استاندارد ISO IEC 27001 - مديريت امنيت اطلاعات
- بوسیله: مدير سايت
- دسته: معرفي استانداردها
- تاریخ:
- بازدید: 8308
ISO27002 ISO/IEC17799:2000 استاندارد ISO / IEC 27001 استاندارد BS 7799 استاندارد ISO / IEC 27001 مديريت امنيت اطلاعات
استاندارد ISO / IEC 27001 : مديريت امنيت اطلاعات
استاندارد ISO/IEC 27001 را در اين مطلب تشرح مي نماييم . در حال حاضر، وضعيت امنيت فضاي تبادل کشور، به ويژه در حوزه دستگاه هاي دولتي و خصوصي ، در سطح نامطلوبي قرار دارد. از جمله دلايل اصلي وضعيت موجود، مي توان به فقدان زيرساخت هاي فني و اجرائي امنيت و عدم انجام اقدامات موثر در خصوص ايمن سازي فضاي تبادل اطلاعات اين دستگاه ها اشاره نمود.
بخش قابل توجهي از وضعيت نامطلوب امنيت اطلاعات به واسطه فقدان زير ساخت هايي از قبيل نظام ارزيابي امنيتي فضاي تبادل اطلاعات ، نظام صدور گواهي و زير ساختار کليد عمومي ، نظام تحليل و مديريت مخاطرات امنيتي ، نظام پيشگيري و مقابله با حوادث فضاي تبادل اطلاعات ، نظام مقابله با جرائم فضاي تبادل اطلاعات و ساير زيرساخت هاي امنيت فضاي تبادل اطلاعات در کشور مي باشد.
از سوي ديگر وجود زير ساخت هاي قوي ، قطعا تاثير بسزايي در ايمن سازي فضاي تبادل اطلاعات دستگاه هاي دولتي خواهد داشت.
صرف نظر از دلايل فوق ، نا بساماني موجود در وضعيت امنيت فضاي تبادل اطلاعات دستگاه هاي دولتي از يکسو موجب بروز اخلال در عملکرد صحيح دستگاه ها شده و کاهش اعتبار اين دستگاه ها را در پي خواهد داشت. و از سوي ديگر موجب اتلاف سرمايه ها ي ملي خواهد شد. لذا همزمان با تدوين سند راهبردي امنيت فضاي تبادل اطلاعات (افتا) کشور، توجه به مقوله ايمن سازي فضاي تبادل اطلاعات دستگاه هاي دولتي ، ضروري ، نقش موثرتري در فرايند تدوين سند راهبردي امنيت فضاي تبادل اطلاعات کشور خواهد داشت.
با ارائه اولين استاندارد مديريت امنيت اطلاعات در سال 1995 نگرش سيستماتيک به مقوله امنيت اطلاعات شکل گرفت .براساس اين نگرش تامين امنيت اطلاعات در يک مجموعه سازماني ،دفعتا مقدور نمي باشد و لازم است امر به صورت مداوم در يک چرخه ايمن سازي شامل مراحل :
1- طراحي 2- پياده سازي 3- ارزيابي 4- اصلاح انجام گيرد براي اين منظور لازم است هر سازمان بر اساس يک متدلوژي مشخص ، ضمن تهيه طرح ها و برنامه هاي امنيتي مورد نياز ، تشکيلات لازم جهت ايجاد و تداوم امنيت اطلاعات خود را نيز ايجاد نمايد.
موسسه بين المللي استاندارد (ISO) در سال 2000 بخش اول استاندارد BS 7799 را تحت عنوانISO/IEC17799:2000 و سپس در قالب ISO27002 منتشر نمود. بخش دومBS 7799 نيزتوسط موسسه بين المللي استاندارد(ISO) در قالب ISO 27001ارائه شد.
طريقه عملکرد استاندارد
بسياري از سازمانها يک سري کنترلهاي امنيت اطلاعات براي خود تعيين ميکنند. با اين حال، بدون سيستم مديريت امنيت اطلاعات (ISMS)، کنترل حدودي بي ساماني و عدم يکپارچگي ميانجامد. اين سيستم را ميتوان به صورت راه حلهاي نقطهاي (براي شرايط خاص) و يا به طور سرتاسري مثل قانون (کنوانسيون) پياده سازي کرد. به طور معمول کنترلهاي امنيتي در عمل جنبههاي خاصي از امنيت IT و/يا دادهها را هدف قرار ميدهد؛ و اطلاعات و جنبههاي غير IT (مانند کارهاي اداري و اطلاعات خصوصي شرکت) کمتر محافظت ميشوند. علاوه بر اين، برنامه ريزي کسب و کار و حفاظت فيزيکي کاملاً به طور مستقل از IT و/يا امنيت اطلاعات اداره ميشود، در حالي که معمولاً در سازمان، مرجعي که نياز به تعريف و اختصاص دادن امنيت اطلاعات در نقشها و مسئوليتهاي منابع انساني داشته باشد وجود ندارد.
