در جهانی که سرقت اطلاعات بیداد می‌کند، جرایم سایبری در حال افزایش است و قوانین حفظ حریم خصوصی داده‌ها در سراسر جهان تصویب می‌شود، رعایت استانداردهای امنیت اطلاعات سخت‌گیرانه بهترین بیمه برای شماست. هنگامی‌که صحبت از امنیت اطلاعات می‌شود، چارچوب ایزو 27001 در سطح بین‌المللی به‌عنوان بهترین روش شناخته ‌شده است.

استاندارد iso 27001 یک استاندارد بین‌المللی برای سیستم‌های مدیریت امنیت اطلاعات (ISMS) است. این استاندارد بر این اصل استوار شده است که سیستم‌های مدیریت مؤثر باید از اقدامات کنترلی مناسب برای محافظت از دارایی‌های اطلاعاتی در برابر از دست دادن، آسیب، افشای غیرمجاز، سوءاستفاده، دسترسی غیرمجاز، اصلاح و تخریب برخوردار باشند. ما در ادامه با ارائه یک نمای کلی از ایزو 27001 ، توضیح می‌دهیم که این ایزو چیست، چرا سازمان‌ها از آن استفاده می‌کنند و دریافت گواهینامه ایزو 27001 چه مزایایی دارد؟

ایزو 27001 چیست؟

ایزو 27001 یک استاندارد بین‌المللی است که توسط سازمان بین‌المللی استاندارد (ISO) منتشر شده است و نحوه مدیریت امنیت اطلاعات در یک شرکت را شرح می‌دهد. این ایزو که توسط بهترین متخصصان جهان درزمینۀ امنیت اطلاعات نوشته‌ شده است بر روی حفاظت از محرمانه‌بودن، یکپارچگی و در‌دسترس‌بودن اطلاعات در یک شرکت متمرکز است. آخرین ویرایش این استاندارد در سال 2013 منتشر شد و عنوان کامل آن اکنون ISO/IEC 27001:2013 است.

چارچوب ISO 27001 شامل دستورالعمل‌هایی در مورد چگونگی شناسایی، ارزیابی و مدیریت ریسک‌های امنیت اطلاعات است. همچنین دارای الزاماتی برای ایجاد یک سیستم مدیریت امنیت اطلاعات (ISMS) است. این چارچوب در 14 حوزه سازمان‌دهی شده است که در ادامه برخی از آن‌ها را خواهید دید:

• سیاست امنیتی: یک خط‌مشی امنیتی، پایه و اساس یک سیستم مدیریت امنیت اطلاعات است. این بخش شامل راهنمایی‌هایی در مورد نحوه مدیریت خطرات امنیت اطلاعات است.
• سازمان امنیت اطلاعات: این حوزه ساختار سازمانی یک سیستم مدیریت امنیت اطلاعات را پوشش می‌دهد و شامل نقش‌ها و مسئولیت‌های افراد و گروه‌های درون سازمان است.
• مدیریت دارایی: این حوزه شناسایی، طبقه‌بندی و کنترل دارایی‌های اطلاعاتی را پوشش می‌دهد.
• امنیت منابع انسانی: این حوزه امنیت دارایی‌های اطلاعاتی تحت کنترل افراد را پوشش می‌دهد.
• امنیت فیزیکی و محیطی: این دامنه امنیت فیزیکی دارایی‌های اطلاعاتی را پوشش می‌دهد.
• مدیریت ارتباطات و عملیات: این حوزه مدیریت ریسک‌های امنیت اطلاعات مربوط به ارتباطات و عملیات را پوشش می‌دهد.
• کنترل دسترسی: این دامنه کنترل‌هایی را پوشش می‌دهد که دسترسی به دارایی‌های اطلاعاتی را محدود می‌کند.
• کسب، توسعه و نگهداری سیستم‌های اطلاعاتی: این دامنه کسب، توسعه و نگهداری سیستم‌های اطلاعاتی را پوشش می‌دهد.
• مدیریت تداوم کسب‌وکار: این دامنه برنامه‌ریزی و اجرای اقداماتی را برای اطمینان از تداوم عملیات تجاری در صورت بروز یک حادثه امنیت اطلاعات پوشش می‌دهد.
• رمزنگاری: این دامنه استفاده از رمزنگاری برای محافظت از دارایی‌های اطلاعاتی را پوشش می‌دهد.
• ارتباط با تأمین‌کننده: این حوزه مدیریت ریسک‌های امنیت اطلاعات مرتبط با روابط تأمین‌کننده را پوشش می‌دهد.

