حفاظت از اطلاعات کاربران امری مهم و اجتناب ناپذیر در سیستمهای کاری خرد یا کلان بهشمار میآید. اعتماد مشتریان و کاربران به مجموعه شما زمانی افزایش مییابد که مشتریان اطمینان حاصل کنند اطلاعات خصوصی آنها فضای امن نظر نرمافزاری نگهداری میشود. استاندارد ISO 27000 را میتوان یکی از رایجترین و قابل اعتمادترین مجموعه استاندارد ارائه شده سازمان “Information Security Management” یا سازمان سیستم مدیریت امنیت اطلاعات بین الملل معرفی کرد که تمامی سازمانها فارغ از اطلاعات نگه داری شده، زمینه کاری و… میتوانند آن را کسب کنند. در این مقاله، به معرفی کامل این مجموعه استاندارد خواهیم پرداخت.
استاندارد ISO 27000 چیست؟
سری استاندارد ISO 27000 یک مجموعه (خانواده) از استانداردهای بین المللی مرتبط با مدیریت امنیت اطلاعات بوده که توسط سازمان بینالمللی استانداردها (ISMS) تهیه شده است. این مجموعه به بیان استانداردها، راهنماها، چارچوبها و الزاماتی میپردازد که به سازمانها کمک میکند تا سیستمهای مدیریت امنیت اطلاعات خود را به بهترین شکل و مطابق با آخرین استانداردهای بین المللی پیادهسازی کنند.
این استاندارد به سازمانها کمک میکند تا امنیت سیستمهای خود را ارتقا دهند و روشهایی مناسب برای مدیریت امنیت اطلاعات خود پیدا کنند. استاندارد ایزو 27000، سازمانها را راهنمایی میکند تا با رعایت الزامات و اجرای چارچوبهای هدفمند و مرتبط با امنیت اطلاعات، ریسکهای احتمالی را کاهش داده و اطمینان حاصل کنند که اطلاعات آنها محافظتشده و ایمن هستند. همچنین بهتر است بدانید که این استانداردها به صورت مشترک توسط کمیسیون بینالمللی الکتروتکنیک (IEC) و سازمان بینالمللی استانداردسازی (ISO)، تدوین، توسعه و منتشر شدهاند.
در همین راستا و با هدف ارتقا سطح امنیت اطلاعات صرافی ها، بانک مرکزی جمهوری اسلامی اقدام به ارایه سند الزامات امنیت اطلاعاتی بانک مرکزی برای شرکتهای صراف کرده است. برای مشاوره در رابطه با پیاده سازی الزامات امنیت اطلاعات برای شرکت های صراف می توانید به صفحه پیاده سازی الزامات بانک مرکزی برای صرافی مراجعه فرمایید.
تاریخچه استاندارد ISO 27000
تاریخچه استاندارد ISO 27000 به سال 2005 باز میگردد. درست در این سال بود که تدوین استاندارد اولیه ISO/IEC 27001:2005 توسط سازمان بینالمللی استانداردها (ISMS) آغاز شد. این استاندارد اولیه، به عنوان یک مدل برای پیاده سازی، نگهداری و بهبود سیستمهای مدیریت امنیت اطلاعات معرفی شد. در سالهای بعد، استانداردهای دیگری نیز به این مجموعه اضافه شدند که این زیر مجموعهها شامل الزامات و راهنماهای مرتبط با امنیت اطلاعات، ریسک مدیریت دیتاها، تجارت الکترونیک و سایر موضوعات مرتبط با امنیت دیتاها (دادهها) هستند.
سری استاندارد ISO 27000 چه اهدافی را دنبال میکند؟
استاندارد ISO 27000 دارای اهداف متعددی است که از مهمترین آنها میتوان به موارد زیر اشاره کرد.
ارائه یک چارچوب کلی برای مدیریت امنیت اطلاعات در سازمانها
ارائه الزامات و راهنماها برای پیادهسازی، نگهداری و بهبود سیستمهای مدیریت امنیت اطلاعات
افزایش اطمینان درمورد محافظت از اطلاعات حساس و مهم
کاهش ریسکهای مرتبط با نفوذ (هک)، نقض امنیت (حفره امنیتی) و دسترسی غیرمجاز (دسترسی بدون احراز هویت) به اطلاعات
همچنین تضمین مطابقت جزئیات سیستمهای حفاظت از دیتاها با قوانین و مقررات مربوط به امنیت اطلاعات نیز یکی دیگر از اهداف تدوین مجموعه استاندارد نام برده است.
