استاندارد ISO / IEC 27000 از استانداردهای امنیت اطلاعات، که همچنین به عنوان سری ISO 27000 شناخته می شود، توسط سازمان بین المللی استاندارد (ISO) و کمیسیون بین المللی الکتروتکنیک (IEC) برای ارائه یک چارچوب جهانی شناخته شده برای بهترین عمل توسعه داده شده است. مدیریت امنیت اطلاعات.

این استانداردهای امنیتی به سازمانها کمک می کند اطلاعات دارایی های اطلاعاتی خود را مانند اطلاعات مالی، جزئیات کارکنان و مالکیت معنوی حفظ کنند.

ISO / IEC 27001 چیست؟

ستون سری ISO 27000 ISO / IEC 27001: 2013 (همچنین به عنوان ISO 27001 شناخته می شود). این استاندارد شرایطی را مطرح می کند که یک سیستم مدیریت امنیت اطلاعات سازمان (ISMS) می تواند مورد حسابرسی و تایید آن قرار گیرد. گواهینامه ISO 27001 سازمان هایی را در هر اندازه ای و در هر صنعت می تواند اثبات نماید که آنها با مقررات قانونی و قانونی مرتبط با امنیت اطلاعات مطابقت دارند. این نشان می دهد که سازمان دارای چارچوبی برای حفاظت و نگهداری اطلاعات محرمانه، شخصی و حساس است.ISO 27001 یک چارچوب اثبات شده را فراهم می کند که به سازمان ها کمک می کند تا از طریق فناوری موثر، روش های حسابرسی و آزمایش، فرایندهای سازمانی و برنامه های آگاهی کارکنان، اطلاعات خود را محافظت کنند.

حملات سایبری یکی از بزرگترین خطراتی است که سازمان با آن مواجه است.آنها همچنان در مقیاس و پیچیدگی رشد می کنند و هکرها را تهدیدی جدی برای هر صنعتی می کند که از فناوری استفاده می کند.شرکت هایی که از هر نوع اندازه هستند، به تدریج نگران اجرای راه حل های موثر و مقرون به صرفه برای محافظت از اطلاعات شخصی و شخصی خود هستند.

چرا استفاده از استانداردهای ISO / IEC 27000 سری؟

امنیت اطلاعات برای همه سازمان ها بسیار مهم است. با گسترش روزافزون و وابستگی به فناوری اطلاعات، ضروری است که سازمانها از خصوصیات مهم اطلاعات خود برای تامین نیازهای عملیاتی خود محافظت کنند و از اعتماد مشتریان، مشتریان و شرکای خود اطمینان حاصل کنند.

سازمان هایی که شیوه های امنیت اطلاعات خود را با استاندارد ISO / IEC 27000 ادغام می کنند می توانند:

• دارایی های حیاتی خود را ایمن نگه دارید.
• مدیریت خطرات موثرتر.
• بهبود و حفظ اعتماد به نفس مشتری.
• تطابق با بهترین روش بین المللی را نشان دهید.
• اجتناب از آسیب رساندن به نام تجاری، از دست دادن درآمد و یا جریمه های احتمالی قانونی.
• وضعیت امنیت اطلاعات خود را در کنار پیشرفت های تکنولوژیکی توسعه می دهد.
• ارزیابی ریسک - یک رویکرد کمی یا کیفی برای تعیین خطرات به دارایی های سازمانی. درجه ریسک بر اساس تاثیر بر دارایی و احتمال وقوع آن است.

مجموعه ISO 27000 توصیه هایی را برای "ایجاد، اجرای، مدیریت، نظارت، بررسی، نگهداری و بهبود سیستم مدیریت امنیت اطلاعات" ارائه می دهد. استاندارد را می توان به بخش های زیر تقسیم کرد:

• • سیاست امنیتی - اظهارات رسمی که انتظارات امنیتی سازمان را تعریف می کند.
  • مدیریت دارایی - موجودی و طبقه بندی دارایی های اطلاعاتی.
  • امنیت منابع انسانی - جنبه های امنیتی برای کارمندان در حال پیوستن، در حال حرکت درون یا برای کسانی که از سازمان خارج می شوند.
  • امنیت فیزیکی و محیط زیست - سیستم های جسمی / ملموس مورد استفاده برای محافظت از سیستم ها و داده ها مانند سیستم های هشدار، نگهبان ها، طرح های دفتر، درهای قفل شده، صفحه کلید، دوربین ها و غیره.
  • مدیریت ارتباطات و عملیات - مدیریت کنترل های امنیتی فنی در سیستم ها و شبکه ها.
  • کنترل دسترسی - محدود کردن حقوق دسترسی به شبکه ها، سیستم ها، برنامه ها، توابع و داده ها؛ حفظ محرمانه بودن اعتبار دسترسی و یکپارچگی سیستم های کنترل دسترسی.
  • سیستم های کسب اطلاعات، توسعه و نگهداری - ایجاد امنیت در برنامه های زمانی که آنها طراحی شده و یا خریداری شده است.
  • مدیریت حوادث امنیتی - برنامه ریزی و پاسخ مناسب به نقض امنیت اطلاعات.
  • مدیریت تداوم کسب و کار - حفاظت، نگهداری و بازیابی فرآیندهای حیاتی کسب و کارسیستم هنگامی که آنها در دسترس نیست .

• در اسناد ISO 27001 مشخصاتی وجود دارد که می توانید یک سیستم ISMS شرکت برای گواهینامه بالقوه ارائه کنید. فرآیند صدور گواهینامه پس از یک سازمان معتبر به وجود می آید که شرکت مطابق با الزامات مندرج در ISO 27001 است. پس از این سازمان تعیین می کند که این شرکت الزامات ISO 27001 را برآورده، گواهینامه اعطا شده است. صدور گواهینامه باید هر سه سال یکبار تجدید شود و مورد بررسی قرار می گیرد.
• مطابق با استانداردهای ایزو شرکت ها را با اعتبار نامه ای نشان می دهد که نشان می دهد شرکت مطابق با الزامات این استاندارد شناخته شده است. این همچنین به کارمندان و مشتریان اطمینان بیشتری می دهد که اطلاعاتشان با شرکت ایمن است. در برخی موارد، شرکت ها ممکن است نیاز به گواهینامه ایزو برای انجام کسب و کار داشته باشند. استاندارد ISO 27000 حاوی بسیاری از توصیه های مفید است و شرکت ها تشویق می شوند تا با توصیه های خود آشنا شوند، حتی اگر آنها در صدور گواهینامه برنامه ریزی نکنند. بدست آوردن استاندارد برای به دست آوردن هزینه هزینه می کند؛ با این حال، تمرین کنندگان واجد شرایط می توانند در آمادگی برای تلاش برای انطباق کمک کنند.خلاصه : ایزو 27000 شامل شش بخش است که از الزامات صدور گواهینامه ایزو27000، رهنمودها برای دستیابی به الزامات و دستورالعمل های مربوط به اعتباربخشی سازمان ها است.استاندارد توصیه های مفیدی برای شرکت هایی که به دنبال صدور گواهینامه هستند و همچنین کسانی که علاقه مند به بهبود امنیت آنها هستند علاقه مند هستند.همانند استاندارد کیفیت ISO 9000، ISO 27000 اختیاری است اما ممکن است به زودی یک نیاز تجاری باشد.