استاندارد ایزو 27001 مستلزم مدیریت موارد زیر در سازمان است :
1. ریسک های امنیتی اطلاعات: سازمان باید یک فرآیند برای شناساسس ، ارزیابی و کنترل ریسک های امنیتی اطلاعات خود داشته باشد . این فرآیند باید شامل موارد زیر باشد :
· شناساسس منابع اطلاعاتی حساس
· شناسایی تهدیدات و خطرات امنیتی
· ارزیابی میزان ریسک امنیتی
· توسعه کنترل های امنیتی برای کاهش ریسک
2. کنترل های امنیتی : سازمان باید کنترل های امنیتی مناسبی را برای محافظت از اطلاعات خود در برابر تهدیدات و خطرات امنیتی ایجاد کند. این کنترل ها می تواند شامل موارد زیر باشد :
· کنترل های فیزیکی مانند کنترل دسترسی به ساختمان ها و تجهیزات
· کنترل های فنی ، مانند کنترل دسترسی به سیستم های کامپیوتری و شبکه ها
· کنترل های مدیریتی ، مانند آموزش کارکنان در مورد امنیت اطلاعات
3. فرآیندهای امنیتی : سازمان باید فرآیندهای امنیتی مناسبی را برای مدیریت اطلاعات خود داشته باشد . این فرآیندها باید شامل موارد زیر باشد :
· فرآیند مدیریت دسترسی به اطلاعات
· فرآیند مدیریت تغییر اطلاعات
· فرآیند مدیریت حوادث امنیتی
4. آموزش و آگاهی : سازمان باید کارکنان خود را در مورد امنیت اطلاعات آموزش دهد و آگاه کند . این آموزش باید شامل موارد زیر باشد :
· نظارت بر عملکرد کنترل های امنیتی
· انجام بازرسی های امنیتی
· انجام ارزیابی های امنیتی
5. بازنگری مدیریت : سازمان باید به طور منظم سیستم مدیریت امنیت اطلاعات خود را بازنگری کند تا اطمینان حاصل کند که همچنان موثر است . این بازنگری باید شامل موارد زیر باشد :
· ارزیابی ریسک های امنیتی
· ارزیابی کنترل امنیتی
· ارزیابی فرآیندهای امنیتی
چه سازمان هایی کنترل امنیت اطلاعات را پیاده سازی میکنند ؟
سازمان های دولتی و خصوصی و غیرانتفاعی پیاده سازی میشود
در اینجا برخی از نمونه های خاص از سازمان هایی که کنترل های امنیت اطلاعات را پیاده سازی می کنند را نام میبریم :
بانک ها و موسسات مالی : اطلاعات مالی حساس را پردازش میکنند ، مانند اطلاعات حساب های بانکی اطلاعاتی ، اطلاعات کارت اعتباری ، اطلاعات سرمایه گذاری ، این سازمان ها بایدکنترل های امنیتی قوی را برای محافظت از این اطلاعات در برابر سرقت هویت و سایر تهدیدات امنیتی پیاده سازی کند .
شرکت های فناوری های اطلاعات :
شرکت های فناوری اطلاعات : اطلاعات حساسی را پردازش می کنند، مانند اطلاعات مشتریان ، اطلاعات کارکنان و اطلاعات منبع باز ، این سازمان ها باید کنترل های امنیتی مناسبی را برای محافظت از این اطلاعات در برابر حملات سایبری ، نقض داده ها و سایر تهدیدات امنیتی پیاده سازی کنند .
سازمان هایی که استاندارد ایزو 27001 را پیاده سازی و با موفقیت آن را ممیزی کرده اند ، می توانند گواهینامه ایزو 27001 دریافت کنند . این گواهینامه نشان دهنده آن است که سازمان از الزامات استاندارد ایزو 27001 پیروی می کند و امنیت اطلاعات خود را به طور موثر مدیریت می کند .
نمونه هایی از سازمان هایی که کنترل امنیت اطلاعات را پیاده سازی میکنند عبارتند از :
سازمان های دولتی : مانند وزارتخانه ها ، سازمان های دولتی و نظامی
شرکت های خصوصی : مانند بانک ها ، شرکت های فناوری اطلاعات و شرکت های تولیدی
سازمان های غیر انتفاعی : مانند سازمان های خیریه ، سازمان های غیر دولتی و اتحادیه ها
افراد مستقل : مانند مشاغل کوچک ، کار آفرین ها و فریلنسرها
ایزو 27001 چه تغییراتی از سال 2005 تا اکنون داشته است ؟
این استاندارد برای اولین بار در سال 2005 منتشر شد و تا کنون چهار بار مورد بازبینی قرار گرفته است . آخرین نسخه این استاندارد در سال 2022 منتشر شد .
