ISO 27001 استانداردی برای تمام سازمان ها، کاربرد آن در صنعت بانکداری

چرا بانک ها باید با ایزو 27001 همراه شوند؟ 

اگر حماسه “ارباب حلقه ها” را می دانید، عنوان این مقاله احتمالاً آشنا به نظر می رسد. “یک حلقه برای اداره همه حلقه ها”، به حلقه جادویی با قدرت کنترل همه حلقه های جادویی دیگر اشاره دارد. آیا این ادعا درست است که ISO 27001 در صنعت بانکداری جادو می کند؟ این گفته درست نیست، اما هنگامی که به خوبی “پیاده سازی” شود، می توان از یک (سیستم مدیریت امنیت اطلاعات) ISMS  مبتنی بر ISO 27001 برای مدیریت همه چارچوب های مختلف امنیت اطلاعات که بانک ها تحت آن هستند، استفاده کرد.

ایزو 27001 چیست؟

ISO 27001  یک استاندارد جهانی است که توسط (سازمان بین المللی استانداردسازی) ISO منتشر شده است و چارچوبی را فراهم می کند که سازمان ها در هر اندازه و صنعتی می توانند از آن برای اجرای یک سیستم مدیریت امنیت اطلاعات سفارشی و موثر استفاده کنند.

این چارچوب فقط برای مدیریت امنیت IT طراحی نشده است، بلکه برای مدیریت کلی امنیت اطلاعات در سراسر شرکت با اجرای کنترل های فنی و غیر فنی است.

ISO 27001  توسط بهترین متخصصان امنیت اطلاعات جهان تهیه شده است و به همین علت محبوب ترین استاندارد امنیت اطلاعات در سراسر جهان است.

اطلاعات و مقررات در بانک ها

حجم زیادی از داده ها توسط بانک ها پردازش و ذخیره می شوند، بیشتر آنها از نظر ماهیت حساس و بعضی بنا بر شرایطشان بسیار حساس هستند. بانک ها باید کلیه داده ها را مطابق با الزامات قراردادی کنترل کنند، اما در عین حال با بسیاری از قوانین و مقررات حاکم بر امنیت و حریم خصوصی همه این داده ها مطابقت دارند.

چند قانون و استاندارد معمول عبارتند از:

• SOX: قانون Sarbanes-Oxley؛
• ) استاندارد امنیت داده، صنعت کارت پرداخت) PCI-DSS؛
•   PSD2(دستورالعمل خدمات پرداخت)؛

    استانداردهای حریم خصوصی:

• ) GDP مقررات عمومی حفاظت از داده های اتحادیه اروپا(؛
• ) CCPA قانون حریم خصوصی مصرف کننده در کالیفرنیا)؛  
• LGPD(قانون عمومی حفاظت از داده ها، قانون حفاظت از داده های برزیل(؛

   و بسیاری دیگر از قوانین و مقررات (خاص کشور)؛

یشتر بدانید: چرا ISO 27001 برای هر سازمانی الزامی است؟

چیزی که ممکن است امنیت اطلاعات و رعایت حریم خصوصی را به یک کار پیچیده تبدیل کند، داشتن بسیاری از الزامات مختلف برای صنایع است. اگرچه هر صنعت سهم مناسبی از قوانین، استانداردها و مقررات را دارد، اما صنعت مالی و بانکی و مراقبت های بهداشتی، از جمله صنایعی هستند که بیشترین قانون ها و الزامات را دارا می باشند.

علی رغم این حجم از الزامات باز هم گویی که این الزامات کافی نیستند، پیشرفت های سریع در فناوری مالی، علاوه بر ایجاد فرصت های فراوان، پیچیدگی های زیادی نیز برای حاکمیت و انطباق با قوانین ایجاد می کنند. بنابراین،این پرسش مهم است که ISO 27001  در کجا و چگونه مستقر می شود؟

یک سیستم مدیریت واحد

ISO 27001  چارچوبی را ارائه می دهد که می تواند قوانین مختلف، مقررات و الزامات قراردادی مختلف را در یک ISMS گرد هم آورد. همچنین طراحی خوب و فكر شده آن منجر به این واقعیت شده است كه بسیاری از استانداردها و قوانین حفاظت از داده ها از ISO 27001  به عنوان یک سیستم پایه استفاده می كنند كه اجرای آن را بسیار آسان می کند.

استفاده از یک سیستم مدیریت امنیت واحد، نیاز به طراحی و برنامه ریزی بهتر در مرحله راه اندازی دارد، اما پس از ایجاد آن مدیریت بهتر، کارایی بیشتر (همپوشانی کمتر) و کنترل بیشتر ریسک را با ارائه اطلاعات در سراسر هیئت مدیره و در نظر گرفتن خطرات، شکاف ها، فرصت ها و اولویت ها به ارمغان می آورد. در کنار این مزیت،ISMS  بانک ها را قادر می سازد یک گواهینامه ISO 27001  را دریافت کنند که نشان می دهد که یک نهاد مستقل، اثربخشی و کارایی کنترل های امنیت اطلاعات را ارزیابی کرده است.

یک سرمایه گذاری امنیتی موثر، با بهره مندی بانک ها از گواهینامه ISO 27001

در سازمان هایی مانند بانک ها، که تابع بسیاری از قوانین و مقررات هستند، سود اصلی در رعایت این قوانین است. این بدان معنی است که شما می توانید ثابت کنید کنترل ها مطابق با همه قوانین و مقررات توسط یک سیستم مدیریتی مستقل اجرا شده اند. همانطور که قبلاً ذکر شد، بسیاری از قوانین و استانداردها با در نظر گرفتن ISO 27001 طراحی شده اند که کار با مراجع نظارتی را بسیار آسان می کند.

طی چند سال گذشته،ISO 27001  به طور فزاینده ای مورد استقبال قرار گرفته به قراردادی پیش فرض تبدیل شده است و بانک ها به آن روی آورده اند. وقتی سیستم مدیریت امنیت از رویه های ISO 27001  پیروی می کند، حاکمیت مشتریان پیچیده تر می شود.

محدوده ISO 27001 در صنعت بانکداری

همانطور که گفته شد، چارچوب ISO 27001 فقط برای مدیریت امنیت IT طراحی نشده است. این برنامه برای مدیریت امنیت اطلاعات در کل شرکت با اجرای کنترل های فنی وغیر فنی طراحی شده است.ISO 27001  شامل 10 بند و 114 کنترل تقسیم شده بر 14 مجموعه کنترل است.

ISO 27001  تمام الزامات برای داشتن یک سیستم مدیریت امنیت اطلاعات موثر و کارآمد را دارا است.

این الزامات به گونه ای در چارچوب آن گنجانده شده اند که بدون اینکه الزامات اضافی داشته باشند توانایی ادغام با همه الزامات سیستم های مختلف را فراهم می کنند. این امتیاز ISO 27001 را به “یک استاندارد برای کنترل همه بخش ها” تبدیل می کند، اگرچه ممکن است جادویی نباشد، اما ابزاری بسیار قدرتمند است که می تواند معجزه کند.