ایزو 27001

ایزو 27001

ایزو 27001 چیست ؟

“ISO/IEC27001” جزء خانواده استاندارد و ایزو 27001 استاندارد سیستم مدیریت امنیت اطلاعات ISMS میباشد. ایزو 27001 سیستم مدیریت امنیت اطلاعات در سال 2005 توسط سازمان بین المللی استاندارد ایزو همچنین کمیسیون بین المللی برق تدوین و منتشر شد. نام کامل ایزو 27001 سیستم مدیریت امنیت اطلاعات تکنولوژی اطلاعاتی، تکنیک های امنیتی، سیستم مدیریت امنیت اطلاعاتی و نیازمندیها میباشد.

متن” استاندارد ایزو 27001″ دو نوبت توسط سازمان بین المللی ایزو در سال 2013 میلادی و 2017 میلادی ویرایش شده. بنابراین آخرین ویرایش استاندارد ایزو 27001 مربوط به سال 2017 میلادی میباشد.

“استاندارد BS7799” سال 2000 میلادی توسط سازمان بین المللی ISO مورد بازبینی قرارگرفت و در ابتدا با عنوان ISO/IEC17799  مورد مطالعه قرار گرفت. ISO/IEC17799 در ژوئن 2005 مورد بازبینی قرار گرفت و در نهایت سال 2007 میلادی با عنوان ISO/IEC 27001:2007 منتشر شد. آخرین ویرایش استاندارد مربوط به سال 2017 میلادی میباشد.

ISMS چیست؟

ISMS مخفف Information Security Management System است و به معنای سیستم مدیریت امنیت اطلاعات می باشد و یک چارچوب منطقی و منظم شامل سیاست ها، فرآیندها، روش ها، نقش ها، مسئولیت ها، منابع و فعالیت های لازم برای حفاظت از دارایی های اطلاعاتی سازمان است. در واقع پایه گذاری یک ISMS در سازمان یا شرکت کمک می کند تا:

  • ریسک های مربوط به امنیت اطلاعات را شناسایی و مدیریت شود.
  • نقص های امنیت اطلاعات پیدا شده و رفع شود.
  • به صورت مستمر نسبت به عملکرد امنیت اطلاعات بهبود یابد.
  • الزامات قانونی، قراردادی و سایر الزامات مدنظر ذینفعان رعایت شود.

بنابراین می توان گفت که پیاده سازی و اجرای یک ISMS مطابق با الزامات ایزو 27001 رویکردی است که نقش اساسی در حفظ امنیت اطلاعات مطابق با استانداردهای جهانی دارد و ریسک و خطر نفوذ اطلاعات را در سامانه ها و پایگاه های داده شرکت یا سازمان شما به کمترین میزان خود می رساند.

مقاله مرتبط : انواع ایزو

چرا ایزو 27001 ضروری است؟

“ایزو 27001” استاندارد بین المللی است که چارچوبی را برای سیستم های مدیریت امنیت اطلاعات ISMS فراهم میکند. ایزو 27001  سیستم مدیریت امنیت اطلاعات محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات و همچنین انطباق قانونی را ارائه دهد.

“ایزو 27001” برای محافظت از مهمترین دارایی های شما مانند اطلاعات کارمندان و مشتری ها، تصویر برند و سایر اطلاعات خصوصی ضروری است. استاندارد ایزو 27001 شامل یک رویکرد مبتنی بر فرآیند برای شروع، پیاده سازی، بهره برداری و نگهداری ISMS شماست. اجرای ایزو 27001 پاسخی ایده آل به مشتری و الزامات قانونی همانند تهدیدات امنیتی بالقوه میباشد.

مزایای دریافت ایزو 27001

  • افزایش سطح مدیریت امنیت اطلاعات در سازمان
  • جهانی شدن و ایجاد مزیت رقابتی در صادرات
  • دریافت گواهینامه بین المللی معتبر با کد رجیستر
  • ایجاد احساس اطمینان خاطر در مشتریان و جذب مشتری بیشتر
  • کاهش خطرات ناشی از سرقت اطلاعات
  • بکارگیری یک سیستم جامع، پویا و امن

استاندارد ایزو 27001

“استاندارد ایزو 27001” تنها استاندارد بین المللی قابل ممیزی است که الزامات مورد نیاز سیستم مدیریت امنیت اطلاعات را معین میکند. این استاندارد انتخاب کنترل امنیتی مناسب را تضمین میکند. این استاندارد به سازمان کمک می کند اطلاعات خود را محافظت کند و اعتماد بخش های ذینفع و به ویژه مشتریان را جلب نماید. ایزو 27001 برای تهیه، پیاده سازی، اجرا، نظارت، بررسی، نگهداری، و ارتقا سیستم مدیریت امنیت اطلاعات رویکردی پروسه ای فراهم میسازد.