امنیت اطلاعات فقط مختص شرکت‌های نرم‌افزاری نیست. هر سازمان، اعم از دولتی یا خصوصی، بزرگ یا کوچک، باید داده‌ها و سایر اطلاعات را مدیریت کند. استاندارد 27001 در هر نوع سازمانی اعم از انتفاعی یا غیرانتفاعی، خصوصی یا دولتی و کوچک یا بزرگ قابل‌اجرا است.

دریافت گواهینامه ایزو 27001 برای چه کسانی مناسب است؟

اصول و بهترین شیوه‌های استاندارد ایزو  27001 برای هر سازمانی که می‌خواهد فرآیندهای امنیت اطلاعات و حریم خصوصی داده‌های خود را رسمی ‌کند، اعمال می‌شود. درحالی‌که هر سازمانی که داده‌های حساس را مدیریت می‌کند باید مطابقت با ایزو  27001 را در نظر بگیرد، اما دریافت گواهینامه آن، یک موضوع متفاوت است و تعداد نسبتاً کمی از شرکت‌ها تصمیم می‌گیرند این فرآیند را طی کنند.

طبق بررسی سال 2020 ایزو، در حال حاضر تقریباً 45500 گواهینامه iso 27001 وجود دارد که عدد بزرگی نیست، اما نسبت به سال 2016 که 33290 گواهینامه معتبر صادرشده ‌بود، افزایش قابل‌توجهی داشته است و نشان می‌دهد که بحث امنیت اطلاعات در سال‌های اخیر، در میان مشاغل مختلف اهمیت بیشتری پیداکرده است.

 سازمان‌هایی که بیشترین سود را از دریافت گواهینامه ایزو   27001 دارند، سازمان‌هایی هستند که با دارایی‌های اطلاعاتی بسیار حساس سروکار دارند. به‌طور مثال شرکت‌های فناوری اطلاعات (به‌عنوان‌مثال، ارائه‌دهندگان خدمات اینترنت)، مؤسسات مالی، ارائه‌دهندگان مراقبت‌های بهداشتی، شرکت‌های مخابراتی (به‌عنوان‌مثال، ارائه‌دهندگان خدمات اینترنتی) و پیمانکاران دولتی با استفاده از استاندارد بین ‌المللی iso 27001 به اعتبار زیادی دست پیدا خواهند کرد.

هدف ایزو  27001چیست؟

هدف ایزو  27001 راهنمایی نحوه مدیریت ریسک‌های مرتبط با دارایی‌های اطلاعاتی در سازمان‌هاست. این امر با حصول اطمینان از اینکه سازمان به تعهدات قانونی خود مانند حفاظت از داده‌ها، حریم خصوصی و مدیریت انتشارات عمل می‌کند، امکان‌پذیر می‌شود. همچنین استاندارد ایزو  27001برای کمک به کسب‌وکارها در مدیریت ریسک و بهبود امنیت اطلاعات در کل سازمان طراحی‌ شده است. این شامل الزامات برای مدیریت اطلاعات در مورد افراد، فرآیندها، فناوری و دارایی‌های فیزیکی است. این ایزو  پاسخ به حادثه، آموزش، ممیزی داخلی، مدیریت و نظارت را پوشش می‌دهد.

