استاندارد بین المللی سیستم مدیریت امنیت اطلاعات الزامات مورد نیاز سیستم مدیریت امنیت اطلاعات را معیّن می کند. این استاندارد به سازمان کمک می کند اطلاعات خود را محافظت کند و اعتماد بخش های ذینفع و بویژه مشتریان را جلب نماید.
امنیت اطلاعات به معنای حفاظت از یکپارچگی، محرمانه بودن و دسترسی به اطلاعات می باشد. این یکی از مهمترین عوامل در تضمین پیوستگی کسب و کار یک سازمان است. اگر اطلاعات از دست رفته باشد، جبران آن ممکن است آسان نباشد. بنابراین، در شرایط در حال توسعه و به طور مداوم در حال تغییر، اهمیت و حفاظت از اطلاعات برای سازمان ها بسیار مهم خواهد بود.
استاندارد بین المللی سیستم مدیریت امنیت اطلاعات تلاش می کند تا :
- از اطلاعات حساس حیاتی سازمان، محافظت کند؛
- با افزایش سطح مدیریت امنیت اطلاعات در سازمان، خطرات ناشی از سرقت اطلاعات را کاهش دهد؛
- با تحقق الزامات قراردادی و اطمینان به مشتری که امنیت اطلاعاتش در سطح بالایی است یک فرصت رقابتی ایجاد نماید؛
- مدیریت ارشد سازمان را نسبت به امنیت اطلاعات، متعهد نماید.
شرکت هائی که اقدام به اخذ گواهینامه ISO 27001:2013می کنند ، در تلاش هستند تا :
- پیش بینی های لازم جهت حفاظت اطلاعات حساس در برابر دسترسی ها و تغییرات غیر مجاز را مبذول نمایند؛
- از اطلاعات مالی خود، مالکیت معنوی و اطلاعات حساس مشتریان محافظت کنند؛
- خطرات را شناسائی کنند و برای کاهش آن ها، کنترل های لازم را اعمال کنند؛
- یک فرهنگ امنیتی، درون سازمان ایجاد کنند؛
مهمترین اصول سیستم مدیریت امنیت اطلاعات ISO 27001 عبارتند از:
- حفظ حریم خصوصی: دسترسی اشخاصی که مجاز به دسترسی اطلاعات نیستند، بسته شده است؛
- قابلیت استفاده: هروقت لازم باشد اطلاعات بلافاصله در اختیار اشخاص مجاز قرار می گیرد.
مطالب مشابه : ISO9001:2015 چیست ؟
مهمترین اصطلاحات و تعاریف در استاندارد بین المللی سیستم مدیریت امنیت اطلاعات:
- دارائی: هرچیزی که برای سازمان، دارای ارزش است؛
- امنیت اطلاعات: حفظ محرمانگی، یکپارچگی و دسترس پذیری اطلاعات؛
- رویداد امنیت اطلاعات: رخداد شناسائی شده ی یک سیستم که دلالت دارد بر نقص احتمالی خط مشی امنیت اطلاعات یا نقص حفاظتی یا وضعیتی که ممکن است با امنیت مرتبط بوده باشد؛
- سیستم مدیریت امنیت اطلاعات ( ISMS: INFORMATION SECURITY MANAGEMENT SYSTEM ): قسمتی از سیستم مدیریت کلان که به منظور ایجاد، پیاده سازی، اجرا، پایش، بازنگری، نگهداری و بهبود امنیت اطلاعات بنا گردیده است؛
- ریسک باقیمانده: ریسک باقیمانده پس از برطرف سازی ریسک؛
- پذیرش ریسک: تصمیم برای پذیرش یک مخاطره؛
- تحلیل ریسک: استفاده ی نظام مند از اطلاعات به منظور شناسائی منابع و تخمین ریسک؛
- برآورد ریسک: فرآیند کلی تحلیل و ارزیابی ریسک؛
- ارزیابی ریسک: فرآیند مقایسه ی ریسک تخمین زده شده با معیار ریسک ارائه شده، به منظور تعیین اهمیت ریسک؛
- مدیریت ریسک: فعالیت های هماهنگ شده برای هدایت و کنترل یک سازمان با توجه به ریسک؛
- برطرف سازی ریسک: فرآیند انتخاب و پیاده سازی معیارهائی برای تعدیل ریسک؛
- بیانیه ی کاربست پذیری: بیانیه ی مستندشده ای که اهداف کنترلی و کنترل های وابسته و بکار برده شده در سیستم مدیریت امنیت اطلاعات سازمان را تشریح می کند.
[elementor-template id=”3137″]
