ایزو 27000

سیستم مدیریت امنیت اطلاعات


* محرمانگی: اطمینان از اینکه منابع فقط برای افراد مجاز سازمان در دسترس میباشند.
* یکپارچگی: تامین دقت لازم و کامل بودن منابع و دادهها و روش های پرداز ش آنها
* دسترس پذیری: اطمینان از این که افراد مجاز در تمامی زمانهای تعیین شده، به منابع و دادهها و سرمایههای موجود دسترسی داشته باشند.


ISO/IEC 27001 یک استاندارد بین المللی شناخته شده برای مدیریت امنیت اطلاعات است؛ این استاندارد به طور مستقیم از استاندارد مدیریت امنیت اطلاعات (BS 7799) متعلق به موسسه استاندارد انگلستان گرفته شده است.
ISO/IEC 27001 یک استاندارد سطح بالا است که برای سیستمهای تجاری گوناگون قابل پیادهسازی می باشد. در واقع ویژگی های این استاندارد سبب می شود که در سازمانهای مختلف و در زمینه های کاربردی مختلف قابل پیاده سازی باشد.

 

ISO/IEC 27001 منابع و دادههای هر سازمان را به عنوان سرمایههای آن سازمان در نظر می گیرد. هدف سیستم مدیریت امنیت اطلاعات حفاظت از این سرمایه هاست تا با این کار بتوان استمرار کسب و کار را تضمین نمود، آسیب پذیری آن را به حداقل رسانیده، بازگشت سرمایه را به بالا ترین مرز ممکن خود نزدیک کرد.

 

طبق تعریف ISO/IEC 27001، امنیت اطلاعات به منظور تضمین سه اصل زیر مورد نیاز میباشد:

 

مزایای استاندارد ISO/IEC 27001


امنیت اطلاعات می تواند نیازهای تجارت را در سه ضلعی محرمانگی، یکپارچگی و دسترسپذیری بر طرف سازد. در سیستم مدیریت امنیت اطلاعات، بر خلاف سیستمهای سنتی، به منظور تشخیص و جلوگیری از مواجهه با چالشهای امنیتی و بازیابی دادههای آسیب دیده به حالت اولیه خود، بهترین الگوها و مناسب ترین راهنمایی ها پس از انجام ارزیابی های مختلف در دسترس می باشند. ISO/IEC 27001 مبنایی را برای ایمن سازی سرمایههای سازمانی و روشهایی را برای مدیریت فرایند امنیت اطلاعات ارایه می نماید.
* برخورداری از یک متدولوژی سازمان یافته بین المللی برای مدیریت امنیت اطلاعات
* داشتن فرایندهای مشخص برای ارزیابی، اجرا، نگهداری و مدیریت امنیت اطلاعات
* برخورداری از مجموعه سیاست ها، استانداردها، روالها و رهنمونهای مناسب[/SIZE] ISO/IEC 27001 برای سازمانها مزایای زیر را به ارمغان می آورد:


اجزای تشکیل دهنده استاندارد ISO/IEC 27001
سرمایههای سازمانی به طور روزمره با تهدیدهای متعددی مواجه هستند و این در حالی است که سازمانها روز به روز به سرمایههای خود وابسته تر می شوند. بیشتر سیستم های اطلاعاتی به خودی خود ایمن نیستند و اعمال راه حل های تکنیکی فقط بخشی از یک راه حل کلی امنیت اطلاعات می باشد.
راه اندازی تجهیزات امنیت اطلاعات بسیار ضروری است، اما برای انجام چنین کاری، هر سازمانی باید در ابتدا محیطهای تهدیدآمیز خود را شناسایی نمایند. این محیطها دامنه طراحی و پیادهسازی سیستم مدیریت امنیت اطلاعات قلمداد می شوند.