مهمترین تغییراتی که در استاندارد ایزو 27001 از سال 2005 تا کنون ایجاد شده است عبارتند از :
· نسخه 2005 : این نسخه اولین نسخه استاندارد ایزو 27001 بود . در این نسخه ، تمرکز اصلی بر کنترل های امنیتی بود .
· نسخه 2008 : در این نسخه ، الزامات مربوط به مدیریت ریسک و آموزش و آگاهی تقویت شد .
· نسخه 2013 : در این نسخه ، تمرکز بیشتر بر مدیریت مستمر سیستم مدیریت امنیت اطلاعات قرار گرفت
· نسخه 2017 : در این نسخه ، استاندارد ایزو 27001 با سایر استانداردهای بین المللی همگام سازی شد .
· نسخه 2022 : در این نسخه ، الزامات مربوط به مدیریت ریسک ، آموزش و آگاهی و مدیریت مستمر سیستم مدیریت امنیت اطلاعات مجددا تقویت شد . همچنین تغییراتی در ساختار و محتوای استاندارد ایزو 27001 ایجاد شد تا این استاندارد برای سازمان های کوچک و متوسط نیز قابل استفاده تر باشد .
مراحل صدور گواهینامه ایزو 27001 :
1- بررسی اولیه
در این مرحله ، سازمان باید وضعیت فعلی خود را در زمینه امنیت اطلاعات ارزیابی کند . این ارزیابی می تواند شامل موارد زیر باشد :
· شناسایی ریسک های امنیتی
· بررسی وضعیت کنترل های امنیتی
· بررسی الزامات استاندارد ایزو 27001
2- برنامه ریزی
در این مرحله ، سازمان باید برنامه ای برای پیاده سازی استاندارد ایزو 27001 تدوین کند . این برنامه باید شامل موارد زیر باشد :
· اهداف و الزامات
· منابع مورد نیاز
· جدول زمانی
3- پیاده سازی
در این مرحله ، سازمان باید اقدامات لازم برای پیاده سازی استاندارد ایزو 27001 را انجام دهد ، این اقدامات می توانند شامل موارد زیر باشند :
· ایجاد سیاست ها و رویه های امنیتی
· ایجاد کنترل های امنیتی
· آموزش و آگاهی کارکنان
4- اجرای آزمایش
در این مرحله ، سازمان باید سیستم مدیریت امنیت اطلاعات خود را به صورت آزمایشی اجرا کند تا از عملکرد صحیح آن اطمینان حاصل کند .
5- ممیزی داخلی
در این مرحله ، سازمان باید سیستم مدیریت امنیت اطلاعات خود را توسط یک تیم داخلی مورد ممیزی قرار دهد . این ممیزی به سازمان کمک میکند تا از انطباق خود با الزامات استاندارد ایزو 27001 اطمینان حاصل کند .
6- درخواست ممیزی خارجی
در این مرحله ، سازمان باید درخواست ممیزی خارجی را به یک سازمان صدور گواهینامه ایزو ارسال کند .
7- درخواست ممیزی خارجی
در این مرحله سازمان باید درخواست ممیزی خارجی را به یک سازمان صدور گواهینامه ارسال کند .
8- ممیزی خارجی
در این مرحله ، یک تیم ممیزی خارجی از سازمان بازدید می کند تا از انطباق آن با الزامات استاندارد ایزو 27001 اطمینان حاصل کند .
9- صدور گواهینامه
اگر سازمان در ممیزی خارجی موفق شود ، سازمان صدور گواهینامه ایزو 27001 را به سازمان اعطا می کند .
هزینه صدور گواهینامه ایزو 27001 : هزینه صدور این گواهینامه به عوامل مختلفی مانند اندازه سازمان ، پیچیدگی سیستم مدیریت امنیت اطلاعات و میزان انطباق سازمان با الزامات استاندارد ایزو 27001 بستگی دارد . به طور کلی هزینه این فرآیند می تواند از چند هزار دلار تا چند ده هزار دلار متغیر باشد .