ایزو  27001 شامل راهنمایی در مورد نحوه مدیریت ریسک‌های مرتبط با دارایی‌های اطلاعاتی توسط سازمان‌هاست. هدف این استاندارد برای کمک به سازمان‌ها برای درک بهتر این موضوع است که چه چیزی تهدیدی برای محرمانگی، یکپارچگی، در‌دسترس‌بودن و پاسخگویی است. این تهدیدها را تعریف می‌کند و راه‌هایی را که سازمان‌ها می‌توانند آن‌ها را کاهش دهند، مشخص می‌کند.

مزایای گواهینامه ایزو  27001 چیست؟

گواهینامه iso 27001 نشان می‌دهد که سازمان شما با استانداردهای بین‌المللی مطابقت دارد. باتوجه به شهرت و اعتبار ایزو 27001 ، دریافت این گواهینامه یک مزیت رقابتی بزرگ برای شما ایجاد می‌کند و تلاش برای انطباق با این استاندارد، حتی اگر گواهینامه آن را دریافت نکنید، مزایای امنیتی زیادی ارائه می‌دهد. از مهم‌ترین مزایای برخورداری از استاندارد ایزو 27001 می‌توان به موارد زیر اشاره کرد:

محافظت در برابر نقض داده‌ها

رعایت استاندارد ایزو 27001 وضعیت امنیتی شما را تقویت می‌کند. با شناسایی و اصلاح ریسک‌ها و همچنین تعریف افراد و فرآیندهای مسئول مدیریت ریسک، می‌توانید آسیب‌پذیری خود را در برابر حوادث امنیتی کاهش دهید و در صورت وقوع، اثرات آن را به‌خوبی، مدیریت کنید. این کار از هزینه‌های بالای بازیابی داده‌ها، اقدامات اصلاحی، از‌دست‌دادن کسب‌وکار و جریمه‌های قانونی جلوگیری می‌کنید.

مطابقت با قوانین حفظ حریم خصوصی داده‌ها

به‌طورکلی، درحالی‌که گواهینامه ایزو  27001 انطباق کامل با هر مقررات امنیت داده را تضمین نمی‌کند، اما نشان‌دهنده گام بزرگی در جهت درست برای اهداف انطباق با حریم خصوصی داده‌هاست. با پیاده‌سازی چارچوب ایزو 27001، کسب‌وکارها می‌توانند وضعیت امنیت اطلاعات خود را بهبود بخشند و از دارایی‌های اطلاعاتی خود بهتر محافظت کنند.

افزایش شهرت

کسب‌وکارهایی که دارای گواهینامه ایزو  27001 هستند، می‌توانند از افزایش شهرت و افزایش سهم بازار بهره‌مند شوند. اجرای ISMS مطابق با استاندارد ایزو  27001و اخذ گواهینامه، به همه شرکا و مشتریان شما نشان می‌دهد که این سازمان فعالانه درگیر محرمانه‌بودن، در‌دسترس‌بودن و یکپارچگی اطلاعات است. این ایزو با القای اطمینان از ایمن بودن اطلاعات ارزشمند و حساس، مزیت رقابتی را برای مشاغل در هر بخش ایجاد می‌کند و آن‌ها را جلوتر از رقبایشان قرار می‌دهد. این امر به‌ویژه در میان مشتریان بین‌المللی، مشتریان سازمانی و سازمان‌هایی که الزامات امنیتی سختی دارند می‌تواند مهم باشد.

بهبود امنیت اطلاعات

با پیاده‌سازی چارچوب ایزو 27001، کسب‌و‌کارها می‌توانند وضعیت امنیت اطلاعات خود را بهبود بخشند و از دارایی‌های اطلاعاتی خود بهتر محافظت کنند. استاندارد ISO27001 سازمان‌ها را ملزم می‌کند که در قبال ریسک اطلاعات مسئولیت‌پذیر باشند. با گسترش دارایی‌های اطلاعاتی، این زنجیره فرمان شفاف، به شما کمک می‌کند تا نقش‌ها و فرآیندها را روشن کنید و از کنترل دسترسی مناسبی برخوردار شوید، بنابراین دیگر نگرانی‌ای بابت از دست رفتن اطلاعات نخواهید داشت.

