نوشته‌ها

مجوز ISO27001

/در /توسط

ایزو ۲۷۰۰۱

ISO 27001 یک استاندارد بین المللی شناخته شده است که الزامات سیستم مدیریت امنیت اطلاعات (ISMS)  را تعیین می‌کند. این الزامات دستورالعمل‌هایی را در مورد نحوه طراحی، مدیریت و بهبود ISMS ارائه می‌دهد. استاندارد در سال ۲۰۱۳ بازنگری شده و در حال حاضر با عنوان ISO/ IEC 27001: 2013 شناخته می‌شود و به سازمان‎ها در راستای محافظت از اطلاعات مالی، مالکیت معنوی و اطلاعات حساس مشتریان کمک می‌نماید.

گواهینامه ISO 27001 مبین این موضوع است که یک سیستم مدیریت امنیت اطلاعات طبق یک استاندارد، اجرا و تایید گردیده است. این گواهینامه که توسط یک مرجع ثبت و صدور گواهینامه شخص ثالث صادر می‌شود، بیانگر این است که سازمان پیش‌بینی‌های لازم جهت حفاظت از اطلاعات حساس در برابر دسترسی‌ها و تغییرات غیر مجاز را مبذول نموده است.

حوزه های استاندارد ISO/IEC 27001:2013

  • خط‌مشی‌ امنیت اطلاعات
  • ساختار امنیت اطلاعات
  • امنیت منابع انسانی
  • مدیریت دارایی
  • کنترل دسترسی
  • رمزنگاری
  • امنیت فیزیکی و پیرامونی
  • امنیت عملیات
  • امنیت ارتباطات
  • اکتساب، توسعه و نگهداشت سیستم
  • روابط با تامین‌کنندگان
  • مدیریت حوادث امنیت اطلاعات
  • جنبه‌های امنیت اطلاعات در مدیریت تداوم کسب و کار
  • انطباق

مزایای اصلی ISO27001

ISO27001 یک سیستم مدیریت امنیت اطلاعات و استاندارد حسابرسی است. هدف این استاندارد کمک به ایجاد و حفظ یک سیستم مدیریت امنیت اطلاعات موثر با تعهد به بهبود مستمر است. مزایای بالقوه دستیابی به انطباق با ISO27001 عبارتند از:

۱٫ امکان تبادل امن اطلاعات را فراهم می‌نماید.

  • این استاندارد به شما کمک می‌کند تهدیدهای امنیت اطلاعات خود را شناسایی کرده و برنامه‌هایی برای رفع آن‌ها ایجاد کنید.

۲٫ مسئولیت امنیت اطلاعات را بر عهده همه می‌گذارد

  • هنگامی که ISO 27001 را در شرکت خود پیاده‌سازی می‌کنید، در بین کارمندان آگاهی ایجاد می‌کنید و آموزش امنیت اطلاعات را ارائه می‌دهید تا به آن‌ها اجازه دهد بدون توجه به نقش آن‌ها در سازمان، در مورد امنیت اطلاعات پاسخگو باشند.
  • در نهایت، حفاظت از داده‌ها به فرهنگ سازمان راه پیدا می‌کند و به نوعی روند امنیت اطلاعات را به گونه‌ای ساده می‌کند که همه آن را درک می‌کنند و برای دستیابی به آن تلاش می‌کنند.

۳٫ یک مزیت رقابتی به ارمغان می‌آورد و باعث افزایش اعتبار و شهرت سازمان می‌شود

  • به راحتی می‌توان گفت که همه مشتریان یا شرکای سازمان، که داده‌های ارزشمند خود را با شما به اشتراک می‌گذارند، کاملاً از اهمیت امنیت اطلاعات آگاهی دارند و انتظار دارند این اهم مورد توجه سازمان نیز باشد.
  • داشتن گواهینامه برای یک استاندارد امنیت اطلاعات مانند ISO 27001 یک روش قوی برای اثبات این است که شما به دارایی شرکای خود و مشتری خود نیز اهمیت می‌دهید. که این گواهینامه این اعتماد را مابین شما و مشتریان  یا شرکا ایجاد می‌نماید، و شهرت مثبتی برای شما ایجاد و شما را از رقبای خود متمایز می‌کند.