ISO/IEC 27001 مستلزم مديريت موارد زير است:
بررسي سيستماتيک خطرات امنيتي اطلاعات سازمان، با در نظر گرفتن تهديدها، آسيب پذيريها، و اثرات و عواقب؛
طراحي و پياده سازي يک مجموعه منسجم و جامع از کنترل امنيت اطلاعات و/يا ديگر اشکال مقابله با خطر (مانند پيشگيري ازخطرات يا انتقال ريسک؛ بيمه) براي هدف قرار دادن آن دسته از خطراتي که اجتناب ناپذير تلقي ميشوند؛
انطباق يک پروسه مديريت فراگير به سازمان از تداوم کنترلهاي امنيتي اطمينان حاصل شود. تا گسترش و پيشروي سازمان به جلو، هميشه نيازهاي امنيتي اطلاعات سازمان رفع شود.
در حالي که ممکن است به غير از (يا به جاي) ISO/IEC 27002 (کد از تمرين براي مديريت امنيت اطلاعات) مجموعه ديگري از کنترلهاي امنيت اطلاعات به طور بالقوه تحت لواي ISO/IEC 27001 ISMS به کار گرفته شوند، ولي معمولاً اين دو استاندارد در کنار هم استفاده ميشود. ضميمه A در ISO/IEC 27001 فهرستي خلاصه از کنترلهاي امنيتي اطلاعات موجود در ISO/IEC 27002را بيان ميکند. اين در حالي است که ISO/IEC 27002 اطلاعات بيشتر و راهنماييهاي پياده سازي را فراهم ميکند.
سازمانهايي که مجموعهاي از کنترلهاي امنيت اطلاعات را مطابق با ISO/IEC 27002 پياده سازي کردهاند، به احتمال زياد، همزمان تمايل به اجراي بسياري از الزامات ISO/IEC 27001 را دارند. اما ممکن است برخي از المانهاي سيستم مديريت فراگير را اجرا نکرده باشند. برعکس اين قضيه نيز درست است، به عبارت ديگر، يک گواهي تضمين مطابق با ISO/IEC 27001 اطمينان ميدهد که پياده سازي سيستم مديريت در زمينه امنيت اطلاعات تضمين شدهاست. ولي در مورد وضعيت مطلق امنيت اطلاعات در درون سازمان اطلاعات کمي را در اختيار ما قرار ميدهد. کنترلهاي امنتي تکنيکي، مثل ضدويروسها و ديوارهاي آتش، به طور عادي در ISO/IEC 27001 مورد بحث نيستند: در اين استاندارد پيشفرض آن است که سازمان همه کنترلهاي امنيتي لازم براي ISMS را به طور کلي در در حال اجرا دارد و تنها برآورده کردن الزامات ISO/IEC 27001 باقي ماندهاست. به علاوه، اين سيستم مديريت، حوزههايي از ISMS را که جهت صدور گواهينامه (که ممکن است آن را به يک واحد کسب و کار نيز محدود کند) لازم هستند را مشخص ميکند. گواهي ISO/IEC 27001 لزوما به معناي آن نيست که قسمتهايي از سازمان که در خارج از حوزه گواهينامه هستند، نيز رويکرد کافي براي مديريت امنيت اطلاعات را دارا هستند.
استانداردهاي ديگر خانواده ISO/IEC 27000 به ارائه راهنماييهاي اضافي در جنبههاي خاصي از طراحي، پياده سازي و اجراي ISMS (براي مثال خطر در مديريت امنيت اطلاعات ISO/IEC 27005) ميپردازند.
تعدادي از ثبت کنندههاي معتبر جهاني ميتوانند براي يک ISMS گواهي انطباق با استاندارد ISO/IEC 27001 را صادر کنند. دريافت هر نوع از نسخههاي ملي شده (در کشورهاي مختلف) استاندارد????? (مثل نسخه ژاپني آن؛ يعني JIS Q 27001) توسط ثبت کنندههاي معتبر جهاني، با دريافت استاندارد ISO/IEC 27001 معادل است. در برخي کشورها، آن دسته از شخصيتهاي حقوقي که انطباق سيستم مديريت با با استانداردهاي خاص ارزيابي ميکنند، ”گواهي دهنده“ اتلاق ميشود، در حالي که در برخي ديگر از کشورها ”ثبت کننده“ يا عناوين ديگر اتلاق ميشود. گواهي ISO/IEC 27001 مثل ديگر گواهيهاي سيستم مديريت ISO معمولاً شامل وارسي خارجي سه مرحلهاي است:
مرحله ?: مرور مقدماتي و تهيه گزارش ISMS است. مثلاً بررسي وجود و کامل بودن اسناد و مدارک کليدي، مثل سياست امنيتي اطلاعات سازمان، منشور کاربرديات (SoA) و برنامه رفع خطر (RTP). هدف اين مرحله شناساندن افراد با سازمان و برعکس است.