کدام سازمانها باید استاندارد ISO 27000 را پیادهسازی کنند؟
هیچ محدودیتی در زمینه نوع سازمانها برای پیادهسازی استاندارهای ISO 27000 وجود ندارد. هر نوع سازمانی از جمله سازمانهای دولتی، مانند بانک مرکزی ایران و بانکها، سازمانهای خصوصی، غیرانتفاعی و… میتوانند این مجموعه استاندارد را اجرا کنند. این استانداردها فارغ از ابعاد، گستردگی، میزان پیچیدگی، نوع اطلاعات و… سازمانها، قابلیت پیادهسازی در سیستمهای مختلف حفاظت از اطلاعات را دارا هستند.
استاندارد نام برده شده به مجموعههای مختلف کمک میکند تا سیستمهای مدیریت امنیت اطلاعات خود را ارتقا دهند و آنها را از ریسکهای امنیتی مختلف محافظت کنند. تمامی سازمانها میتوانند بعد از پیادهسازی زیرمجموعههای مختلف، این استاندارد (که در بخش بعدی مقاله به شرح کامل آنها خواهیم پرداخت) ممیزی شده و گواهینامه ISO 27000 را دریافت کنند.
مجموعه استاندارد ISO 27000
مجموعه ISO/IEC 27000 شامل چه استانداردهایی میشود؟
همانطور که در بخشهای قبل نیز اشاره کردیم، مجموعه ایزو/آیایسی 27000 از سال ۲۰۰۵ تا به حال تغییرات بسیاری داشته و مفاد و زیرمجموعههای خود را ارتقا و بهبود داده است. از مهمترین استانداردهای این مجموعه میتوان موارد زیر را نام برد.
ISO 27001
ISO 27002
ISO 27003
ISO 27004
ISO 27005
ISO 27006
ISO 27007
ISO 27008
ISO 27010
ISO 27011
ISO 27013
ISO 27014
ISO 27015
ISO 27019
ISO 27031
ISO 27032
ISO 27033
ISO 27034
ISO 27035
ISO 27036
ISO 27037
ISO 27040
ISO 27041
ISO 27042
ISO 27043
ISO 27044
ISO 27799
همانطور که در بالا مشاهده کردید، مجموعه ISO 27000 شامل زیر مجموعههای بسیاری است که هرکدام از آنها وجوه مختلف امنیت اطلاعات سیستم را شامل میشوند و تعدادی از آنها به صورت خاص برای بعضی از سازمانها (مانند صنایع پزشکی و سلامت) مانند ISO 27799 تدوین و منتشر شدهاند.
از بین موارد نامبردهشده، ISO 27001، ISO 27002 ، ISO 27003 و ISO 27004 از اهمیت بیشتری برخودار هستند که در ادامه مقاله به معرفی کامل آنها خواهیم پرداخت.
استاندارد ISO/IEC 27001: بیان الزامات ISMS
ISO 27001 را میتوان اولین زیر مجموعه این استاندارد بینالمللی معرفی کرد. این زیر مجموعه به بیان الزامات ISMS و نگهداری و پیادهسازی برنامهای مستمر برای کنترل امنیت اطلاعات میپردازد. ازجمله مهمترین مفاد و دستورالعملهای درج شده در آن میتوان به موارد زیر اشاره کرد.
ارائه یک چارچوب کلی برای مدیریت امنیت اطلاعات در سازمانها
ارائه الزامات و راهنماها برای پیادهسازی، نگهداری و بهبود سیستمهای مدیریت امنیت اطلاعات
افزایش اطمینان درمورد محافظت از اطلاعات حساس و مهم
کاهش ریسکهای مرتبط با نفوذ، نقض امنیت و دسترسی غیرمجاز به اطلاعات
تضمین مطابقت با قوانین و مقررات مربوط به امنیت اطلاعات
این بخش از استاندارد ISO 27000 یکی از مهمترین زیرمجموعهها بهشمار میآید. همچنین پیادهسازی ISO 27001 اولین گام دریافت این استاندارد محسوب میشود. آخرین ویرایش ISO 27001 در سال ۲۰۲۲ توسط ISMS منتشر شد.