ممیزی‌های مکرر را کاهش دهید

همان‌طور که نقض داده‌ها و حملات سایبری رایج‌تر می‌شوند، سازمان‌های بیشتری ISMS فروشندگان خود را بررسی می‌کنند تا اطمینان حاصل کنند که زنجیره تأمین آن‌ها محافظت می‌شود. گواهینامه ایزو 27001 می‌تواند به کاهش تعداد و هزینه‌های این ممیزی‌ها برای مشتریان فعلی و در طول چرخه فروش کمک کند.

چرا به ایزو 27001 نیاز دارید؟

استاندارد بین ‌المللی ISO27001، الزاماتی را برای تمرین کارآمد امنیت اطلاعات و اطمینان از استفاده مناسب از آن فراهم می‌کند. این ایزو شامل ارائه کنترل دسترسی، مدیریت ریسک، نظارت بر فعالیت‌ها، اطمینان از حریم خصوصی و حفظ محرمانه است. سازمان‌ها می‌توانند از آن برای ارزیابی اینکه آیا معیارهای کلیدی مانند داشتن فرآیند ارزیابی تهدید مستند، اجرای فرآیندهای کنترل دسترسی قوی، ارائه برنامه‌های آموزشی و آگاهی کافی و نگهداری سوابق دقیق فعالیت‌ها را برآورده می‌کنند یا خیر، استفاده کنند.

شرکت‌هایی که از استاندارد امنیت اطلاعات، ایزو  27001 پیروی می‌کنند، معتبرتر و قابل‌اعتمادتر دیده می‌شوند. یک ISMS مؤثر به اطمینان از محرمانه بودن، یکپارچگی، در‌دسترس‌بودن و صحت اطلاعات یک سازمان کمک می‌کند. پیاده‌سازی ISMS مطابق با ایزو  27001 نیازمند برنامه‌ریزی دقیق است.

استاندارد ایزو 37301 شامل راهنمایی‌هایی برای ایجاد، توسعه، اجرا، ارزیابی، حفظ و بهبود یک سیستم است که سیستم مدیریت انطباق موثر و پاسخگو در یک سازمان را فراهم می‌کند. دستورالعمل‌های مربوط به سیستم مدیریت انطباق و ایزو 19600 برای انواع سازمان‌ها قابل اجرا است و میزان استفاده از این دستورالعمل‌ها به اندازه، ساختار، ماهیت و پیچیدگی سازمان بستگی دارد. سازمان‌هایی که قصد پیشرفت دارند، بهتر است با کمک ایزو 19600 و رعایت استاندارد مدیریت انطباق، فرهنگ یکپارچگی و انطباق را در سازمان حفظ کنند. این استاندارد برای اولین بار در سال 2014 اجرا شد. استاندارد ۱۹۶۰۰ در سال ۲۰۲۱ مورد بازبینی قرار گرفت و ایزو ۱۹۶۰۰ منسوخ گردید و از این پس سیستم مدیریت انطباق با نام ایزو ۳۷۳۰۱ مورد استفاده قرار می گیرد.

سیستم مدیریت انطباق

ایزو 37301 یکی از انواع استانداردهای ایمنی براساس اصول مدیریت خوب، متناسب، شفاف و پایدار شکل گرفته است. سازمان‌هایی که قصد دارند در بلندمدت موفق باشند نیاز به حفظ فرهنگ انسجام و انطباق دارند و نیازها و انتظارات ذی‌نفعان را در نظر می‌گیرند. بنابراین انسجام و انطباق تنها اساس نیستند، بلکه نوعی فرصت به‌شمار می‌روند. سازمانی که تعهدات انطباق را در فرهنگ سازمان خود برآورده میکند به سازمانی موفق و پایدار تبدیل خواهد شد. البته بهتر است برای حفظ استقلال سازمان، ایزو 37301 و استاندارد مدیریت انطباق با فرآیندهای مالی، ریسک، کیفیت، محیط‌ زیست، مدیریت ایمنی و الزامات و رویه‌های عملیاتی ادغام شوند.

