات خود را به راحتی قابل پخش، تغییر صفحه خانگی و یا انتقال آنها به آدرس دیگری. فقط یک درصد از شرکت ها و کاربران اینترنت در برابر جاسوس افزار (جاسوس افزار) 30 محافظت می شوند. 22 درصد از سرورهای DNS آسیب پذیری های امنیتی دارند و ایمیل ها به راحتی می توانند توسط گذرواژه های بانکی بانکی کارکنان توسط اینترنت مورد سوء استفاده یا سرقت قرار بگیرند. به طور خلاصه، تقریبا نیمی از پاسخ دهندگان در معرض تهدید امنیتی آینده در اینترنت هستند.
ایزو 27001 سیستم مدیریت امنیت اطلاعات
اگر به هر دلیلی یک سازمان قادر به اطمینان از اطلاعاتی باشد که در اختیار دارد، ممکن است قبل از آن قربانی مشتریان خود شود، فعالیت های آن ممکن است کاهش یابد و حتی توقف کند، منابع غیر ضروری تخلیه شود؛ این شرکت شهرت را از دست می دهد و ممکن است به اشخاص ثالث مسئول باشد. استاندارد ISO / IEC 27001 سیستم مدیریت امنیت اطلاعات توسط سازمان بین المللی استاندارد برای جلوگیری از همه این منفی ها ایجاد شده است. این استاندارد برای کمک به سازمانها در حفاظت و مدیریت دارایی های ارزشمند اطلاعات خود طراحی شده است. این استاندارد که توسط کمیته فنی سازمان ملل متحد توسط سازمان بین المللی استاندارد در ارتباط با کمیته بین المللی الکتروتکنیک تهیه شده است، تنها استاندارد بین المللی است که برای اطمینان از امنیت اطلاعات و کنترل های امنیتی مناسب و مناسب طراحی شده است.
شرکت هایی که سیستم مدیریت امنیت اطلاعات ایزو 27001 را در کسب و کار خود راه اندازی و مدیریت می کنند، زیرساخت های اطلاعاتی را تعیین می کنند و حملات احتمالی و خطرات احتمالی را به دارایی های اطلاعاتی تجزیه و تحلیل می کنند و تصمیم می گیرند در مورد چنین خطراتی چه اتفاقی می افتد.
استاندارد ایزو 27001 شرکت ها را فرصتی برای شناسایی خطرات لازم برای حفاظت از اطلاعات فراهم می کند و اقدامات لازم برای از بین بردن یا به حداقل رساندن این خطرات را انجام می دهد.
اهمیت اندازه گیری ریسک امنیت اطلاعات
طیف گسترده ای از روش های اندازه گیری و ارزیابی ریسک امنیت اطلاعات و طیف گسترده ای از نرم افزار هایی است که از این روش استفاده می کنند. با این حال، ارزش دارایی های مربوط به اطلاعات مورد نیاز قبل از اندازه گیری و ارزیابی باید تعیین شود. سپس، باید تحلیل شود که احتمال، آسیب پذیری ها یا ضعف های امنیتی و تا چه حد تهدیدات تاثیر بدی بر این دارایی های اطلاعاتی داشته باشند. به این ترتیب، احتمال بالقوه از دست دادن دارایی های اطلاعاتی در صورت ریسک رخ می دهد. پس از اینکه همه خطرات به این روش محاسبه می شوند، کدام خطرات برای ایجاد استراتژی اولویت بندی می شوند، میزان ریسک باید کاهش یابد، راه حل هایی که باید برای کاهش خطرات به سطح مطلوب مورد استفاده قرار گیرد، اقدامات مورد نیاز و کنترل های انجام شده تعیین و هزینه های اجرای این راه حل ها مورد تجزیه و تحلیل قرار می گیرد. در طول این مطالعات، میزان توجه به اقداماتی که باید انجام شود و راه حل هایی که باید اجرا شود موثر و موثر باشند.
