سازمان بین المللی استاندارد (ISO)
international organization for standardization

محل آن درکشور سوئیس شهر ژنو

تحت پوشش سازمان ملل یاصندوق بین المللی پول نیست

سازمانی مستقل واعضای آن از۱۴۶کشور تشکیل شده است

وظیفه آن تدوین استاندارد می باشد

فعالیتهای ممیزی وصدور گواهینامه راانجام نمی دهد

باتوجه به نیازهای جهانی تغییر می کند.

تولد استاندارد مدیریت امنیت اطلاعات

استانداردISO/IEC 27001توسط کمیته فنی مشترکISO/IEC JTC 1 (فناوری اطلاعات ،زیر کمیتهSC 27،فنون امنیتی فناوری اطلاعات )تهیه شده است. ودرسال ۲۰۰۵ موردبازنگری قرارگرفت

مزایای استقرار استاندارد ایزو ۲۷۰۰۱

  • اطمینان از تداوم تجارتو کاهش صدمات توسط ایمن ساختن اطلاعات و کاهش تهدیدها
  • اطمینان از سازگاریبا استاندارد امنیت اطلاعات و محافظت از داده ها
  • قابل اطمینان کردن تصمیم گیریها و محک زدن سیستم مدیریت امنیت اطلاعات
  • ایجاد اطمینان نزد مشتریانو شرکای تجاری
  • امکان رقابتبهتر با سایر شرکت ها
  • ایجاد مدیریت فعالو پویا در پیاده سازی امنیت داده ها و اطلاعات
  • بخاطر مشکلات امنیتی اطلاعات و ایده های خود را در خارج سازمان پنهان نسازید

۴الزامات سیستم مدیریت امنیت اطلاعات

Information security management system requirements

4-1-الزامات کلی

سازمان باید یک سیستم مدیریت امنیت اطلاعات رامطابق باالزامات این استاندارد بین المللی درچارچوب تمامی فعالیتهای کلان کسب وکار سازمان ومخاطراتی که با آن مواجه است ایجاد، مستند ،مستقرونگهداری نمایدوبطورمستمربهبوددهدوچگونگی تحقق این الزامات رانیز مشخص نماید

۴-۲ایجاد ومدیریت سیستم امنیت اطلاعات
Establishing and managing the ISMS

سازمان باید موارد زیر را انجام دهد:

الف) سازمان باید دامنه کاربرد ومرزهای سیستم امنیت اطلاعات خودرا بر مبنای ویژگیهای کسب وکار ،سازمان ،مکان ،دارائی ها و فناوری آن تعریف ومدون نماید و مشتمل برجزئیات وتوجیه برای کناره گذاری هر چیزی از دامنه

ب ) مدیریت رده بالا باید خط مشی سیستم امنیت اطلاعات بر مبنای ویژگی های کسب و کار ،سازمان ،مکان ،دارائی ها و فناوری آن تعریف که:

۱)مشتمل بر چارچوبی برای تعیین اهداف وایجاد یک درک کلان از مسیر و مبانی برای اقدام با توجه به امنیت اطلاعات.

۲)در بر گیرنده کسب وکار ،الزامات قانونی یا آیین نامه و تعهدات امنیتی قراردادی باشد.

۳)با مفاد مدیریت مخاطرات راهبردی سازمان که درایجاد و نگهداری سیستم مدیریت امنیت اطلاعات لحاظ خواهد شد ،هماهنگ شود.

۴)معیاری ایجاد کند که مطابق آن مخاطرات ارزیابی خواهند شد.

۵)توسط مدیریت تصویب شود

ج ) تعریف رویکرد برآورد سازی مخاطرات سازمان

۱)شناسایی یک متدولوژی بر آورد مخاطرات متناسب

۲)ایجاد معیاری برای پذیرش مخاطرات وشناسایی سطوح قابل قبول

د )شناسایی مخاطرات

۱)شناسایی دارائی های واقع دردامنه سیستم

۲)شناسایی تهدیدهای بالقوه وبالفعل متوجه دارائی ها

۳)شناسایی آسیبهای بالقوه و بالفعل حاصل از تهدیدها

۴)شناسایی آسیبهای حاصل از عدم رعایت امنیت ،محرمانگی ،یکپارچگی

۵)تحلیل و ارزیابی مخاطرات

۱)      برآورد تاثیرات کسب و کار که حاصل از عدم رعایت سیستم امنیت اطلاعات

۲)      برآورد واقع گرایانه احتمال بروز نقیصه های امنیتی ، با در نظر گرفتن تهدید ها و آسیب های امنیتی

۳)      تخمین سطوح مخاطرات

۴)      مقایسه این مخاطرات با معیارهای پذیرش و تعیین این که در حد قابل قبول هستند یا نیاز به اقدامات اصلاحی دارند

و) شناسایی و ارزیابی گزینه هایی برای برطرف سازی مخاطرات:

۱)به کار گیری کنترلهای مناسب

۲)پذیرش مخاطرات به صورت آگاهانه وهدفمند

۳)اجتناب از مخاطرات

۴)انتقال مخاطرات کسب و کاربه طرف های دیگر

ز)گزینش اهداف کنترلی و کنترل هایی به منظور برطرف سازی مخاطرات:

ح)دریافت مصوبه مدیریت برای مخاطرات باقیمانده پیشنهادی

ط)دریافت مجوز مدیریت برای پیاده سازی واجرای سیستم مدیریت امنیت اطلاعات

ی)تهیه بیانیه کاربست که شامل موارد زیر باشد:

۱اهداف کنترلی برگزیده و دلایل انتخاب آنها

۲اهداف کنترلی وکنترلهایی که در حال حاضرپیاده سازی شده اند

۳کناره گذاری هریک از اهداف کنترلی وتوجیه کناره گذاری آنها

۴۲-۲پیاده سازی واجرای سیستم مدیریت امنیت اطلاعات

سازمان باید موارد زیر را انجام دهد

الف )قاعده مند کردن یک طرح برطرف سازس مخاطرات ،به منظور مدیریت کردن مخاطرات امنیت اطلاعات ،که اقدام مدیریتی مناسب ،منابع ،مسئولیت ها واولویت ها را شناسایی کند

ب )پیاده سازی طرح طرح برطرف سازی مخاطرات به منظور دستیابی به اهداف کنترلی شناسایی شده،که دربرگیرنده ملاحظات مالی وتخصیص نقش ها ومسئولیت ها باشد

ج) پیاده سازی کنترل های برگزیده شده به منظور برآورده سازی اهداف کنترلی

د)تعریف چگونگی سنجش اثربخشی کنترل ها وارائه نتایج قابل قیاس وتجدید پذیر بعد از تعیین برآورداثربخشی کنترل ها

یادآوری :اندازه گیری اثربخشی کنترل ها ،به مدیران وکارکنان اجازه می دهد تا تعیین کند که کنترل ها،تاچه اندازه اهداف کنترلی طرح ریزی شده را حاصل می نمایند.

ه)پیاده سازی برنامه های آموزشی وآگاه سازی

و)مدیریت عملیات سیستم مدیریت امنیت اطلاعات

ز)مدیریت منابع برای سیستم مدیریت امنیت اطلاعات

ح)پیاده سازی روش های اجرایی ودیگرکنترل ها که قادر به   توانمند ساختن آشکارسازی سریع وقایع امنیتی وپاسخ دهی به حوادث امنیتی باشد.

۴۲-۳پایش وبازنگری سیستم مدیریت امنیت اطلاعات

سازمان باید موارد زیر را انجام دهد:

الف )اجرای روش های اجرایی پایش و دیگر کنترل ها به منظور:

۱)تشخیص سریع خطاها در نتایج پردازش ها

۲)شناسایی سریع نقص هاوحوادث امنیتی موفق ونا تمام

۳)قادر ساختن مدیریت به اطمینان اجرای فعالیتها آنگونه که انتظارمی رود

۴)کمک درتشخیص وقایع امنیتی واز آن طریق ،پیشگیری از حوادث امنیتی بوسیله استفاده از نشانگرها

۵)تعیین اثربخشی اقدامات صورت گرفته برای رفع نقایص امنیتی

ب) تعهدبازنگری قاعده منداثربخشی سیستم مدیریت امنیت اطلاعات با توجه به نتایج ممیزیهای امنیتی ، نتایج انداره گیریهای اثر بخشی ، حوادث ، پیشنهادها و بازخوردهای تمامی طرفهای ذینفع

ج ) سنجش اثربخشی کنترلها بمنظورتصدیق اینکه الزامات امنیتی براورده شده اند

د) بازنگری براوردهای مخاطرات در فواصل زمانی طرح ریزی شده و بازنگری مخاطرات باقیمانده و شناسایی سطح قابل قبول مخاطرات با توجه به تغییرات در:

۱ )سازمان

۲)فناوری

۴۲-۴نگهداری وبهبود سیستم مدیریت امنیت اطلاعات

سازمان بایستی به صورت منظم موارد ذیل راانجام دهد

الف)پیاده سازی بهبودهای شناسایی شده درسیستم مدیریت امنیت اطلاعات

ب)انجام اقدامات اصلاحی وپیشگیرانه مناسب

ج) انتقال اطلاعات مربوط به اقدامات وبهبودها،به تمامی طرفهای ذینفع وتوافق در مورد چگونگی ادامه کار

د)اطمینان از اینکه بهبودها،اهداف موردنظرشان را حاصل می کنند

۳)اهداف و فرایندهای کسب و کار

۴)تهدیدهای شناسایی شده

5)اثربخشی کنترل های پیاده سازی شده

6)رویدادهای برونی همانند تغییرات در فضای قانونی یا آیین نامه ای و شرایط اجتماعی وتغییر در تعهدات قراردادی

ه)انجام ممیزی های داخلی سیستم مدیریت امنیت اطلاعات درفواصل زمانی طرح ریزی شده

و)تعهد به بازنگری مدیریت قاعده مند سیستم مدیریت امنیت اطلاعات

ز)بروزرسانی طرحهای امنیتی باتوجه به نتایج پایش وبازنگری

ح)ثبت اقدامات ووقایع اثربخش وکارا بر سیستم مدیریت امنیت