ISO 27001:2013
استاندارد بین المللی سیستم مدیریت امنیت اطلاعات الزامات مورد نیاز سیستم مدیریت امنیت اطلاعات را معیّن می کند. این استاندارد به سازمان کمک می کند اطلاعات خود را محافظت کند و اعتماد بخش های ذینفع و بویژه مشتریان را جلب نماید.
امنیت اطلاعات به معنای حفاظت از یکپارچگی، محرمانه بودن و دسترسی به اطلاعات می باشد. این یکی از مهمترین عوامل در تضمین پیوستگی کسب و کار یک سازمان است. اگر اطلاعات از دست رفته باشد، جبران آن ممکن است آسان نباشد. بنابراین، در شرایط در حال توسعه و به طور مداوم در حال تغییر، اهمیت و حفاظت از اطلاعات برای سازمان ها بسیار مهم خواهد بود.
استاندارد بین المللی سیستم مدیریت امنیت اطلاعات تلاش می کند تا :
- از اطلاعات حساس حیاتی سازمان، محافظت کند؛
- با افزایش سطح مدیریت امنیت اطلاعات در سازمان، خطرات ناشی از سرقت اطلاعات را کاهش دهد؛
- با تحقق الزامات قراردادی و اطمینان به مشتری که امنیت اطلاعاتش در سطح بالایی است یک فرصت رقابتی ایجاد نماید؛
- مدیریت ارشد سازمان را نسبت به امنیت اطلاعات، متعهد نماید.
بیشتر بخوانید: استاندارد بین المللی سیستم مدیریت کیفیت در صنعت خودرو سازی
شرکت هائی که اقدام به اخذ گواهینامه ایزو ISO 27001:2013 می کنند ، در تلاش هستند تا:
- پیش بینی های لازم جهت حفاظت اطلاعات حساس در برابر دسترسی ها و تغییرات غیر مجاز را مبذول نمایند؛
- از اطلاعات مالی خود، مالکیت معنوی و اطلاعات حساس مشتریان محافظت کنند؛
- خطرات را شناسائی کنند و برای کاهش آن ها، کنترل های لازم را اعمال کنند؛
- یک فرهنگ امنیتی، درون سازمان ایجاد کنند؛
- مهمترین اصول سیستم مدیریت امنیت اطلاعات ISO 27001 عبارتند از:
- حفظ حریم خصوصی: دسترسی اشخاصی که مجاز به دسترسی اطلاعات نیستند، بسته شده است؛
- قابلیت استفاده: هروقت لازم باشد اطلاعات بلافاصله در اختیار اشخاص مجاز قرار می گیرد.
مهمترین اصطلاحات و تعاریف در استاندارد بین المللی سیستم مدیریت امنیت اطلاعات :
- دارائی: هرچیزی که برای سازمان، دارای ارزش است؛
- امنیت اطلاعات: حفظ محرمانگی، یکپارچگی و دسترس پذیری اطلاعات؛
- رویداد امنیت اطلاعات: رخداد شناسائی شده ی یک سیستم که دلالت دارد بر نقص احتمالی خط مشی امنیت اطلاعات یا نقص حفاظتی یا وضعیتی که ممکن است با امنیت مرتبط بوده باشد؛
- سیستم مدیریت امنیت اطلاعات ( ISMS: INFORMATION SECURITY MANAGEMENT SYSTEM ): قسمتی از سیستم مدیریت کلان که به منظور ایجاد، پیاده سازی، اجرا، پایش، بازنگری، نگهداری و بهبود امنیت اطلاعات بنا گردیده است؛
- ریسک باقیمانده: ریسک باقیمانده پس از برطرف سازی ریسک؛
- پذیرش ریسک: تصمیم برای پذیرش یک مخاطره؛
- تحلیل ریسک: استفاده ی نظام مند از اطلاعات به منظور شناسائی منابع و تخمین ریسک؛
- برآورد ریسک: فرآیند کلی تحلیل و ارزیابی ریسک؛
- ارزیابی ریسک: فرآیند مقایسه ی ریسک تخمین زده شده با معیار ریسک ارائه شده، به منظور تعیین اهمیت ریسک؛
- مدیریت ریسک: فعالیت های هماهنگ شده برای هدایت و کنترل یک سازمان با توجه به ریسک؛
- برطرف سازی ریسک: فرآیند انتخاب و پیاده سازی معیارهائی برای تعدیل ریسک؛
- بیانیه ی کاربست پذیری: بیانیه ی مستندشده ای که اهداف کنترلی و کنترل های وابسته و بکار برده شده در سیستم مدیریت امنیت اطلاعات سازمان را تشریح می کند.