دارایی های اطلاعاتی همانند تمام دارایی های تجاری، این یک منبع ارزشمند برای کسب و کارهاست و باید به درستی محافظت شود. سیستم مدیریت درست برای اطمینان از این ISO 27001 یک سیستم مدیریت امنیت اطلاعات است. با پیاده سازی استاندارد ایزو 27001 در شرکت، اندازه گیری های لازم و ارزیابی های انجام شده انجام می شود و حفاظت از دارایی های اطلاعاتی تبدیل به یک سیستم شده است. دارایی های اطلاعات با سیستم مدیریت امنیت اطلاعات ISO 27001، برای کم کردن زیان های تجاری احتمالی از تهدیدات و خطرات محافظت می شود تا بیشترین بازده سرمایه گذاری تجاری و فرصت ها و تضمین پیوستگی تجاری را تضمین کند.
استانداردهای ایزو 27000 چیست؟
استاندارد ISO 27001 مستقل نیست. استانداردهای ایزو 27000 در واقع استانداردهای چندگانه هستند. این استانداردها به شرح زیر است:
- TS ISO / IEC 27001 فناوری اطلاعات - تکنیک های امنیتی - سیستم های مدیریت امنیت اطلاعات - الزامات (این استاندارد شرایط ایجاد، اجرای و بهبود سیستم مدیریت امنیت اطلاعات را مشخص می کند و استاندارد اساسی سیستم است)
- TS ISO / IEC 27002 فناوری اطلاعات - تکنیک های امنیتی - دستورالعمل برای کنترل امنیت اطلاعات (این استاندارد دستورالعمل برای استانداردهای امنیت اطلاعات سازمانی و شیوه های مدیریت امنیت اطلاعات است، از جمله انتخاب، اجرای و مدیریت کنترل با توجه به محیط زیست خطر امنیتی اطلاعات سازمان)
- TS ISO / IEC 27003 فناوری اطلاعات - تکنیک های امنیتی - نرم افزار کاربردی سیستم مدیریت امنیت اطلاعات
- TS ISO / IEC 27004 فناوری اطلاعات - تکنیک های امنیتی - مدیریت امنیت اطلاعات - اندازه گیری
- TS ISO / IEC 27005 فناوری مورد علاقه - تکنیک های امنیتی - مدیریت ریسک امنیت اطلاعات
- TS ISO / IEC 27006 فناوری اطلاعات - تکنیک های امنیتی - الزامات سازمانی برای انجام ممیزی و صدور گواهینامه سیستم های مدیریت امنیت اطلاعات
ISO استاندارد 27001 برای کدام سازمان
برای ایجاد استاندارد ISO 27001، سازمان ها نیاز به ویژگی های خاصی ندارند. هر سازماني كه در بخش خصوصي يا بخش عمومي فعاليت ميكند، ميتواند سيستم مديريت امنيت اطلاعات ايزو 27001 را در شركتهاي خود بدون در نظر گرفتن سكتور يا اندازه كاركردهاي آن، و در صورت نياز استانداردهاي استاندارد ايزو، درخواست گواهينامه 27001 را درخواست كند.
هیچ محدودیتی در استفاده از استاندارد ایزو 27001 وجود ندارد. مهم این است که سازمان دارای اطلاعاتی است که باید محافظت شود. با این حال، هنگامی که به برنامه نگاه می کنیم، دیده می شود که بانک ها و مؤسسات مالی، موسسات بهداشتی، شرکت های داروسازی، شرکت های فعال در صنایع خودرو سازی و شیمیایی، سازمان های دولتی و موسساتی که از فن آوری های اطلاعات استفاده می کنند، بیشتر از این سیستم استفاده می کنند. حفاظت از اطلاعات در این زمینه ها مهم است.
چرا امنیت اطلاعات
سه عامل وجود دارد که باید در امنیت اطلاعات مورد توجه قرار گیرد: حصول اطمینان از حفظ اطلاعات محرمانه، حفظ یکپارچگی اطلاعات و اطمینان از دسترسی به اطلاعات.
به طور خلاصه، اطلاعات فقط باید برای افرادی که دسترسی دارند دسترسی داشته باشند. افرادی که مجاز به دسترسی به اطلاعات هستند هر زمان که به آن نیاز دارند دسترسی داشته باشند. صداقت و صحت اطلاعات ارائه شده باید تضمین شود.
