ISO 27001 راهکاری برای مدیریت امنیت اطلاعات سازمان

سیستم مدیریت امنیت اطلاعات که به عنوان ISMS شناخته می‌شود میان جامعه فناوری اطلاعات و افرادی که در حوزه IT  مشغول به کار هستند بسیار شناخته شده است. در اصل گواهینامه ISO 27001 بخشی از استانداردهای فیزیکی ISO 27000 است که سیاست و رویه‌های لازم جهت مدیریت ریسک سازمانی را فراهم می‌کند و به سازمان‌ها کمک می‌کند تا دارایی‌های اطلاعاتی خود را امن نگه دارند.

کسب گواهینامه این سیستم مدیریتی در بعضی مواقع به عنوان یک دستاورد بسیار مهم و کاربردی برای سازمان ها به حساب می‌آید. در واقع گواهینامه ایی به نام گواهینامه ISMS وجود ندارد و گواهینامه مذکور با عنوان گواهینامه ISO 27001 به سازمان ها و شرکت ها اعطا می‌شود. سیستم مدیریت امنیت اطلاعات به عنوان یک سیستم مدیریتی نقش بسیار مهمی را در سازمان ها و شرکت ها دارد. این سیستم مطابق با استانداردهای ISO 27001 که از سوی نهاد International Organization for Standardization  طراحی و تدوین شده است.

گواهینامه مدیریت امنیت اطلاعات نخستین بار در سال 1992 توسط وزارت تجارت و صنعت (DTI) معرفی شد و در سال ۱۹۹۵ موسسه استاندارد بریتانیا بازنگری شد. پس از آن با بازنگری‌های بعدی که روی این روند انجام شد این استاندارد به ISO 17799 تبدیل شد و پس با انجام چند مرحله بازنگری دیگر نهایتا در سال 2005 به استاندارد ISO 27001 تبدیل شد. بروزرسانی‌های این استاندارد با توجه به تغییرات فناوری ادامه پیدا کرد تا نهایتا در سال 2013 با اعمال یک مجموعه از تغییرات اساسی تمرکز این نسخه از روی اسناد صرفا فیزیکی به پایگاه داده‌های دیجیتالی هم گسترش پیدا کرد.

روشن است با وجود الزامات کامل امنیت اطلاعاتی که در این استاندارد در نظر گرفته شده است، پیاده سازی آن موجب ارتقای امنیت اطلاعات در حوزه های مختلف نظیر دارایی های اطلاعات، شبکه و سرویس های زیر ساخت، امنیت نرم افزار ها و سخت افزارها، امنیت فیزیکی، مدیریت حوادث و وقایع و …. در سازمان خواهد بود.

طبیعی است اگر سازمانی بتواند سیستم مدیریت امنیت اطلاعات در تمام واحد ها به درستی پیاده سازی و  مدیریت کند باعث اطمینان از تداوم تجارت و کاهش صدمات توسط ایمن ساختن اطلاعات و کاهش تهدیدها می‌شود.

همچنین پیاده سازی سیستم مدیریت امنیت اطلاعات علاوه بر موارد ذکر شده باعث اطمینان از سازگاری با استاندارد های امنیت اطلاعات و محافظت از داده‌ها، امکان رقابت بهتر با سایر شرکت‌ها از نظر امنیت داده‌ها و اطلاعات می‌شود.

حال دوره سرممیزی ISO 27001 به تاییدیه سازمان IRCA، در راستای همین سیستم مدیریت امنیت اطلاعات است و هدف از این استاندارد بین المللی، ارائه روشی است که بر اساس آن بتوان یک سیستم مدیریت امنیت اطلاعات در یک شرکت یا سازمان ایجاد و اجرا کند. الزامات امنیتی سازمان، فرآیندهای به کار گرفته شده و البته اندازه و ساختار سازمان بر پیاده سازی سیستم مدیریت امنیت اطلاعات سازمان تاثیر خواهد داشت. این دوره در حقیقت لازمه موفقیت هر سیستم مدیریتی است و تنها را برای اطمینان از صحت تدابیر سازمان برای محافظت از دارایی های خود است.

مخاطبان هدف این دوره در واقع مدیران ارشد سازمان هستند که حفظ امنیت اطلاعات سازمان بر عهده آن‌ها قرار دارد از این رو این دوره می‌تواند برای مدیران و متخصصان فناوری اطلاعات، مدیران و کارشناسان تضمین کیفیت، مدیران ارشد سازمانی، مشاوران امنیت و ممیزان داخلی سازمان‌ها مفید باشد.

از دیگر ویژگی‌های مثبت این استاندارد می‌توان به قابلیت یکپارچه‌سازی آن با سایر استانداردهای مدیریتی از جمله ایزو 9001  و ایزو 14001 را اشاره کرد؛ همچنین این ایزو برای پیاده‌سازی محدود به سازمان خاصی نیست و هر نوع شرکت خصوصی و دولتی در هر اندازه‌ای می‌تواند برای تامین و مدیریت امنیت اطلاعات خود از این استاندارد بهره‌برداری کند.