یک سیستم مدیریت انطباق موثر، سازمان را قادر می‌سازد تا تعهد خود نسبت به انطباق با قوانین مربوطه را نشان دهد. از جمله این قوانین می‌توان به الزامات قانونی، قوانین صنعت، استانداردهای سازمانی و همچنین استانداردهای حاکمیت شرکتی خوب، بهترین تجارب، اخلاق و انتظارات اجتماعی اشاره کرد.

 ساختار استاندارد ایزو 37301

استاندارد ایزو 37301 دارای ساختاری با ده بند اساسی است. این ساختار که با هدف بهبود هم‌راستایی با استانداردهای بین‌المللی ایزو توسعه داده شده‌ به شرح زیر است:

1-دامنه کاربرد

2-مراجع الزامی

3-اصطلاحات و تعاریف: در این بند تمام اصطلاحات و تعاریف مورد نیاز جهت پیاده‌سازی سیستم مدیریت انطباق مشخص می‌شود.

4-محتوای سازمان: محتوای سازمان در ایزو 37301 شامل مواردی از جمله شناe9edecسایی سازمان و محیط آن، درک نیازها و انتظارات طرف‌های ذی‌نفع، تعیین دامنه کاربرد سیستم مدیریت انطباق، سیستم مدیریت انطباق، تطابق الزامات و ارزیابی ریسک انطباق می‌شود.

5-رهبری: رهبری در استاندارد مدیریت انطباق شامل بخش‌های متعددی از جمله تعهد و رهبری، خط مشی انطباق، وظایف، مسئولیت‌ها و اختیارات سازمانی است.

6-طرح‌ریزی: برنامه‌ریزی یا طرح‌ریزی در استاندارد ISO 37301 شامل : شامل سه بخش اقداماتی برای رسیدگی به ریسک ها و فرصت ها – اهداف انطباق و برنامه‌ریزی برای نیل به آن‌ها – طرح ریزی تغییرات است.

7-پشتیبانی: ساختار پشتیبانی در استاندارد مدیریت انطباق شامل مواردی از جمله منابع، آموزش و صلاحیت، آگاهی، ارتباطات است.

8-فعالیت‌های عملیاتی: این بخش شامل طرح‌ریزی و کنترل عملیات، ایجاد کنترل و روش‌های اجرایی و فرآیندهای برون‌سپاری است.

9-ارزیابی عملکرد: ارزیابی عملکرد در استاندارد مدیریت انطباق شامل پایش، اندازه‌گیری، تحلیل و ارزیابی است که با کمک روش‌های جمع‌آوری اطلاعات، طبقه‌بندی و آنالیز اطلاعات، توسعه شاخص‌ها، گزارش‌های انطباق، نگهداری سوابق، ممیزی و بازنگری مدیریت صورت می‌گیرد.

10-بهبود: بهبود در سیستم مدیریت انطباق از طریق عدم انطباق و اقدام اصلاحی و بهبود مداوم صورت می‌گیرد. 

استاندارد ایزو 20000 اولین استاندارد مستقل در زمینه مدیریت خدمات فناوری اطلاعات (IT) است که به بودجه‌بندی و کنترل هزینه‌ها در فناوری اطلاعات و نرم‌افزار، کنترل کیفیت آن‌ها، کنترل مناسب در مراحل مختلف طراحی، تولید، تحویل و خدمات پس از فروش نرم‌افزار و فناوری اطلاعات می‌پردازد. مزیت اصلی استاندارد ایزو 20000 و پیاده‌سازی سیستم مدیریت خدمات فناوری اطلاعات، تخصصی بودن آن در زمینه صنعت فناوری اطلاعات است. ایزو 20000 و گواهینامه ISO 20000، توجه ویژه‌ای به خدمات پس از فروش نرم‌افزار و سخت‌افزار IT  دارد.