“استاندارد ایزو 27001” این استاندارد که مجموعه ای از کنترلرها و چک لیست های پیشنهاد شده امنیتی میباشد برای استفاده همزمان با استاندارد ISO/IEC 27002 و به منظور صدور گواهینامه تدوین گردیده است. نکته قابل توجه این است که هنوز دریافت گواهینامه iso 27001 امری اختیاری است و میتواند توسط ارگانها و یا سازمانها اجرا نشود. هر چند که اجرای این استاندارد در کنار استاندار ایزو ۹۰۰۱ یا IMS موجب یکپارچگی و بهبود کیفیت تولیدات و خدمات سازمانها میشود.

“استاندارد ایزو 27001” مبین این موضوع است که یک سیستم مدیریت امنیت اطلاعات طبق یک استاندارد برتر گواهی گردیده است. گواهینامه ای که توسط یک مرجع ثبت و صدور گواهینامه شخص ثالث صادر میشود بیانگر این است که شما پیش بینی های لازم جهت حفاظت اطلاعات حساس در برابر دسترسی ها و تغییرات غیرمجاز را مبذول نموده اید.

چرا شرکت ها 27001 میگیرند؟

اقدامات کنترل مناسبی را برای محافظت از اطلاعات محرمانه و ممتاز انجام میدهند. بهترین روشهای بین المللی را برای کاهش تهدیدات سایبری دنبال میکنید و برای پاسخگویی به حملات سایبری فرآیندهای مدیریت و واکنش به حوادث سایبری را دارید. یک فرایند مدیریت ریسک اطلاعات رسمی و یک سیستم عامل عملکرد خطرناک امنیت اطلاعات یا ISMS ایجاد کرده اید ISMS یک رویکرد سیستماتیک برای مدیریت اطلاعات شرکت است تا امنیت آن حفظ شود ISMS باید افراد، فرایندها و سیستم های IT را در نظر بگیرید.

“صدور ایزو 27001” برای اکثر سازمانها الزامی نیست با این حال، یک گواهینامه نشان میدهد که سازمان شما به طور رسمی اهداف الزامات صدور گواهینامه را برآورده کرده است. به عنوان بخشی از روش صدور ایزو 27001، یک ارگان خارجی ادعای شما را ارزیابی میکند تا اطمینان حاصل کند که آنچه را که ادعا میکنید انجام میدهید.

“ایزو 27001” هر ساله نیاز به بررسی مجدد گواهینامه دارد که به آن ممیزی داخلی نیز گفته میشود، که اطمینان حاصل میکند از امنیت اطلاعات و الزامات انطباق خود پیروی میکنید. مشتریان ما در کنترل خطرات و کنترلهای موجود خود برای حفاظت از دارایی از این خطرات، مزایای قابل توجهی دیده اند.

استاندارد ایزو 27001

مبدا استاندارد ایزو 27001

BS 7799 استانداردی میباشد که در سال ۱۹۹۵ برای اولین بار توسط BSI Group گروه استانداردهای انگلستان ایجاد شد. این استاندارد توسط دپارتمان صنعت و تجارت DTI دولت بریتانیا نوشته شد و شامل چندین بخش است. اولین بخش شامل بهترین تجربیات مدیریت امنیت اطلاعات است و در سال ۱۹۹۸ بازبینی شد.

“مبدا استاندارد ایزو 27001” پس از مباحثات بسیار بین صاحبان استاندارد در جهان، استاندارد ایزو 27001 در سال ۲۰۰۰ توسط بنیاد ISO تحت عنوان ISO/IEC 17799 انطباق لازم را پیدا کرد. این استاندارد نام تکنولوژی اطلاعات کد تجربی مدیریت امنیت اطلاعات را با خود حمل میکرد.

