ایزو ۲۷۰۰۲
این نوشتار به هیچ منبع و مرجعی استناد نمیکند. |
ایزو ۲۷۰۰۲ (به انگلیسی: ISO/IEC 27002) یک استاندارد امنیت اطلاعات است که توسط سازمان بینالمللی استانداردسازی (ISO) و کمیسیون الکتروتکنیکی بینالمللی (IEC) و تحت عنوان تکنولوژی امنیت – تکنیکهای امنیت – دستورالعمل پیشنهادی برای مدیریت امنیت اطلاعات منتشر شدهاست.
ISO/IEC 27002:2005 از استاندارد بریتانیایی S7799 بدست آمدهاست که در اواسط ۱۹۹۰ منتشر شدهاست. این استاندارد بریتانیایی تحت عنوان ISO/IEC 17799:2000 با ISO/IEC سازگار شد، در سال ۲۰۰۵ بازبینی شد، و در سال ۲۰۰۷ با تغییر شماره (اما در غیر حال بدون تغییر) با مجموعه ایزو ۲۷۰۰۰ استانداردهای منطبق شد.
ایزو ۲۷۰۰۲ بهترین توصیههای مدیریت امنیت اطلاعات را به منظور استفاده اشخاصی که مسئول آماده سازی، پیاده سازی یا نگهداری و بهره برداری سیستم مدیریت امنیت اطلاعات هستند را به ارمغان میآورد. امنیت اطلاعات در این استاندارد را می توان به سه حرف C-I-A تعریف کرد:
- رازداری (Confidentiality): تضمین میکند که اطلاعات تنها توسط کسانی که مجاز به دسترسی به آنها هستند قابل دستیابی است.
- یکپارچگی (Integrity): حفاظت از دقت و تمامیت روشهای پردازش و اطلاع رسانی.
- در دسترس بودن (Availability): اطمینان از آن که تنها افراد مجاز و در زمان نیاز میتوانند به اطلاعات و موارد متناسب با آنها دسترسی داشته باشند.
طرح کلی[ویرایش]
پس از قسمتهای مقدماتی، استاندارد شامل ۱۲ قسمت میشود:
- ارزیابی ریسک
- سیاستهای امنیتی – سوگیریهای مدیریتی
- سازماندهی مدیریت اطلاعات – حاکمیت بر امنیت اطلاعات
- مدیریت سرمایه – فهرست موجودی و طبقه بندی منابع اطلاعات
- امنیت منابع انسانی – جنبههای امنیتی برای به هم پیوستن و خروج از سازمان و همچنین جابجایی در سازمان
- امنیت فیزیکی و محیطی – حفاظت ادوات کامپیوتری
- مدیریت عملیات و ارتباطات – مدیریت کنترلهای امنیتی تکنیکی، در شبکهها و سیستمها
- کنترل دسترسی – محدودیتها در اجازه دسترسی به شبکهها، سیستمها، برنامههای کاربردی، توابع و دادهها
- ردیابی، توصعه و نگهداری سیستمهای اطلاعات – گسترش محدودههای امنیتی به برنامههای کاربردی
- مدیریت اتفاقات امنیت اطلاعات – پیشبینی و پاسخ دهی مناسب به شاخههای امنیت اطلاعات
- مدیریت تداوم کسب و کار – محافظت، نگهداری و بازیابی سیستمها و پروسههای شغلهای بحرانی
- موافقت – تضمین پیروی از سیاستهای امنیت اطلاعات استانداردها، قوانین و مقررات تنظیمی
در هر بخش، کنترلهای امنیتی اطلاعات و اهداف آنها مشخص و خلاصه شدهاست. کنترلهای امنیت اطلاعات به طور کلی بهترین وسیله جهت دستیابی به این اهداف هستند. برای هر یک از کنترلها، راهنمای پیاده سازی ارائه شدهاست. برخی کنترلها لازمالاجرا نیستند زیرا:
- از هر سازمان است انتظار میرود با انجام یک فرایند ارزیابی ریسک امنیت اطلاعات ساخت یافته، پیش از انتخاب کنترلهایی متناسب با شرایط خاص سازمان، به تعیین نیازمندیهای خاص خود بپردازند. بخش مقدمه به تشریح فرایند ارزیابی خطر میپردازد. با این حال استانداردهای دیگری نیز این فرایند را پوشش میدهند؛ مثل ISO/IEC 27005. استفاده از فرایند تجزیه و تحلیل خطر امنیت اطلاعات به منظور انتخاب و پیاده سازی کنترلهای امنیت اطلاعات از ویژگیهای مهم استانداردهای سری ISO/IEC 27000-series است: بدین معنی که از توصیههای عملی عمومی در این استاندارد به قسمت خاصی از هر سازمان منطبق میشود، و بصورت خط به خط و بدون فکر نباید اعمال شود. همه ۳۹ هدف کنترلی لزوماً به هر سازمان مروب طنمی شود. این استانداردها بسته نیستند، به این معنا که کنترل امنیت اطلاعات را می توان 'پیشنهاد‘ و به آن اضافه کرد، ودر را برای کاربران جهت اتخاذ کنترلهای جایگزین (در صورت تمایل) باز میگذارد. این موضوع به شرطی برقرار است که وجود حداقل اهداف کنترل شونده لازم برای پوشش خطرات امنیت اطلاعات نقض شود.
- فهرست کردن تمام کنترلهای قابل تصور در یک استاندارد جامع به طور عملی غیر ممکن است. در آماده سازی این استاندارد دستورالعملهای پیاده سازی ISO/IEC 27001 و ISO/IEC 27002 مختص صنعت، مثلاً توصیههایی برای صنایع مخابرات (ISO/IEC 27011) و بهداشت و درمان (ISO 27799)، دستورالعملهای اضافی برای خدمات مالی و سایر صنایع جای داده شدهاند.
گواهینامه[ویرایش]
ISO/IEC 27002 یک استاندارد پیشنهاددهندهاست. بدین معنی که تفسیرها و کاربردهای آن به تمام انواع سازمانها با اندازههای گوناگون، باید با توجه به خطرات امنیت اطلاعاتی است که در سازمان با آن مواجه میشوند. استاندارد ISO/IEC 27001 تعدادی از نیازمندیهای اساسی را برای پیاده سازی، اجرا، نگهداری، و ارتقای یک ISMS تعیین میکند و در ضمیمه A مجموعهای از کنترل امنیت اطلاعات را که سازمانها با آن مواجه میشوند بیان شدهاند که لازم است با شرایط مکانی که ISMS در آن حضور مییابد منطبق شود. کنترلهای موجود در ضمیمه A با استاندارد ISO/IEC 27002 سازگار است.
توسعه مداوم[ویرایش]
هر دو استاندارد ایزو ۲۷۰۰۱ و ایزو ۲۷۰۰۲ در حال حاضر توسط ISO/IEC JTC1/SC27 بازبینی شدهاند. این عمل روندی است که هر از چند سالی به منظور به روز و مرتبط نگه داشتن استانداردهای ایزو انجام میشود. برای مثال می توان به ارجاع و به کار گرفتن دیگر استانداردها (مثل ایزو ۲۷۰۰۰، ایزو ۲۷۰۰۴ و ایزو ۲۷۰۰۵) در این استاندارد و دیگر استانداردهای خوب در این زمینه بوجود میآید استفاده میشود.
جستارهای وابسته[ویرایش]
- BS 7799 استاندارد بریتانیایی اصلی که ایزو ۱۷۷۹۹ و ایزو ۲۷۰۰۲ از آن نشات گرفتهاند.
- حرفهای بودن در امنیت اطلاعات
- مجموعه ایزو ۲۷۰۰۰
- حفاظت مرزهای IT
- مدیریت خطر IT
- فهرست استانداردهای ایزو
- قانون ساربنز-آکسلی ۲۰۰۲
- استاندارد پیاده سازی مناسب که توسط انجمن امنیت اطلاعات