سیستم مدیریت خدمات فناوری اطلاعات

ایزو 20000 یا سیستم مدیریت خدمات فناوری اطلاعات، یک راهنمایی عملی به‌شمار می‌رود که امکان اجرای شیوه‌های مفید و ارزش افزوده برای یک سازمان را فراهم می‌کند. استاندارد ایزو 20000 نیازهای خاص یک سازمان را در نظر گرفته و به آن‌ها اجازه می‌دهد آن را به شکلی که مناسب می‌دانند، تطبیق دهند، برای همین هم این استاندارد و گواهینامه ISO 20000، استانداردی توصیفی و فراگیر به‌شمار می‌رود. در نهایت، سیستم مدیریت خدمات فناوری اطلاعات ایزو 20000 یک مدل یا چارچوب فراهم می‌کند که در همه سازمان‌ها، بدون در نظر گرفتن اندازه آن‌ها و بخش‌هایی که در آن فعالیت می‌کنند، قابل پیاده‌سازی است.

ایزو 20000 سبب امکان‌سنجی مناسب و تخصصی در صنعت  IT و مدیریت مناسب تغییرات در فناوری اطلاعات می‌شود. صرفه‌جویی در هزینه، جلب رضایت مشتریان و استفاده بهینه از فناوری‌ها از دیگر مزایای سیستم مدیریت خدمات فناوری اطلاعات هستند.

استاندارد ایزو 20000 و سیستم مدیریت خدمات فناوری اطلاعات با رویکرد فرآیندگرا  (Process approach)در جهت دستیابی به اهداف کسب‌وکار و خواسته‌های مشتریان در حوزه مدیریت خدمات IT تدوین شده است. ایزو 20000 ارائه‌دهنده راهنمایی‌ها و روش‌های مناسب برای خدمات فناوری اطلاعات تحت چارچوب ITIL است. ITIL نگاهی نوین برای ارائه پشتیبانی و بهبود خدمات فناوری اطلاعات است که مخفف اصلاح انگلیسی Infrastructure Library است. لازم به ذکر است که استاندارد ایزو 20000 از چرخه دمینگ و ساختارهای تقریباً شبیه به استاندارد ISO 9001 استفاده می‌کند اما الزامات آن کاملاً خاص فناوری اطلاعات IT است.

بخش‌های مختلف ISO 20000

استاندارد ISO/IEC 20000 دارای دو بخش است: بخش اول شامل الزامات سازمان برای مدیریت و تحول خدمات IT و بخش دوم ارائه‌دهنده آیین‌نامه‌های مربوطه است.

استاندارد ایزو 20000 و گواهینامه ISO 20000 تعیین‌کننده معیارهای برنامه‌ریزی، ایجاد، مدیریت، نظارت، بررسی، نگهداری و بهبود رویکرد مدیریت بر خدمات متمرکز بر فناوری اطلاعات در سازمان‌‌ها است. در این راستا، هدف این استاندارد کاهش هزینه‌های سازمانی و افزایش رقابت سازمانی است؛ برای اثبات این موضوع به تمامی مشتریان، خدمات یا سرویس‌های فناوری اطلاعات به‌صورت قابل اعتماد ارائه می‌شود.

اهداف ایزو 20000

سیستم مدیریت خدمات فناوری اطلاعات به عنوان مدیریت خدمات برای پاسخگویی به نیازهای کسب‌وکار تعریف شده است. فعالیت‌های ارائه خدمات فناوری اطلاعات باید به شیوه‌ای صحیح و منظم مطابق با اهداف خاصی از جمله پشتیبانی از خدمات فناوری اطلاعات در تمام زمان‌های درخواستی از سوی مشتریان، کاهش هزینه‌های IT، مدیریت ریسک خدمات فناوری اطلاعات، اطمینان از انطباق با الزامات قانونی، مدیریت تغییرات در خدمات شرکت، استفاده از خدمات فناوری اطلاعات با توجه به نیازهای کسب‌وکار برنامه‌ریزی شوند.