تاریخچه استاندارد ایزو 27001

“استاندارد ISO/IEC 17799” در جوئن ۲۰۰۵ بازبینی شد و در نهایت در سال ۲۰۰۷ تحت عنوان ISO/IEC 27002 در سری استانداردهای ISO 27000 جای گرفت. قسمت دوم BS7799 برای اولین بار در سال ۱۹۹۹ توسط BSI و با کد  BS7799  قسمت ۲ تحت عنوان سیستم‌های مدیریت امنیت اطلاعات مشخصات، به همراه راهنمای کاربرد منتظر شد. BS 77992 بر چگونگی پیاده ساری یک سیستم مدیریت امنیت اطلاعات ISMS تمرکز دارد. این استاندارد بعدا به استاندارد iso 27001 تبدیل شد.

سیستم مدیریت امنیت اطلاعات

“ایزو 27001” سیستم مدیریت امنیت اطلاعات استاندارد تدوین شده توسط سازمان بینالمللی استانداردسازی ایزو میباشد. ایزو 27001 برای متقاضیان توسط نهاد صادر کننده گواهینامه ایزو تحت نظارت انجمن اعتبار دهنده بین المللی IAF صادر میگردد.

رشد روزافزون تغییرات در علوم فناوری درون جامعه به سرعت درحال افزایش است، حرکت روبه جوامع در راستای جامعه اطلاعاتی باعث رشد وسیع خدمات شده است. با توجه به اتفاقات فوق اطلاعات برای یک سازمان بسیار حائز اهمیت میباشد. اتصالات گسترده بین المللی باعث شده اطلاعات سازمانی به صورت کنترل شده در معرض استفاده همکاران سازمان یا عموم قرارگیرد. بنابراین در مقابل تهدیدهای اتفاق افتاده باید الزامات پیشگیرانه صحیحی صورت پذیرد. بنابراین استاندارد سیستم مدیریت امنیت اطلاعات توسط سازمان ایزو در خصوص حفاظت از اطلاعات سازمانها به کمک، سازمانها آمده.

مراحل اجرا و پیاده سازی ایزو 270001

سیستم مدیریت امنیت اطلاعات (ISMS) براساس چهار مرحله PDCA (برنامه ریزی، اجرا، بازبینی و بهبود) عمل می کند. به این معنی که :

در مرحله برنامه ریزی، باید سیاست و اهداف سازمان در زمینه امنیت اطلاعات تعریف شده، دامنه و محدوده ISMS مشخص شود، آنالیز ریسک صورت پذیرد و در نهایت کنترل های مناسب برای کاهش ریسک اعمال شود. 

در زمان اجرا، لازم است ISMS  پیاده سازی شده و مورد استفاده قرار گیرد و همواره نظارت بر عملکرد آن صورت پذیرد. 

برای بازبینی نیز، سازمان باید ISMS خود را با استفاده از بازبینی های دوره‌ای، بازبینی توسط مدیران و ممیزی خارجی مورد سنجش قرار دهد. 

نهایتا برای بهبود، باید نقص های سیستم شناسایی شده و برطرف شود و فرصت های بهبود ISMS شناسایی و اعمال شود.

 اخذ ایزو 27001

حال برای اخذ ایزو 27001، سازمان یا شرکت شما لازم است اثبات کند که ISMS پیاده و اجرایی شده، با الزامات استاندارد ایزو 27001 همخوانی داشته و به طور مستمر در حال بهبود است. این فرآیند شامل مراحل زیر می شود:

  • تعریف سیاست ها، اهداف و دامنه  ISMS
  • ارزیابی ریسک های امنیت اطلاعات و تعیین و اجرای روش کنترل مناسب
  • پیاده سازی و اجرای  ISMS
  • بازبینی و ارزیابی عملکرد  ISMS
  • حفظ و بهبود مستمر  ISMS

پس از کسب اطمینان و تأیید صحت عملکرد  ISMS، لازم است توسط یک موسسه حسابرسی مستقل و معتبر حسابرسی شوید. در صورت موفقیت، سازمان یا شرکت شما ایزو 27001 را دریافت خواهد نمود.