این استاندارد بر ارائه روشها و راهکارهایی در خصوص ارتقاع امنیت اطلاعات و دادهها و همچنین ارتقاع امنیت سایبری در بخش دولتی، خصوصی، کسب و کارها و … در شبکه دیتا متمرکز است. این استاندارد ارائه اقدامات فیزیکی، فنی و اداری را برای حفظ محرمانگی، یکپارچگی و در دسترس بودن اطلاعات را شامل میشود. امنیتی سایبری در آخرین ویرایش این استاندارد مفاهیم شناسایی، محافظت، تشخیص، پاسخ و بازیابی را شامل میشود.
استاندارد ISO/IEC 27002: ارائه مهمترین تکنیکهای امنیتی و آیین کار کنترلهای سیستم امنیتی دیتاها
این زیر مجموعه را میتوان به زبان ساده، یک بخش برای بیان تجربیات مفید و کارآمد حوزه حفاظت از اطلاعات سیستمهای سازمانی معرفی کرد که بهترین این تجربهها تبدیل به دستورالعملها و مفاد استانداردهای مجموعه ISO 27002 شدهاند. ISO 27002 دارای مجموعه راهنماییهایی است که میتوان به کمک آن، دستورالعملهای کنترلی درج شده در پیوست الف استاندارد ISO/IEC 27001 را به مرحله اجرا رسانید. همچنین بخشهای ۵ تا ۱۸ این زیرمجموعه به بیان راهنماییها و مشاورههایی در خصوص پیادهسازی کنترلهای تعیین شده بخش A5 تا A18 استاندارد ISO 27001 میپردازند.
از دیگر مفاد، اهداف و دستورالعملهای این زیر مجموعه میتوان به موارد زیر اشاره کرد.
بیان سیاستها و روشهای حفظ امنیت اطلاعات
سازماندهی امنیت اطلاعات
کنترل و تعیین منابع انسانی برای حفاظت از اطلاعات
ارائه دستورالعملهای امنیت فیزیکی و محیطی
تعیین محیط دسترسی افراد مختلف بهوسیله برنامه مدیریت دسترسی
شرح روشهای رمزنگاری اطلاعات
مدیریت ریسکهای امنیت اطلاعات
روشهای مدیریت حوادث و اتفاقات غیرمترقبه
مدیریت تکنولوژیهای موجود در سیستم و راهکارهای امنیت اطلاعات
مدیریت امنیت اطلاعات در زنجیره تأمین
مدیریت امنیت اطلاعات هنگام توسعه نرمافزار
مدیریت امنیت اطلاعات در خدمات ابری (Cloud Services)
با استفاده از استاندارد ISO/IEC 27002، سازمانها قادر خواهند بود تا الگوها و روشهایی برتر را برای پیادهسازی امنیت در سازمان خود بهکار بگیرند و بهبودی پایداری در سطح امنیت اطلاعات به ارمغان بیاورند. آخرین ویرایش این زیرمجموعه ISO 27000 در فوریه سال ۲۰۲۲ توسط ISMS منتشر شد.
به صورت خلاصه این استاندارد مجموعهای از کنترلهای امنیتی در یک شبکه دیتا را بیان میکند، از اینرو استاندارد ISO/IEC 2700 “فناوری اطلاعات – تکنیک های امنیتی – آیین نامه عملکرد برای کنترل های امنیت اطلاعات” نامیده میشود
استاندارد ISO/IEC 27003: راهنمای استقرار سیستم مدیریت امنیت اطلاعات (ISMS)
ISMS یا Information Security Management System به معنای سیستم مدیریت امنیت اطلاعات است. در زیرمجموعه ISO 27003، به بیان راهنماها، دستورالعملها و مشاورههایی تکمیلی در راستا پیادهسازی عملی کنترلهای سیستم حفاظت از دیتاها میپردازند. درواقع، استاندارد ISO 27003 رویکردی عملگرا و فرایندگرا دارد که در آن به بازبینی، نگهداری، نظارت و اجرا دستورالعملهای سیستمهای اطلاعاتی امنیتی پرداخته میشود. از مهمترین مفاد، راهنماییها، دستورالعملها و اهداف ISO 27003 میتوان به موارد زیر اشاره کرد.