۴- از تعهدات قانونی یا شخص ثالث برخوردار است

  • احتمالاً این چنین است که گاهی اوقات توسط مشتری، شخص ثالث یا قانون از شما خواسته می‌شود تا توانایی سازمان خود را در امنیت اطلاعات نشان دهید. در شرایطی از این دست، ISO 27001 می‌تواند یک انتخاب عالی باشد. این استاندارد توسط بسیاری از سازمان‌ها در سراسر جهان به رسمیت شناخته شده و مورد استفاده قرار گرفته است و شما می‌توانید با استفاده از دستورالعمل‌های واضح و عملی آن، وثاقت خود را در مورد امنیت اطلاعات و داده‌ها به اثبات برسانید.

۵٫ امکان دست پیدا کردن به بازده سرمایه‌گذاری را فراهم می‌نماید.

  • با اجرای این استاندارد، حداقل از دو طریق می‌توانید به بازده سرمایه رسید. یک راه از طریق ارزش بازاریابی است، زیرا این گواهینامه می‌تواند مشتریان بالقوه را به خود جلب کند
  • دوم، ISO 27001 به شما کمک می‌کند از اثرات نامطلوب خطراتی که در غیر این صورت می‌تواند به شدت بر اعتبار سازمان شما تأثیر بگذارد، جلوگیری کند، تا منجر به مجازات‌های مالی و مسائل حقوقی مرتبط نشوید.

برخی دیگر از مزایای ISO/IEC 27001:2013

  • سازگاری سازمان با الزامات قانونی، نظارتی و قانونی؛
  • افزایش کارایی کلی سازمانی و کارایی عملیاتی؛
  • به حداقل رساندن خطرات داخلی و خارجی برای تداوم کسب و کار؛
  • کاهش هزینه‌های سازمان در دراز مدت
  • محدود شدن نقض امنیت و حریم خصوصی به طور قابل توجه
  • ارائه فرآیندی برای امنیت اطلاعات و حاکمیت شرکتی.
  • افزایش اعتماد سهامداران به دلیل شهرت زیاد استاندارد و مزیت رقابتی

روش اخذ گواهی

گواهینامه ISO 27001 توسط نهادهای ذی صلاح صادر می‌گردد، متقاضیان جهت اخذ گواهینامه ISO 27001 می‌بایست اقدام به پیاده‌سازی الزامات استاندارد ISO 27001 نمایند. این امر می تواند با مشاوره گرفتن در زمینه پیاده‌سازی سیستم مدیریت امنیت اطلاعات امکان پذیر می‌باشد. پس از اجرا و پیاده‌سازی ISMS، سازمانی که کلیه الزامات استانداردهای ISO 27001 را برآورده نموده است، می تواند با مراجعه به یک نهاد صدور گواهینامه، برای صدور گواهی اقدام نماید.

پس از ارائه درخواست ممیزی، فرآیند ممیزی سازمان توسط نهاد ذی صلاح آغاز می گردد و در صورت موفقیت آمیز بودن ممیزی، این نهاد، گواهی ISO 27001 را صادر می نماید. مدت زمان اعتبار گواهینامه ISO 27001 سه ساله بوده که می‌بایست سالیانه ممیزی مراقبتی صورت پذیرد. سپس توسط مرجع صدور گواهینامه تمدید گردد.

تدوین: بهنوش سعیدی

برنامه تداوم کسب و کار در امنیت اطلاعات

/در /توسط

سازمان ها در برابر موارد اضطراری، بلایا و خطرات طبیعی یا ایجاد شده توسط انسان آسیب پذیر هستند. با درک اینکه نمی ‏توان از همه حوادث جلوگیری به عمل آورد و ممکن است برخی خطرات قابل پذیرش تشخیص داده شود، برنامه ‏ریزی مناسب جهت نگهداری یا بازیابی سرویس‏ ها هنگامی که یک اتفاق غیر منتظره یا غیر قابل اجتناب باعث اختلال در عملکرد عادی می شود، ضروری است.

برنامه ریزی تداوم کسب و کار شامل شناسایی آسیب‏ پذیری‏ها، اولویت‏ها، وابستگی‏ها و اقدامات برای توسعه برنامه‏ها جهت تسهیل تداوم و بهبودی قبل، حین و بعد از چنین اختلالی است.