 اخذ ایزو 27001

آخرین نسخه ایزو 27001

آخرین نسخه از استاندارد ایزو 27001 در سال 2013 منتشر و توسط سازمان ایزو در اختیار موسسات مختلف قرار گرفته است. این نسخه شامل تغییرات مهمی نسبت به نسخه قبلی آن که در سال 2005 ارایه شد، است. برخی از تغییرات عبارتند از:

  • تغییر ساختار استاندارد براساس فرآیند PDCA (Plan-Do-Check-Act)
  • تغییر روشکار ارزیابی ریسک به صورت بالقوه
  • تغییر فهرست کنترل های امنیت اطلاعات به صورت منطق پذیر
  • تغییر الزامات مستندسازی به صورت کمتر و ساده تر
  • تغییر الزامات بازبینی مدیران به صورت جامع تر

آموزش استاندارد ایزو 27001

فرآیند آموزش پیاده سازی استاندارد ایزو 27001 و مفاهیم و نحوه مستندسازی برای اخذ استاندارد ایزو 27001 یک فرآیند تخصصی است که نیازمند همکاری واحدهای مختلف در کنار مشاوران مجرب این حوزه است. برای کسب اطلاعات بیشتر و بهره گیری از مشاوره و آموزش گواهینامه iso 27001 ، می توانید با مشاوران مجرب ما در سیستمکاران تماس گرفته و در زمینه استقرار و حفظ ISMS خود از دانش و تجربه متخصصان ما بهره مند شوید. برای این منظور در سیستم کاران خدمات زیر را برای شما در نظر گرفته ایم:

  • مشاوره اولیه رایگان
  • مشاوره در زمینه طراحی، پیاده سازی و بهبود ISMS
  • آموزش دوره های مقدماتی، پیشرفته و کارشناسی ایزو 27001
  • ارائه خدمات حسابرسی داخلی و خارجی  ISMS
  • ارائه خدمات پشتیبانی و نگهداری  ISMS 

مزایای اخذ گواهینامه iso ۲۷۰۰۱ توسط تیم سیستم کاران

“استاندارد ایزو ۲۷۰۰۱” سیستم مدیریت امنیت اطلاعات مزایای بسیاری برای یک سازمان دارد:

  • پذیرش استاندارد امنیت اطلاعات
  • اطمینان یافتن از امنیت بخشی از فرهنگ شرکت
  • اطمینان از مقاومت در برابر تهدیدات سایبری
  • ایزو ۲۷۰۰۱ اطمینان حاصل میکند که رویه هایی برای محافظت از امنیت اطلاعات به حداقل رساندن تهدیدات انجام میشود.
  • پیاده سازی رایگان
  • مشاوره تلفنی و حضوری
  • سرعت در کارسازی
  • پرداخت کمترین هزینه جهت صدور
  • صدور فوری
  • گرفتن مشاوره از مشاورین فوق حرفه ای در زمینه صدور گواهینامه های ایزو
  • پشتیبانی 24 ساعته
  • استفاده از تجربیات متخصصین ایزو
  • جذب مشتری و افزایش مشتری و در نتیجه رشد کسب و کار

مهمترین مزیت “اخذ استاندارد ایزو 27001” این است که، مدیران سازمان حداقل ریسک را دارند جهت در از اطلاعات شرکت به خارج از سازمان. یک رویکرد موثر و کارآمد برای تامین نیازهای اولیه، یعنی جلب رضایت همه طرفها، مدیریت ریسک سایبری و بهبود بلوغ کلی امنیت.

” ایزو 27001″ سیستم مدیریت امنیت اطلاعات توسط سازمان های IT همچنین شرکتهای خدمات پشتیبانی شبکه و کامپیوتری تقاضا میشود. متقاضیان برای بهبود عملکرد سیستم خود یا حضور در مناقصات به ایزو 27001 نیاز پیدا میکنند. بنابراین پیشنهاد میشود قبل از خرید از مشاوره رایگان کارشناسان تیم سیستم کاران بهره مند شوید.

 

چرا ایزو 27001؟ سیستم مدیریت امنیت اطلاعات، استاندارد بین المللی استاندارد ISO بهترین پاسخ را برای این موضوع دارد. ایزو با ایده پاسخ به این سوال اساسی تاسیس شد بهترین روش برای انجام این کار ؟ پیروی از یک روش استاندارد برای انجام کارها در مورد الزامات استاندارد ایزو 27001، رفع تهدیدها و کاهش خطرات ناشی از حملات سایبری به این معنی است که مشتریان، مصرف کنندگان و تنظیم کنندگان این اطمینان را دارند که شما یک رویکرد پذیرفته شده و آزمایش شده برای مقابله با خطرات سایبری را در پیش میگیرید.

