استاندارد ISO IEC 27001 - مديريت امنيت اطلاعات

 ISO27002 ISO/IEC17799:2000 استاندارد ISO / IEC 27001 استاندارد BS 7799 استاندارد ISO / IEC 27001 مديريت امنيت اطلاعات

استاندارد ISO / IEC 27001 : مديريت امنيت اطلاعات

استاندارد ISO/IEC 27001 را در اين مطلب تشرح مي نماييم . در حال حاضر، وضعيت امنيت فضاي تبادل کشور، به ويژه در حوزه دستگاه هاي دولتي و خصوصي ، در سطح نامطلوبي قرار دارد. از جمله دلايل اصلي وضعيت موجود، مي توان به فقدان زيرساخت هاي فني و اجرائي امنيت و عدم انجام اقدامات موثر در خصوص ايمن سازي فضاي تبادل اطلاعات اين دستگاه ها اشاره نمود.

بخش قابل توجهي از وضعيت نامطلوب امنيت اطلاعات به واسطه فقدان زير ساخت هايي از قبيل نظام ارزيابي امنيتي فضاي تبادل اطلاعات ، نظام صدور گواهي و زير ساختار کليد عمومي ، نظام تحليل و مديريت مخاطرات امنيتي ، نظام پيشگيري و مقابله با حوادث فضاي تبادل اطلاعات ، نظام مقابله  با جرائم فضاي تبادل اطلاعات و ساير زيرساخت هاي امنيت فضاي تبادل اطلاعات در کشور مي باشد.

از سوي ديگر وجود زير ساخت هاي قوي ، قطعا تاثير بسزايي در ايمن سازي فضاي تبادل اطلاعات دستگاه هاي دولتي خواهد داشت.

صرف نظر از دلايل فوق ، نا بساماني موجود در وضعيت امنيت فضاي تبادل اطلاعات دستگاه هاي دولتي  از يکسو موجب بروز اخلال در عملکرد صحيح دستگاه ها  شده و کاهش اعتبار اين دستگاه ها را در پي خواهد داشت. و از سوي ديگر موجب اتلاف سرمايه ها ي ملي خواهد شد. لذا همزمان با تدوين سند راهبردي امنيت فضاي تبادل اطلاعات (افتا) کشور، توجه به مقوله ايمن سازي فضاي تبادل اطلاعات دستگاه هاي دولتي ، ضروري ، نقش موثرتري در فرايند تدوين سند راهبردي امنيت فضاي تبادل اطلاعات کشور خواهد داشت.

با ارائه اولين استاندارد مديريت امنيت اطلاعات در سال 1995 نگرش سيستماتيک به مقوله امنيت اطلاعات شکل گرفت .براساس اين نگرش تامين امنيت اطلاعات در يک مجموعه سازماني ،دفعتا مقدور نمي باشد و لازم است امر به صورت مداوم در يک چرخه ايمن سازي شامل مراحل :

1- طراحي     2- پياده سازي    3- ارزيابي     4- اصلاح   انجام گيرد براي اين منظور لازم است هر سازمان بر اساس يک متدلوژي مشخص ، ضمن تهيه طرح ها و برنامه هاي امنيتي مورد نياز ، تشکيلات لازم جهت ايجاد و تداوم امنيت اطلاعات خود را نيز ايجاد نمايد.

موسسه بين المللي استاندارد  (ISO) در سال 2000 بخش اول استاندارد BS 7799  را تحت عنوانISO/IEC17799:2000  و سپس در قالب ISO27002 منتشر نمود. بخش دومBS  7799  نيزتوسط  موسسه بين المللي استاندارد(ISO) در قالب  ISO 27001ارائه شد.

طريقه عملکرد استاندارد

بسياري از سازمان‌ها يک سري کنترل‌هاي امنيت اطلاعات براي خود تعيين مي‌کنند. با اين حال، بدون سيستم مديريت امنيت اطلاعات (ISMS)، کنترل حدودي بي ساماني و عدم يکپارچگي مي‌انجامد. اين سيستم را مي‌توان به صورت راه حل‌هاي نقطه‌اي (براي شرايط خاص) و يا به طور سرتاسري مثل قانون (کنوانسيون) پياده سازي کرد. به طور معمول کنترل‌هاي امنيتي در عمل جنبه‌هاي خاصي از امنيت IT و/يا داده‌ها را هدف قرار مي‌دهد؛ و اطلاعات و جنبه‌هاي غير IT (مانند کارهاي اداري و اطلاعات خصوصي شرکت) کمتر محافظت مي‌شوند. علاوه بر اين، برنامه ريزي کسب و کار و حفاظت فيزيکي کاملاً به طور مستقل از IT و/يا امنيت اطلاعات اداره مي‌شود، در حالي که معمولاً در سازمان، مرجعي که نياز به تعريف و اختصاص دادن امنيت اطلاعات در نقش‌ها و مسئوليت‌هاي منابع انساني داشته باشد وجود ندارد.