مرحله ?: يک مميزي انطباق دقيق تر و رسمي تر است که به طور مستقل ISMS را بر اساس الزامات مشخص شده در ISO/IEC 27001 بررسي ميکند. حسابرسان به دنبال شواهدي براي تاييد طراحي و پياده سازي و بهره برداري صحيح سيستم مديريت هستند (مثلاً تاييد اين که ”کميته امنيت“و يا يک شخصيت حقوقي مشابه، به طور منظم براي نظارت بر ISMS سيستم را بازبيني ميکند). گذراندن اين مرحله نشان دهنده سازگاري ISMS با گواهي با ISO/IEC 27001 است.
مرحله ?: شامل بازرسي يا مميزيهاي متعاقب به منظور تائيد ادامه سازگاري و انطباق سازمان با استاندارد است. نگهداري گواهينامه نيازمند مميزيهاي دورهاي براي تائيد ادامه فعاليت ISMS بر اساس مشخصهها و اشارات استاندارد است. اين عمل بايد حداقل يالي ? مرتبه انجام انجام شود، ولي (با تفاوق طرفين) ميتواند به دفعات بيشتر نيز انجام شود؛ خصوصاً در زماني که ISMS هنوز در پياده سازي استاندارد به تکامل نرسيدهاست.
خط تولید ، خدمات فنی و مهندسی ،کارخانه تولید ،خط تولید لوله پنج لایه pex،خط تولید لوله پکس ،محصولات پلیمری ،صنعت پلیمر ، محصولات لاستیک و پلاستیک ، ماشین آلات تولید ،راه اندازی کارخانه ، نصب و راه اندازی خط تولید ، مشاوره صنعتی ، مشاوره تولیدی ،سرمایه گذاری صنعتی و تولیدی ، طرح توجیهی ، پروژه صنعتی ، سازنده خط تولید ،سازنده ماشین آلات ،اکسترود تولید ،سازنده اکسترودر تولید ،اکستروژن ،سازنده_دستگاه تولید لوله پنج لایه ،پلیمر ،تکنولوژی تولید ،فرآیند تولید ،تجهیزات صنعتی،
خط توليد پروفيل در و پنجره upvc، خط توليد داکت برق، خط توليد پنل ديوارپوش ، پانل ديواري و سقف کاذب pvc، خط توليد لوله پليکا PVC، خط توليد لوله تک لايه PEX ،خط توليد لوله پنج لايه کامپوزيت آلومينيوم و پکس PEX AL PEX، خط توليد لوله يک لايه وچند لايه پلي اتيلن و پلي پروپيلن و پکس PP,PE,PEX، دستگاه لمينيت پانل، دستگاه هات استمپ پانل PVc خط UV ، هاي لايت يا براق پانل
,p production line FIVE LAYER PIPE ,PEX FIVE LAYER PIPE ,PIPING_PEX ,TUBE PEX ,PEX piping, ,PEX_AL_PEX ,PEX PIPE ,PEX_TUBE,production line ,PRODUCTION LINE POLYMER ,Trading Company, ,Production plan ,Industrial design ,Production Project ,Industrial project ,Technical Services ,Engineering services ,production technology ,Production Process ,Industrial equipment ,Machinery, ,Machine ,Setup Factory ,Installation production line Industry,Extrude,extrusion ,Industrial, ,Manufacturer production line, Manufacturer machines and machinery, #pex_pipe_production_line,
,Pex pipe machinery, Pex pipe machine, FIVE LAYER PIPE , ، PIPE PEX-AL-PEX ، pex five layer pipe production line, pex piping production machine pex pipe، pex tube machinery، PEX tubing، PIPE MANUFACTURE pex-al-pex-pipe-five-layer-production-line-machinery-machine- piping-tubing-tube-ManufacturerEX-AL-PEX PIPE production machine|pex five layer pipe production line| piping machinery| tube tube|PEX tubing| tubing MANUFACTURE FIVE LAYER PIPE , , PERT ، PIPE PEX-AL-PEX ،pex pipe , pex five layer pipe production line, pex pipe production line pex، pex piping ، pex pipe mashinery، PEX PIPE MACHINE،PEX AL PEX PIPE
خط توليد لوله پنج لايه و تک لایه آلومینیوم و پکس pex ، ماشین آلات توليد لوله پنج لایه و تک لایه پکس PEX ، دستگاه تولید لوله هاي پنج لايه ، کارخانه تولید لوله پنج لایه PEX ، خط تولید لوله تک لایه PEX , PERT خط-تولید-دستگاه-لوله-پنج-لایه-پکس-آلومینیومخط توليد لوله پنج لايه و تک لایه کامپوزیت آلومینیوم و پکس pex ، ماشین آلات توليد لوله پنج لایه و تک لایه پکس PEX ، دستگاه تولید لوله هاي پنج لايه ، کارخانه تولید لوله پلي اتيلن PEX ،