دستورالعملهای تعیین دامنه و اهداف مدیریت امنیت اطلاعات
دستورالعملهای تعیین و توسعه سیاستها و فرآیندهای مدیریت امنیت اطلاعات
دستورالعملهای مدیریت منابع انسانی و آموزشهای مربوط به امنیت اطلاعات
دستورالعملهای برنامهریزی و اجرای تمرینها و آزمونهای امنیت دیتاها
دستورالعملهای مدیریت تغییرات و بهبود مداوم در سیستم مدیریت امنیت اطلاعات
با استفاده از استاندارد ISO/IEC 27003 از مجموعه ISO 27000، سازمانها قادر خواهند بود تا به بهبود مستمر سیستم مدیریت امنیت خود بپردازند و فرایندهایی موثر و کارآمد برای پیادهسازی استاندارد ISO/IEC 27001 را دنبال و اجرا کنند. آخرین ویرایش استاندارد ISO 27003 در سال ۲۰۱۷ توسط ISMS انجام شد و به مرحله انتشار رسید. این استاندارد بر اساس ارائه دستورالعملهای پیادهسازی، اجرا، پشتیبانی و نگهداری و بهبود سیستم مدیریت و امنیت اطلاعات در یک شبکه داده را شامل میشود.
استاندارد ISO/IEC 27004: سنجش و اندازهگیری اثربخشی ISMS
تا به اینجای مقاله، زیرمجموعههایی معرفی شد که همگی به بیان مفاد، الزامات و دستورالعملهای پیادهسازی استانداردهای بینالمللی حفاظت از سیستم اطلاعات میپرداختند؛ اما ISO 27004 همانند سنگ محکی برای سنجش اثربخشی دستورالعملهای پیاده شده دیگر زیرمجموعههای نام بردهه شده عمل میکند.
در واقع این زیرمجموعه یک چارچوب هدفمند برای ارزیابی اثربخشی ISMS یا سیستم مدیرت امنیت اطلاعات استاندارد ISO 27001 تلقی میشود. از مهمترین مفاد، اهداف و ارزیابیهای ISO 27004 از مجموعه ISO 27000 میتوان به موارد زیر اشاره کرد:
تعریف شاخصها و معیارهای عملکرد برای ارزیابی سیستمهای مدیریت امنیت اطلاعات
راهنمایی جمعآوری دادهها و اطلاعات مربوط به عملکرد سیستمهای مدیریت امنیت اطلاعات
روشهای تحلیل دادهها و گزارشدهی عملکرد سیستمهای مدیریت امنیت اطلاعات
راهنمایی استفاده از نتایج ارزیابی عملکرد برای بهبود سیستمهای مدیریت امنیت اطلاعات
روشهای نظارت و بازبینی مداوم بر عملکرد سیستمهای مدیریت امنیت اطلاعات
راهنمایی گزارشدهی به مدیران و صاحبان سازمان در مورد عملکرد سیستمهای مدیریت امنیت اطلاعات
با استفاده از استاندارد ISO/IEC 27004، سازمانها قادر خواهند بود تا عملکرد سیستمهای امنیت اطلاعات خود را مورد ارزیابی قرار دهند و بهبود آنها را بهطور مستمرپیگیری کنند؛ همچنین مدیران و صاحبان سازمان گزارشهای مناسبی در زمینه عملکرد سیستمهای مدیریت اطلاعات در اختیار خواهند داشت. آخرین نسخه استاندارد ISO 27004 از مجموعه ISO 27000 در سال ۲۰۱۶ در ۵۸ صفحه تدوین و منتشر شد.
استاندارد ISO/IEC 27005: مدیریت ریسک امنیت اطلاعات
هدف از نگارش استاندارد ISO 27005 بررسی ریسک مدیریت امنیت اطلاعات است. درواقع، در این زیر مجموعه دستورالعملهایی تبیین شده است که ریسک حفاظت از اطلاعات درجشده در ISO 27001 را مدیریت میکنند. ISO 27005 نیز همانند ISO 27003 رویکردی عملگرا در این زمینه دارد و به انطباق هرچه بیشتر جزئیات سیستم با قوانین این مجموعه میپردازد. مواردی که در استاندارد ISO/IEC 27005 درج شده است عبارتاند از:
اصول و مفاهیم ارزیابی ریسک حفاظت
استاندارد ISO/IEC 27005 به تعریف اصول و مفاهیم مربوط به ارزیابی ریسک حفاظت امنیت اطلاعات میپردازد. ازجمله آنها میتوان به تعریف ریسک، تعیین روشهای ارزیابی ریسک و تعیین فرایندهای مربوط به این ارزیابی اشاره کرد.