برنامه‏های جامع تداوم کسب و کار برای اطمینان از تداوم عملیات در شرایط غیر عادی طراحی و اجرا می شوند. این برنامه‏ها آمادگی سازمان‏ها را برای بهبود سریع در مواجهه با حوادث یا شرایط ناگوار افزایش می دهد و تأثیر چنین شرایطی را به حداقل می رساند، همچنین  ابزاری را برای تسهیل عملکرد در حین و پس از موارد اضطراری فراهم می‏نماید.

روند توسعه معمولاً بر اساس یک چارچوب واحد انجام می شود و افراد کلیدی را در مناطق عملکردی درگیر می‏نماید. برنامه‎ها بر اساس ارزیابی ریسک و تجزیه و تحلیل تأثیرات کسب و کاری است و شامل فرایندی برای نگهداری منظم، از جمله آموزش، آزمایش/ تمرین و به روزرسانی است. علاوه بر این، امنیت اطلاعات و حریم خصوصی باید در برنامه‎ها ادغام شود. موارد زیر نمونه‏هایی از حوادثی که برنامه‏های تداوم تجارت را فعال می‎کند است:

  • سیل، آتش‏سوزی گسترده، کولاک، گردباد، طوفان، سونامی، زمین لرزه، بیماری‏های همه‏گیر، قطعی برق برای مدت زمان طولانی، طوفان‏های یخی یا گل و لای که منجر به تخلیه و غیرقابل دسترس بودن منابع مهم می شود.
  • فعالیت جنایی یا حادثه تروریستی ممکن است برای مدت زمان طولانی بر یک منطقه جغرافیایی گسترده تأثیر بگذارد.
  • یک حادثه همه‏گیر، هسته‏ای، شیمیایی یا بیولوژیکی ممکن است تحرک و دسترسی افراد را برای مدت زمان طولانی محدود کند.
  • حملات سایبری که می توانند منجر به ازبین رفتن اطلاعات، نشت اطلاعات، از دسترس خارج شدن سرویس و خدشه دارشدن اعتبار فرد و سازمان می‌شوند.
  • اتفاقات ناگزیر مربوط به فناوری اطلاعات مثل از بین رفتن تجهیزات ذخیره سازی که منجر به از دست رفتن اطلاعات سازمان می گردد.

برای شروع تدوین برنامه تداوم کسب و کار از مراحل زیر استفاده کنید.

۱٫ از رهبری سازمان تعهد و اقتدار بگیرید. پشتیبانی سطح بالا برای ساخت تیم‏های متقابل کاربردی که برای تهیه و استقرار برنامه مورد نیاز است، ضروری است.

۲٫ یک تیم برنامه‏ریزی برای هر واحد تجاری ایجاد کنید.

۳- ارزیابی ریسک را در هر واحد انجام دهید.

۴٫ منابع حیاتی را شناسایی کنید:

الف. افراد- کلیه کارکنان پشتیبانی را شناسایی کرده و یک زنجیره جانشینی را برای پرسنل اصلی ایجاد کنید.

ب. اماکن– ساختمان‏های کلیدی را شناسایی کرده و مکان‏های دیگری را برای کارگران و تجهیزات برنامه‏ریزی کنید.

ج. سیستم‏ها- برای اولویت‏بندی سیستم‏ها از نظر اهمیت، تجزیه و تحلیل تأثیر تجاری را انجام دهید.

د. سایر- سایر دارایی‏های مهم مورد نیاز برای فعالیت‏های عادی تجاری را شناسایی کنید.

۵- استراتژی‏های تداوم و بازیابی را در هر واحد تعیین کنید.

۶٫ به دانشجویان، اساتید و کارمندان آموزش دهید که در صورت بروز یک فاجعه چه کاری انجام دهند.

۷٫ تست، مانور، (آزمایش روش‏های بازیابی سیستم) انجام دهید و سناریوها را ایجاد کنید و آن‏ها را با تمرینات شبیه‏سازی کنید.

۸- یک برنامه ارتباطی ایجاد کنید.

۹٫ برنامه تداوم تجارت را سالانه مرور کنید.

یک سازمان کاملاً آماده باید طرحی تهیه کند که کلیه خدمات کلیدی و مدیریت، تحویل و پشتیبانی آن‏ها را مورد رسیدگی قرار دهد. سازمان باید در حال تدوین یا شروع طرح، شامل تعهدات، رویه‏ها ، فناوری‏ها، منابع، روش‏ها و ارتباطات ضروری برای برنامه‏ریزی توسعه، پشتیبانی و استقرار باشد.

تدوین: بهنوش سعیدی