ISO/IEC 27001 مستلزم مديريت موارد زير است:

بررسي سيستماتيک خطرات امنيتي اطلاعات سازمان، با در نظر گرفتن تهديدها، آسيب پذيري‌ها، و اثرات و عواقب؛

طراحي و پياده سازي يک مجموعه منسجم و جامع از کنترل امنيت اطلاعات و/يا ديگر اشکال مقابله با خطر (مانند پيشگيري ازخطرات يا انتقال ريسک؛ بيمه) براي هدف قرار دادن آن دسته از خطراتي که اجتناب ناپذير تلقي مي‌شوند؛

انطباق يک پروسه مديريت فراگير به سازمان از تداوم کنترلهاي امنيتي اطمينان حاصل شود. تا گسترش و پيشروي سازمان به جلو، هميشه نيازهاي امنيتي اطلاعات سازمان رفع شود.

در حالي که ممکن است به غير از (يا به جاي) ISO/IEC 27002 (کد از تمرين براي مديريت امنيت اطلاعات) مجموعه ديگري از کنترل‌هاي امنيت اطلاعات به طور بالقوه تحت لواي ISO/IEC 27001 ISMS به کار گرفته شوند، ولي معمولاً اين دو استاندارد در کنار هم استفاده مي‌شود. ضميمه A در ISO/IEC 27001 فهرستي خلاصه از کنترل‌هاي امنيتي اطلاعات موجود در ISO/IEC 27002را بيان مي‌کند. اين در حالي است که ISO/IEC 27002 اطلاعات بيشتر و راهنمايي‌هاي پياده سازي را فراهم مي‌کند.

سازمان‌هايي که مجموعه‌اي از کنترل‌هاي امنيت اطلاعات را مطابق با ISO/IEC 27002 پياده سازي کرده‌اند، به احتمال زياد، همزمان تمايل به اجراي بسياري از الزامات ISO/IEC 27001 را دارند. اما ممکن است برخي از المان‌هاي سيستم مديريت فراگير را اجرا نکرده باشند. برعکس اين قضيه نيز درست است، به عبارت ديگر، يک گواهي تضمين مطابق با ISO/IEC 27001 اطمينان مي‌دهد که پياده سازي سيستم مديريت در زمينه امنيت اطلاعات تضمين شده‌است. ولي در مورد وضعيت مطلق امنيت اطلاعات در درون سازمان اطلاعات کمي را در اختيار ما قرار مي‌دهد. کنترل‌هاي امنتي تکنيکي، مثل ضدويروس‌ها و ديوارهاي آتش، به طور عادي در ISO/IEC 27001 مورد بحث نيستند: در اين استاندارد پيشفرض آن است که سازمان همه کنترل‌هاي امنيتي لازم براي ISMS را به طور کلي در در حال اجرا دارد و تنها برآورده کردن الزامات ISO/IEC 27001 باقي مانده‌است. به علاوه، اين سيستم مديريت، حوزه‌هايي از ISMS را که جهت صدور گواهينامه (که ممکن است آن را به يک واحد کسب و کار نيز محدود کند) لازم هستند را مشخص مي‌کند. گواهي ISO/IEC 27001 لزوما به معناي آن نيست که قسمت‌هايي از سازمان که در خارج از حوزه گواهينامه هستند، نيز رويکرد کافي براي مديريت امنيت اطلاعات را دارا هستند.

استانداردهاي ديگر خانواده ISO/IEC 27000 به ارائه راهنمايي‌هاي اضافي در جنبه‌هاي خاصي از طراحي، پياده سازي و اجراي ISMS (براي مثال خطر در مديريت امنيت اطلاعات ISO/IEC 27005) مي‌پردازند.

تعدادي از ثبت کننده‌هاي معتبر جهاني مي‌توانند براي يک ISMS گواهي انطباق با استاندارد ISO/IEC 27001 را صادر کنند. دريافت هر نوع از نسخه‌هاي ملي شده (در کشورهاي مختلف) استاندارد????? (مثل نسخه ژاپني آن؛ يعني JIS Q 27001) توسط ثبت کننده‌هاي معتبر جهاني، با دريافت استاندارد ISO/IEC 27001 معادل است. در برخي کشورها، آن دسته از شخصيت‌هاي حقوقي که انطباق سيستم مديريت با با استانداردهاي خاص ارزيابي مي‌کنند، ”گواهي دهنده“ اتلاق مي‌شود، در حالي که در برخي ديگر از کشورها ”ثبت کننده“ يا عناوين ديگر اتلاق مي‌شود. گواهي ISO/IEC 27001 مثل ديگر گواهي‌هاي سيستم مديريت ISO معمولاً شامل وارسي خارجي سه مرحلهاي است:

مرحله ?: مرور مقدماتي و تهيه گزارش ISMS است. مثلاً بررسي وجود و کامل بودن اسناد و مدارک کليدي، مثل سياست امنيتي اطلاعات سازمان، منشور کاربرديات (SoA) و برنامه رفع خطر (RTP). هدف اين مرحله شناساندن افراد با سازمان و برعکس است.