با سیستم مدیریت امنیت اطلاعات ISO 27001، محرمانه بودن دارایی های اطلاعاتی محافظت می شود و اطلاعات از خراب شدن یا تغییر توسط افراد غیر مجاز جلوگیری می شود. اطلاعات دقیق و قابل اطمینان توسط افراد مجاز تنها در زمان درخواست ارائه شده است. خرابی، از دست دادن یا سوء استفاده از دارایی های اطلاعاتی توسط سیستم های مختلف کنترل جلوگیری یا حداقل می شود. تداوم کسب و کار شرکت به علت آسیب اطلاعات، قطع نشده است. در عین حال، همه کارکنان آگاهی از امنیت اطلاعات را ایجاد کرده اند.
اهداف اصلی استاندارد ISO 27001 چیست؟
مطابق با توضیحات تاکنون، اهداف اصلی استاندارد ISO 27001 را می توان به شرح زیر توضیح داد:
- شناسایی آسیب پذیری های امنیتی اطلاعات بالقوه شرکت
- به طور سیستماتیک ریسک هایی را کنترل می کند که دارایی های اطلاعات را تهدید می کنند
- شناسایی کنترل هایی برای اطمینان از امنیت دارایی های اطلاعاتی در معرض خطر
- اطمینان از اینکه کنترل های لازم انجام می شوند
- نگه داشتن خطرات احتمالی در سطوح قابل قبول
- برای اطمینان از تداوم کنترل های امنیتی اطلاعات که باید توسط شرکت انجام شود
- برای تعیین و پیاده سازی فرآیندهای مدیریت به منظور تحقق بخشیدن به تمام این مسائل
استاندارد ایزو 27001 ساختار سازمانی، سیاست ها، فعالیت ها، مسئولیت ها، دستورالعمل های اجرایی، پروسه های کسب و کار و منابع شرکتی که این سیستم را نصب کرده است را پوشش می دهد.
امروزه اطلاعات بیشتر و بیشتر دشوار شده است. با گسترش تکنولوژی اطلاعات، مشکلات امنیتی نیز رشد می کنند. این یک واقعیت است: جامعه تبدیل به یک جامعه اطلاعاتی شده است، اما راه محافظت در برابر خطرات، صرف هزینه بیشتری برای شناخت و استفاده از فن آوری های امنیتی نیست. سازمان ها و افراد باید در زمان مناسب و در جای مناسب از راه حل های و راه حل های امنیتی مناسب مطلع شوند.
برای داشتن توانایی در مورد مدیریت موثر و موفقیتآمیز امنیت اطلاعات، لازم است که مدیریت ارشد توسط کارکنان متعلق به آنها و حمایت از آنها باشد تا آگاهی را در میان کارکنان از طریق آموزش و سازمان های مختلف افزایش دهند.
برای به دست آوردن سود مورد انتظار از مطالعات امنیتی اطلاعات، لازم است که شناسایی خطرات اولویتی برای شرکت، یافتن راه حل های مناسب برای کاهش این خطرات، به درستی انجام این راه حل ها، نظارت بر برنامه های کاربردی به طور منظم و بهبود مستمر با انجام کارهای بهبود لازم. استاندارد سیستم مدیریت امنیت اطلاعات ISO 27001 ابزار مناسب برای برآوردن این انتظارات است. با این حال، مهم ترین عامل موفقیت در امنیت اطلاعات، تمایل، آگاهی و دانش است. نکته ای که باید در مطالعات امنیتی اطلاعات بدست آید این است که امنیت اطلاعات در طول زمان به یک فرهنگ سازمانی تبدیل می شود. از آنجا که ناخودآگاه، مخرب و بی دقتی کارکنان شرکت بسیار خطرناک و مضرتر از حملات انجام شده در خارج از شرکت است.
سیستم مدیریت امنیت اطلاعات 27001 یک سیستم است که باید در شرکت نگهداری شود، با تغییرات سازگار شود و برای بهبود مستمر باز شود.
سازمان ما TÜRCERT Technical Control & Certification Inc.، ISO 27001 سیستم های مدیریت صدور گواهینامه سیستم های مدیریتی، سازمان های ملی و بین المللی صدور مجوز بر اساس مجوز.