ساختار مدیریت امنیت اطلاعات ISO 27001
بخشی از استانداردهای فیزیکی ISO 27000 برای سیستم های مدیریت امنیت اطلاعات (ISMS) سیستمی است که سیاست ها و رویه ها را برای تمام جنبه های استراتژی مدیریت ریسک سازمان ارائه می کنند. ایزو ۲۷۰۰۱ قصد دارد فرآیندهای امنیتی جداگانه را به یک پلت فرم مدیریتی متصل کند ساده سازی روند مدیریت یک فناوری اطلاعات شرکتی، در نهایت، طراحی شده است جهت شناسایی هر گونه مشکلات بالقوه ای را که می تواند داده ها را در معرض خطر قرار دهد و سپس به وضوح تعریف می کند که چه چیزی باید انجام شود تا از این اتفاق جلوگیری شود. این گواهی شامل سیستم مدیریت و دستورالعمل های مربوط به نحوه استفاده از آن و همچنین صدور گواهینامه می شود اگر کسب و کار مورد بازرسی قرار گیرد تا اثبات کند که تمام شرایط مطابق استاندارد را برآورده سازد.
این برای غلبه بر چالش داشتن تعداد زیادی از خدمات مختلف در ارتباط با بخش های مختلف یک کسب و کار شرکت گنجانده شده است که اغلب فقط به صورت ad hoc در صورت نیاز اضافه می شود. به عنوان مثال: اگر چه برخی از مناطق یک شرکت ممکن است در معرض خطر بالا قرار بگیرند و بنابراین سیاست های رسمی حاکم بر حصول اطمینان از آن هستند، دیگر بخش هایی مانند: پرونده و دانش ممکن است با هیچ خط مشی یا رویه های رسمی تضمین نشوند آسیب پذیری ها هدف از ایزو ۲۷۰۰۱ این است که همه چیز را در یک مکان یا با یک راهکار مدیریتی که می تواند توسط مدیران در سراسر سازمان نظارت شود، به جای هر مدیر که وظیفه نظارت بر جنبه های کسب و کار را داشته باشد، تامین می کند.
تاریخچه ISO 27001
راهنمایی در مورد امنیت فناوری اطلاعات برای اولین بار در سال ۱۹۹۲ هنگامی که وزارت تجارت و صنعت (DTI) یک کد از عمل یا مدیریت امنیت اطلاعات منتشر کرد، معرفی شد.
در سال ۱۹۹۵ موسسه استاندارد بریتانیا آن را به عنوان BS7799 منتشر کرد. در طول سالها و در سال ۲۰۰۰ تجدید نظر شده بود، به سرعت به عنوان یک ISO ردیابی شد و ISO 17799 شد. در سال ۲۰۰۲، به روز شد و در بخش دوم معرفی شد – BS7799-2، مشخصات مدیریت امنیت اطلاعات به جای کد عمل. این بار با یک به روز رسانی سریع در سال ۲۰۰۵ وارد شد و به ISO27001 تبدیل شد.
در سال ۲۰۱۳ به طور قابل توجهی به روز شد، تعمیرات اساسی در مورد چگونگی کار ISO27001 یکی از مهمترین تغییرات این بود که نه تنها اسناد فیزیکی مورد توجه قرار می گرفت بلکه از پایگاه داده ها برای ذخیره اطلاعات استفاده می شد.
دستورالعمل های اصلی در ISO 27001
اگر چه نیازمندی های بسیاری در استاندارد ISO 27001 وجود دارد، نگرانی های اولیه در کسانی که برای سازمان برای صدور گواهینامه حسابرسی شده اند) این است که مدیریت باید به طور مداوم خطرات امنیتی را تحلیل کند، طراحی و پیاده سازی مجموعه ای از کنترل های امنیتی و نحوه مدیریت خطرات و اتخاذ یک فرآیند مدیریت کلی را تضمین می کند که کسب و کار هرگز در معرض خطر قرار نگرفته و نیازهای امنیتی به طور مداوم مورد توجه قرار می گیرد.