مرحله ?: يک مميزي انطباق دقيق تر و رسمي تر است که به طور مستقل ISMS را بر اساس الزامات مشخص شده در ISO/IEC 27001 بررسي مي‌کند. حسابرسان به دنبال شواهدي براي تاييد طراحي و پياده سازي و بهره برداري صحيح سيستم مديريت هستند (مثلاً تاييد اين که ”کميته امنيت“و يا يک شخصيت حقوقي مشابه، به طور منظم براي نظارت بر ISMS سيستم را بازبيني مي‌کند). گذراندن اين مرحله نشان دهنده سازگاري ISMS با گواهي با ISO/IEC 27001 است.

مرحله ?: شامل بازرسي يا مميزي‌هاي متعاقب به منظور تائيد ادامه سازگاري و انطباق سازمان با استاندارد است. نگهداري گواهينامه نيازمند مميزي‌هاي دوره‌اي براي تائيد ادامه فعاليت ISMS بر اساس مشخصه‌ها و اشارات استاندارد است. اين عمل بايد حداقل يالي ? مرتبه انجام انجام شود، ولي (با تفاوق طرفين) مي‌تواند به دفعات بيشتر نيز انجام شود؛ خصوصاً در زماني که ISMS هنوز در پياده سازي استاندارد به تکامل نرسيده‌است.

خط تولید  ، خدمات فنی و مهندسی ،کارخانه تولید ،خط تولید لوله پنج لایه pex،خط تولید لوله پکس ،محصولات پلیمری ،صنعت پلیمر ، محصولات لاستیک و پلاستیک ، ماشین آلات تولید ،راه اندازی کارخانه ، نصب و راه اندازی خط تولید ، مشاوره صنعتی ، مشاوره تولیدی ،سرمایه گذاری صنعتی و تولیدی ، طرح توجیهی ، پروژه صنعتی ، سازنده خط تولید ،سازنده ماشین آلات ،اکسترود تولید ،سازنده اکسترودر تولید ،اکستروژن ،سازنده_دستگاه تولید لوله پنج لایه ،پلیمر ،تکنولوژی تولید ،فرآیند تولید ،تجهیزات صنعتی،

خط توليد پروفيل در و پنجره upvc، خط توليد داکت برق، خط توليد پنل ديوارپوش ، پانل ديواري و سقف کاذب pvc، خط توليد لوله پليکا PVC، خط توليد لوله تک لايه PEX ،خط توليد لوله پنج لايه کامپوزيت آلومينيوم و پکس  PEX AL PEX، خط توليد لوله يک لايه وچند لايه پلي اتيلن و پلي پروپيلن و پکس PP,PE,PEX، دستگاه لمينيت پانل، دستگاه هات استمپ پانل PVc خط UV ، هاي لايت يا براق پانل

,p production line FIVE LAYER PIPE ,PEX FIVE LAYER PIPE ,PIPING_PEX ,TUBE PEX ,PEX piping, ,PEX_AL_PEX ,PEX PIPE ,PEX_TUBE,production line ,PRODUCTION LINE POLYMER ,Trading Company, ,Production plan ,Industrial design ,Production Project ,Industrial project ,Technical Services ,Engineering services ,production technology ,Production Process ,Industrial equipment ,Machinery, ,Machine ,Setup Factory ,Installation production line Industry,Extrude,extrusion ,Industrial, ,Manufacturer production line, Manufacturer machines and machinery, #pex_pipe_production_line,

,Pex pipe machinery, Pex pipe machine, FIVE LAYER PIPE , ، PIPE PEX-AL-PEX ، pex five layer pipe production line, pex piping production machine  pex pipe، pex tube machinery، PEX tubing، PIPE MANUFACTURE pex-al-pex-pipe-five-layer-production-line-machinery-machine- piping-tubing-tube-ManufacturerEX-AL-PEX PIPE production machine|pex five layer pipe production line| piping machinery| tube tube|PEX tubing| tubing MANUFACTURE FIVE LAYER PIPE , , PERT ، PIPE PEX-AL-PEX ،pex pipe , pex five layer pipe production line, pex pipe production line  pex، pex piping ، pex pipe mashinery، PEX PIPE MACHINE،PEX AL PEX PIPE

خط توليد لوله پنج لايه و تک لایه آلومینیوم و پکس pex ، ماشین آلات توليد لوله پنج لایه و تک لایه پکس PEX ، دستگاه تولید لوله هاي پنج لايه ، کارخانه تولید لوله پنج لایه PEX ، خط تولید لوله تک لایه PEX , PERT خط-تولید-دستگاه-لوله-پنج-لایه-پکس-آلومینیومخط توليد لوله پنج لايه و تک لایه کامپوزیت آلومینیوم و پکس pex ، ماشین آلات توليد لوله پنج لایه و تک لایه پکس PEX ، دستگاه تولید لوله هاي پنج لايه ، کارخانه تولید لوله پلي اتيلن PEX ،