مزایای پیاده سازی ISMS چیست؟ ایجاد یک بنیاد مستحکم برای انطباق با مقررات ملی و بین المللی موجود و آینده به عنوان مثال GDPR اتحادیه اروپا. به این ترتیب، احتمالا جلوگیری از مجازات های نظارتی پرهزینه و ضررهای مالی. افزایش بلوغ کلی امنیت تجارت شما. اطمینان از مشتریان و تنظیم کنندگان این امر که خطرات مربوط به امنیت سایبری را جدی میگیرد.

محافظت و ارتقا brand شهرت برند خود. برآورده ساختن الزامات حسابرسی توسط تیم های داخلی، مشتریان و یا تنظیم کنندگان. احتمالا پس انداز مالی در دراز مدت کاهش هزینه های مربوط به حوادث فناوری، جریمه های نظارتی و عدم رعایت موارد.

“ISMS “مجموعه ای از سیاست ها ورویه ها برای مدیریت امنیت اطلاعات سازمانها است. ISMS شامل امنیت فیزیکی، خطرات مرتبط با افراد است. کارمندان، منابع، فرآیندها و فناوری. یک سیستم مدیریت امنیت اطلاعات میتواند در یک منطقه خاص از تجارت یا کل سازمان اعمال شود.

اجرای ISMS در داخل سازمان به این معنی است که شرکت شما رویه های امنیت اطلاعات را جدی میگیرد. این اجازه میدهد تا استراتژی امنیتی شما به طور کارآمد مدیریت شود تا کمتر حوادث سایبری رخ دهد. دامنه ISO 27001 همچنین می تواند در طول جنبه های دیگر یک تجارت برای تقویت امنیت اطلاعات گسترش یافته و اجرا شود.

آموزش ایزو 27001

نهاد صادر کننده گواهینامه

“iso 27001” سیستم مدیریت امنیت اطلاعات توسط نهاد صادرکننده گواهینامه ایزو به نام اختصاری CB صادر میگردد. در مورد نهاد صادر کننده. اعتبار سنجی نهاد صادر کننده گواهی نامه ایزو در مقالات همین سایت مطالب جامعی مکتوب شده. لذا مجددا اعلام میشود که CB می بایست تحت نظارت و ممیزی سازمان بالا دستی به نام اختصاری AB فعالیت، تایید گردد.

متقاضیان برای “دریافت و اخذ ایزو 27001” باید ابتدا استراتژی مشخصی طرح ریزی کنند. اینکه برای چه هدفی نیاز به دریافت  ایزو ۲۷۰۰۱دارند، و آیا مدیران مجموعه آمادگی برای پیاده سازی الزامات ایزو 27001 سیستم مدیریت امنیت اطلاعات را دارند.

مدت زمان ” اخذ ایزو 27001 ” سیستم مدیریت امنیت اطلاعات کاملا بستگی به اهداف در نظر گرفته شده سازمانی دارد. کمی با خود منطقی باشیم، هدف از گرفتن استاندارد ایزو 27001 چیست. آیا میخواهید امتیاز کامل برای حضور در مناقصه بدست آورید. یا اینکه میخواهید امنیت اطلاعات و شبکه خود را برای ارتقاء فرآیند های سازمانی خود افزایش دهید.

چنانچه صرفا جهت برندینگ، تبلیغات، یا حضور در مناقصه و یا بدست آوردن تمامی امتیازات در اعتبار سنجی سالیانه سازمان ها اقدام به اخذ گواهینامه 27001 iso میکنید، ما در سیستم کاران کنار شما هستیم که با کمترین هزینه و در مدت زمان کوتاهی ایزو اخذ نمایید.

تمامی مستندات و هر آنچه نیاز دارید تا به همراه ایزو 27001 به کارفرما ارائه دهید در سایت سیستم کاران مستندات قابل دسترسی میباشد. بنابراین برای اخذ گواهی نامه ایزو 27001 با حداقل هزینه و بهترین مزایا شرکت سیستم کاران در کنار شما است.