با شناسایی دامنه های مخاطرات امنیتی، برای کاهش موجبات این مخاطرات می توان کنترل های مناسبی را طراحی نمود. ISO/IEC 27001 دارای کنترل های امنیتی در 11 دامنه بسیار جامع می


باشد که این 11 دامنه مبنای ارزیابی مخاطرات امنیتی و گسترش امنیت در نظر گرفته می شوند. دامنههای مذکور عبارتند از:

ساختار امنیت اطلاعات: Organization of Information Security 

  • مدیریت سرمایه: Asset Management
  • امنیت منابع انسانی: Human Resource Security
  • امنیت فیزیکی و محیطی: Physical & Environmental Security
  • مدیریت ارتباطات و عملیات: Communications & Operations Management
  • کنترلهای دسترسی: Access Controls
  • ایجاد، پیادهسازی و نگهداری سیستمهای اطلاعاتی: Information System Acquisition, Development and Maintenance
  • مدیریت بحران امنیت اطلاعات: Information Security Incident Management
  • مدیریت تداوم کسب و کار: Business Continuity Management
  • تطابق: Compliance 1. سیاست های امنیتی Security Policy : 

 

ISO/IEC 27001-BS 7799 مجموعه دامنه هایی را بدست می دهد که در مدیریت امنیت هر سازمان مورد نیاز میباشند. ممیزی عبارت است از نگرشی مدیریت شده به ضعفهای این نواحی که می تواند بر محرمانگی، یکپارچگی و قابلیت دسترسی سیستم های تکنولوژی اطلاعات تاثیرگذار باشد. ISO/IEC 27001 اظهار می دارد که در هر ناحیه، ممیز باید اوضاع کنونی را با توجه به معیار ها یا استاندارد های امنیتی -که می توانند سازمان را به بهترین نحو محافظت کنند- ارزیابی نماید.


استاندارد ISO/IEC 27001و یک روش پردازش برای مدیریت دادهها


یک روش پردازش، کاربران خود را برای اهمیت دادن به نکات زیر ترغیب می نماید:

  • درک نیازهای امنیت داده ای در تجارت و نیاز به ایجاد سیاست ها و اهدافی برای امنیت داده ها
  • اجرا و اعمال کنترل هایی در متن مدیریت تمامی مخاطرات امنیتی تجاری یک سازمان
  • نظارت و بازبینی کارایی و تاثیر ISMS
  • بهینه سازی پیوسته بر اساس معیارهای موردنظر.

 


این استاندارد از یک مدل شناخته شده تحت عنوان مدل Plan-Do-Check-Act یا PDCA به عنوان یک اصل پذیرفته شده استفاده می نماید. این مدل بایستی به تمامی فرایندهای سیستم مدیریت امنیت اطلاعات اعمال گردد. شکل زیر نشان می دهد که ISMS چگونه نیازها و انتظارات امنیت دادههای سازمان را به عنوان ورودی گرفته با انجام عملیات و فرایندهای لازم خروجی های مورد نیاز امنیت اطلاعات (مانند امنیت دادههای مدیریت شده) را فراهم می آورد.

 

ISO/IEC 27001 یک روش پردازشی برای ایجاد، اجرا، اعمال، نظارت، نگهداری و بهینهسازی کارایی سیستم مدیریت امنیت اطلاعات یک سازمان را ترویج میدهد. هر سازمانی برای اینکه درست کار کند، بایستی فعالیتهای زیادی را تعریف و مدیریت نماید. هر فعالیتی که برای تبدیل ورودی ها به خروجی ها با استفاده از منابع سازمان مدیریت گردد می تواند یک فرایند در نظر گرفته شود.

به کار بردن مجموعهای از فرایندها در یک سازمان همراه با شناسایی و فعل و انفعالات و مدیریت آنها می تواند یک “روش پردازش” تلقی گردد

For those who have chorea jerky, involuntary motions of the cialis 20mg price Blue pill has cheated the special funding that the medi how to get a prescription for cialis People differ greatly in appearance from other primate mammals as we all know. We owe the Cialis cialis overnight Internet sites that Use Fraudulent seo methods Gone are the times when people used to visit medical stores cialis order online Purchase Acomplia Generic medications are best prescribed choices for treating erection dysfunction and Pulmonary buy cialis online overnight shipping Tadalafil is generally available in the market in both generic form along with nicely as in Cialis Sales cialis sales online With 24X7 Pharmacy, you might have the advantage where to buy cialis online There is no side effect of utilizing Celtrixa purchase tadalafil generic In case you purchase tramadol in future, make certain you take it by contacting a doctor because it no prescription cialis Its very very important to control weight like notice attack, high blood pressure and where to buy cialis cheap