فرآیندهای ارزیابی ریسک
استاندارد ISO/IEC 27005 شامل دستورالعملهایی برای ارزیابی ریسک امنیت اطلاعات مانند تعریف دامنه و هدف ارزیابی، تعیین فرضیات و منابع داده، تحلیل ریسک و تعیین تصمیمات مربوطه میشود.
مستندسازی و گزارشگیری
استاندارد ISO/IEC 27005 به شرح دستورالعملها و الزامات مستندسازی، گزارشگیری در فرایندهای ارزیابی و مدیریت ریسک امنیت حفاظت اطلاعات میپردازد.
مجموعه استاندارد ISO 27000
دلیل استفاده از ISO 27000 چیست؟
با گسترش شرکتها و سازمانها، ریسک رخداد اتفاقهای غیرمترقبه ازجمله نفوذ، هک و سرقت اطلاعات بالاتر میرود و به همین دلیل است که باید سیستمهای امنیتی قویتر و جامعتری به کار بگیریم تا بتوانیم از اطلاعات کاربران و کارمندان خود به بهترین شکل ممکن حفاظت کنیم. از مهمترین دلایل استفاده از مجموعه استانداردهای نام برده شده میتوان به موارد زیر اشاره کرد:
حفاظت از اطلاعات
با پیادهسازی استاندارد ISO 27000، سازمانها قادر خواهند بود تا به وسیله جدیدترین و مطمئنترین پروتکلهای امنیتی از اطلاعات حساس و مهم خود در برابر حملات مختلف نرمافزاری و نفوذهای مخرب حفاظت کنند.
افزایش اعتماد کاربران
استفاده از استاندارد نام برده شده به سازمانها کمک میکند تا اعتماد مشتریان، شرکای تجاری و سایر ذینفعان خود را بیشتر جلب کنند؛ زیرا مشتریان و کاربران میدانند که سازمان موردنظر دارای سیستمهای مدیریت امنیت اطلاعات قوی و قابل اعتماد است.
رعایت قوانین و مقررات
بسیاری از صنایع در کشورهای مختلف، الزامات قانونی و دستورالعملهای خاصی برای حفاظت از اطلاعات شخصی و حساس کاربران خود اجرا میکنند. پیادهسازی مجموعه استاندارد نام برده شده به تکمیل مفاد و دستورالعملهای این صنایع میپردازد و به آنها کمک میکند تا این الزامات به شکل جامعتری را رعایت کنند.
بهبود فرآیند، بازده و عملکرد سیستمها
استفاده از استاندارد ISO 27000 به سازمانها کمک میکند تا عملکرد خود در بخشهای مختلف حفاظت از دیتاها را بهبود ببخشند و به شکل منظم عملکرد سیستمهای مدیریت امنیت اطلاعات خود را ارزیابی کنند.
ایجاد فضای رقابتی
در دنیای کسب و کار رقابتی امروز، داشتن یک سیستم قوی و جامع مدیریت امنیت اطلاعات میتواند به عنوان یک عامل متمایز کننده و منحصر به فرد برای آن سازمان تلقی شود و این مورد سیستمهای مختلف را چند قدم از رقبا جلو میاندازد.
برگرغته از سایت صراف یار
شرکت پیشران صنعت ویرا با اساس نامه اتوماسیون صنعتی و کنترل ابزار دقیق و ساخت تابلوهای برق فشار قوی و ضعیف از سال 92 تاسیس گشت و ازهمان ابتدا در حوزه کاربرد ابزار دقیق در bms و سپس تولید و ساخت آنها قدم نهاد و در ادامه مسیر توانست با اتکا به تجربیات چندین ساله و استخدام نیروهای متخصص برق عملا جزو شرکتهایی باشد که محصولات قابل اتکایی با عناوین مانیتورینگ شرایط محیطی اتاق سرور -کنترلرهای دمای دیتا سنتر -دیتالاگرهای سردخانه و انبار -هشدار دهنده های دمای یخچال و فریزر و شمارشگرهای نمایشگاهی و فروشگاهی و تابلوهای برق متنوع با کاربردهای مختلف روانه بازار نماید در حال حاضر سیستمهای کنترل دما و رطوبت اتاق سرور این شرکت تنها سیستم مبتنی بر سخت افزار صنعتی plc-hmi در ایران است.