  • “هماهنگی با دیگر استاندارد های سیستم مدیریت مانند ISO 9001 و ISO 14001”
  • “بر رشد و بهبود مداوم فرآیند های سیستم مدیریت امنیت اطلاعات تأکید میکند”
  • “موجب شفاف سازی الزامات مستند سازی میشود”
  • “شامل ارزیابی ریسک و فرآیندهای مدیریتی از طریق بکارگیری یک مدل فرآیندی PDCA میشود”

فواید استاندارد و “ایزو 27001” و لزوم پیاده سازی استاندارد فرمت مناسب و قابل اطمینانی به منظور در اختیار داشتن یک سیستم مطمئن امنیتی میباشد. در زیر به تعدادی از فوائد پیاده سازی این استاندارد اشاره شده است:

  • حصول اطمینان از پایداری تجارت
  • کاهش صدمات و تهدیدها توسط ایمن ساختن اطلاعات
  • سازگاری با استاندارد امنیت اطلاعات و حفاظت از داده ها
  • تصمیم گیری ها مطمئن باشند
  • مطمئن ساختن مشتریان و شرکای تجاری
  • امکان رقابت بهتر و موفق تر با شرکت های رقیب
  • ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات طبق موارد یاد شده
  • واضح است که این استاندارد علاوه بر رویکرد فرآیندی و مشتری محوری، رویکردی تجاری را نیز دارا میباشد.

چگونه دامنه و محدوده ISMS خود را تعریف کنیم؟

دامنه و محدوده ISMS نشان دهنده فعالیت ها، فرآیندها، منابع، نقش ها، دارائی های اطلاعاتی و ذینفعان است. تعریف دامنه و محدوده ISMS یکی از قدم های اولیه در پروژه پیاده سازی و اجرای ISMS  است که تاثیر زیادی بر کارآیی و کاربردی بودن این سامانه دارد. برای تعیین و تعریف دامنه و محدوده ISMS بهتر است به چند نکته توجه کنید:

  • دامنه و محدوده ISMS باید با رویکرد و اهداف کلی سازمان در زمینه امنیت اطلاعات هماهنگی داشته باشد.
  • این دامنه و محدوده باید شفاف، قابل فهم و قابل اندازه گیری باشد.
  • باید تمامی فعالیت ها، فرآیندها، منابع، نقش ها، دارائی های اطلاعاتی و ذینفعانی را که در رابطه با امنیت اطلاعات مرتبط هستند، پوشش دهد.
  • دامنه و محدوده ISMS باید منعکس کننده توازن مناسب بین سطح پوشش و سطح پیچیدگی باشد. یعنی نه خیلی گسترده و نه خیلی محدود باشد.
  • این دامنه باید با توجه به تغییرات محیط کسب و کار، نیازهای ذینفعان و روندهای جاری امنیت اطلاعات، قابل بازبینی و به روز رسانی باشد.

همچنین روش ها و رویکردهای معینی برای تعریف دامنه و محدوده  ISMS، در نظر گرفته شده که از آنها برای تجزیه و تحلیل ساختار سازمان می توان استفاده نمود، مانند:

  • تجزیه و تحلیل ساختار سازمانی و فرآیندهای کسب و کار
  • تجزیه و تحلیل دارائی های اطلاعاتی و ذینفعان
  • تجزیه و تحلیل ریسک های امنیت اطلاعات
  • تجزیه و تحلیل الزامات قانونی، قراردادی و سایر الزامات ذینفعان
  • تجزیه و تحلیل منابع موجود و نقص های امنیت اطلاعات
  • تصمیم گیری در مورد سطح پوشش و پیچیدگی  ISMS 
  • نوشتن بیانیه دامنه و محدوده  ISMS 

مقاله مرتبط : اخذ ایزو معتبر

چگونه آنالیز ریسک انجام دهیم؟

آنالیز ریسک در اخذ استاندارد ایزو 27001 یک فرآیند منظم و دقیق است که به سازمان کمک می کند تا ریسک های مربوط به امنیت اطلاعات را شناسایی، ارزیابی و درجه بندی کند. آنالیز ریسک شامل سه مرحله است:

آنالیز ریسک یک فرآیند منظم است که به سازمان کمک می کند تا ریسک های مربوط به امنیت اطلاعات را شناسایی، ارزیابی و رتبه بندی کند. آنالیز ریسک شامل سه مرحله است:

شناسایی ریسک

  • برای تعیین عوامل مخاطره آمیز  (threats)، آسیب پذیری ها  (vulnerabilities)، دارایی های اطلاعاتی  (assets)، تاثیرات (impacts) و کنترل منابع (controls) باید در دامنه ISMS شناسایی شوند. 

