نوشته‌ها

مجوز ISO27001

ایزو ۲۷۰۰۱

ISO 27001 یک استاندارد بین المللی شناخته شده است که الزامات سیستم مدیریت امنیت اطلاعات (ISMS)  را تعیین می‌کند. این الزامات دستورالعمل‌هایی را در مورد نحوه طراحی، مدیریت و بهبود ISMS ارائه می‌دهد. استاندارد در سال ۲۰۱۳ بازنگری شده و در حال حاضر با عنوان ISO/ IEC 27001: 2013 شناخته می‌شود و به سازمان‎ها در راستای محافظت از اطلاعات مالی، مالکیت معنوی و اطلاعات حساس مشتریان کمک می‌نماید.

گواهینامه ISO 27001 مبین این موضوع است که یک سیستم مدیریت امنیت اطلاعات طبق یک استاندارد، اجرا و تایید گردیده است. این گواهینامه که توسط یک مرجع ثبت و صدور گواهینامه شخص ثالث صادر می‌شود، بیانگر این است که سازمان پیش‌بینی‌های لازم جهت حفاظت از اطلاعات حساس در برابر دسترسی‌ها و تغییرات غیر مجاز را مبذول نموده است.

حوزه های استاندارد ISO/IEC 27001:2013

  • خط‌مشی‌ امنیت اطلاعات
  • ساختار امنیت اطلاعات
  • امنیت منابع انسانی
  • مدیریت دارایی
  • کنترل دسترسی
  • رمزنگاری
  • امنیت فیزیکی و پیرامونی
  • امنیت عملیات
  • امنیت ارتباطات
  • اکتساب، توسعه و نگهداشت سیستم
  • روابط با تامین‌کنندگان
  • مدیریت حوادث امنیت اطلاعات
  • جنبه‌های امنیت اطلاعات در مدیریت تداوم کسب و کار
  • انطباق

مزایای اصلی ISO27001

ISO27001 یک سیستم مدیریت امنیت اطلاعات و استاندارد حسابرسی است. هدف این استاندارد کمک به ایجاد و حفظ یک سیستم مدیریت امنیت اطلاعات موثر با تعهد به بهبود مستمر است. مزایای بالقوه دستیابی به انطباق با ISO27001 عبارتند از:

۱٫ امکان تبادل امن اطلاعات را فراهم می‌نماید.

  • این استاندارد به شما کمک می‌کند تهدیدهای امنیت اطلاعات خود را شناسایی کرده و برنامه‌هایی برای رفع آن‌ها ایجاد کنید.

۲٫ مسئولیت امنیت اطلاعات را بر عهده همه می‌گذارد

  • هنگامی که ISO 27001 را در شرکت خود پیاده‌سازی می‌کنید، در بین کارمندان آگاهی ایجاد می‌کنید و آموزش امنیت اطلاعات را ارائه می‌دهید تا به آن‌ها اجازه دهد بدون توجه به نقش آن‌ها در سازمان، در مورد امنیت اطلاعات پاسخگو باشند.
  • در نهایت، حفاظت از داده‌ها به فرهنگ سازمان راه پیدا می‌کند و به نوعی روند امنیت اطلاعات را به گونه‌ای ساده می‌کند که همه آن را درک می‌کنند و برای دستیابی به آن تلاش می‌کنند.

۳٫ یک مزیت رقابتی به ارمغان می‌آورد و باعث افزایش اعتبار و شهرت سازمان می‌شود

  • به راحتی می‌توان گفت که همه مشتریان یا شرکای سازمان، که داده‌های ارزشمند خود را با شما به اشتراک می‌گذارند، کاملاً از اهمیت امنیت اطلاعات آگاهی دارند و انتظار دارند این اهم مورد توجه سازمان نیز باشد.
  • داشتن گواهینامه برای یک استاندارد امنیت اطلاعات مانند ISO 27001 یک روش قوی برای اثبات این است که شما به دارایی شرکای خود و مشتری خود نیز اهمیت می‌دهید. که این گواهینامه این اعتماد را مابین شما و مشتریان  یا شرکا ایجاد می‌نماید، و شهرت مثبتی برای شما ایجاد و شما را از رقبای خود متمایز می‌کند.

۴- از تعهدات قانونی یا شخص ثالث برخوردار است

  • احتمالاً این چنین است که گاهی اوقات توسط مشتری، شخص ثالث یا قانون از شما خواسته می‌شود تا توانایی سازمان خود را در امنیت اطلاعات نشان دهید. در شرایطی از این دست، ISO 27001 می‌تواند یک انتخاب عالی باشد. این استاندارد توسط بسیاری از سازمان‌ها در سراسر جهان به رسمیت شناخته شده و مورد استفاده قرار گرفته است و شما می‌توانید با استفاده از دستورالعمل‌های واضح و عملی آن، وثاقت خود را در مورد امنیت اطلاعات و داده‌ها به اثبات برسانید.

۵٫ امکان دست پیدا کردن به بازده سرمایه‌گذاری را فراهم می‌نماید.

  • با اجرای این استاندارد، حداقل از دو طریق می‌توانید به بازده سرمایه رسید. یک راه از طریق ارزش بازاریابی است، زیرا این گواهینامه می‌تواند مشتریان بالقوه را به خود جلب کند
  • دوم، ISO 27001 به شما کمک می‌کند از اثرات نامطلوب خطراتی که در غیر این صورت می‌تواند به شدت بر اعتبار سازمان شما تأثیر بگذارد، جلوگیری کند، تا منجر به مجازات‌های مالی و مسائل حقوقی مرتبط نشوید.

برخی دیگر از مزایای ISO/IEC 27001:2013

  • سازگاری سازمان با الزامات قانونی، نظارتی و قانونی؛
  • افزایش کارایی کلی سازمانی و کارایی عملیاتی؛
  • به حداقل رساندن خطرات داخلی و خارجی برای تداوم کسب و کار؛
  • کاهش هزینه‌های سازمان در دراز مدت
  • محدود شدن نقض امنیت و حریم خصوصی به طور قابل توجه
  • ارائه فرآیندی برای امنیت اطلاعات و حاکمیت شرکتی.
  • افزایش اعتماد سهامداران به دلیل شهرت زیاد استاندارد و مزیت رقابتی

روش اخذ گواهی

گواهینامه ISO 27001 توسط نهادهای ذی صلاح صادر می‌گردد، متقاضیان جهت اخذ گواهینامه ISO 27001 می‌بایست اقدام به پیاده‌سازی الزامات استاندارد ISO 27001 نمایند. این امر می تواند با مشاوره گرفتن در زمینه پیاده‌سازی سیستم مدیریت امنیت اطلاعات امکان پذیر می‌باشد. پس از اجرا و پیاده‌سازی ISMS، سازمانی که کلیه الزامات استانداردهای ISO 27001 را برآورده نموده است، می تواند با مراجعه به یک نهاد صدور گواهینامه، برای صدور گواهی اقدام نماید.

پس از ارائه درخواست ممیزی، فرآیند ممیزی سازمان توسط نهاد ذی صلاح آغاز می گردد و در صورت موفقیت آمیز بودن ممیزی، این نهاد، گواهی ISO 27001 را صادر می نماید. مدت زمان اعتبار گواهینامه ISO 27001 سه ساله بوده که می‌بایست سالیانه ممیزی مراقبتی صورت پذیرد. سپس توسط مرجع صدور گواهینامه تمدید گردد.

تدوین: بهنوش سعیدی