عوامل مخاطره آمیز

  • به هر حادثه یا اتفاقی گفته می شود که ممکن است به دارائی های اطلاعاتی آسیب برساند. مانند، حملات سایبری، آتش سوزی، سرقت، خرابی تجهیزات و غیره. 

آسیب پذیری ها

  • به نقص هایی گفته می شود که باعث می شوند دارایی های اطلاعاتی در برابر عوامل مخاطره آمیز ضعیف باشند. مثلا، نبود رمز عبور قوی، نبود فایروال، فقدان آموزش مناسب کارکنان و غیره. 

دارایی های اطلاعاتی

  • به هر چیزی گفته می شود که ارزش اطلاعاتی برای سازمان داشته باشد. به طور مثال، داده ها، سرویس ها، نرم افزارها، سخت افزارها، اسناد و غیره. 

تاثیرات

  • به پیامدهای منفی گفته می شود که ناشی از رخداد ریسک برای سازمان است. مثلا، از دست دادن اعتبار، از دست دادن درآمد، افزایش هزینه ها، تخلف قانونی و غیره. 

کنترل منابع

  • به اقداماتی گفته می شود که برای جلوگیری یا کاهش ریسک انجام می شوند. مثلا، وضع قوانین و سیاست ها، روش ها و فرآیندها، نرم افزار و سخت افزارهای امنیتی، آموزش و آگاهی رسانی و مواردی از این دست.

ارزیابی ریسک 

  • برای ارزیابی ریسک در استاندارد ایزو 27001، باید برای هر ریسک شناسایی شده، احتمال رخداد (likelihood)  و شدت تاثیر (severity) تخمین زده شود. 

احتمال رخداد

  • به احتمالی گفته می شود که یک عامل خطر زا با یک آسیب پذیری ترکیب شده و یک ریسک به وجود بیاید. 

شدت تاثیر

  • به مقدار خسارتی گفته می شود که یک ریسک برای یک دارائی اطلاعاتی به همراه دارد. برای تخمین احتمال رخداد و شدت تاثیر می توان از روش های کمی یا کیفی استفاده نمود. در روش کمی، سعی می شود با استفاده از داده های عددی و فرمول های ریاضی، مقادیر دقیق برای احتمال رخداد و شدت تاثیر به دست آورده شود. در روش کیفی، سعی می شود با استفاده از سطوح تعریف شده و قضاوت کارشناسان، مقادیر تقریبی برای احتمال رخداد و شدت تاثیر آن تعیین شود. 

برای انجام این کار، می توانید از جداول، نمودارها، ماتریس ها یا نرم افزارهای مخصوص استفاده کنید.

رتبه بندی ریسک 

در این مرحله، باید برای هر ریسک شناسایی و ارزیابی شده، یک سطح ریسک (risk level) مشخص کنید. 

سطح ریسک

نشان دهنده اولویت یا اهمیت یک ریسک برای هر سازمان است. برای محاسبه سطح ریسک، معمولاً از ضرب احتمال رخداد در شدت تاثیر آن استفاده می شود. 

دسته بندی سطح ریسک، می توان از سطوح قابل قبول  (acceptable)، قابل تحمل (tolerable)، نامطلوب (undesirable) و غیرقابل قبول (unacceptable) استفاده کرد. برای این کار، همچنین می توانید از معیارها، گزارش ها، نمودارها یا نرم افزارهای مخصوص این امر نیز استفاده کنید.

آنالیز ریسک

در نهایت آنالیز ریسک است که در پروژه ISMS به شما کمک می کند تا تصمیمات مناسب در خصوص کنترل های امنیت اطلاعات بگیرید. آنالیز ریسک باید به صورت دوره‌ای و با توجه به تغییرات محیط کسب و کار، نیازهای ذینفعان و روندهای جاری امنیت اطلاعات، بازبینی و به روز رسانی شود.

برای اطلاع بیشتر از توضیحات و اقدامات لازم در خصوص اخذ گواهینامه ایزو 27001 می توانید با کارشناسان متخصص ما در خصوص سامانه مدیریت امنیت اطلاعات تماس در سیستم کاران تماس حاصل فرمایید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *