استاندارد ISO 27002 چیست؟ (امنیت اطلاعات، امنیت سایبری و حفاظت از حریم خصوصی)
ISO 27001 چارچوب کاملی را برای برپایی، پیادهسازی، نگهداری و بهبود مداوم یک سیستم مدیریت امنیت اطلاعات (ISMS) فراهم می کند، اما استاندارد ایزو 27002 راهنمایی های دقیقی را برای انتخاب و اجرای کنترل های خاص در ISMS ارائه می دهد.
در سال 1995، سازمان بینالمللی ISO (سازمان بینالمللی استاندارد) و IEC (کمیسیون بینالمللی الکتروتکنیکی) گروهی از استانداردها را ایجاد کردند که دستورالعمل های مربوط به حوزه امنیت اطلاعات را با سری 27000 ادغام می کند. این گروه شامل ISO/IEC 27002 (استاندارد 17799:2005 سابق)، یک استاندارد بینالمللی است که بهترین کد عملکرد را برای پشتیبانی از پیادهسازی سیستم مدیریت امنیت اطلاعات (ISMS) در سازمان ها تنظیم می کند.
این گواهینامه با ارائه راهنمای پیاده سازی کامل، نحوه ایجاد کنترل امنیتی را شرح می دهد. این کنترل ها به نوبه خود باید بر اساس ارزیابی ریسک مهم ترین دارایی های شرکت انتخاب شوند. برخلاف تصور بسیاری از مدیران، ISO 27002 می تواند برای پشتیبانی از اجرای ISMS در هر نوع سازمان کوچک یا بزرگ، دولتی یا خصوصی، انتفاعی یا غیرانتفاعی استفاده شود.
تفاوت ISO 27001 در مقابل ISO 27002
در زمینه استانداردهای مدیریت امنیت اطلاعات جهانی، ISO 27001 و ISO 27002 وظایف منحصر به فرد و همزمان مرتبط با یکدیگر را انجام می دهند. ISO 27001 چارچوب جامعی را برای استقرار، پیادهسازی، نگهداری و بهبود مستمر یک سیستم مدیریت امنیت اطلاعات (ISMS) تعیین می کند، در حالیکه استاندارد ایزو 27002 راهنمایی های دقیقی را برای انتخاب و اجرای کنترل های خاص در ISMS ارائه می دهد.
ISO 27001 بر اهمیت انجام ارزیابی ریسک و اتخاذ رویکرد مدیریت ریسک برای حفاظت از دارایی های اطلاعاتی و مدیریت موثر ریسک های امنیتی تاکید دارد. از سوی دیگر، گواهینامه ISO 27002 راهنمایی دقیقی در مورد نحوه پیادهسازی پیوست A ISO 27001 ارائه می دهد که شامل لیستی از کنترل های امنیتی تعیین شده در استاندارد است.
این راهنمای تکمیلی بیشتر به مسائل فنی مانند مکانیسم های احراز هویت، حقوق دسترسی و شیوه های رمزگذاری می پردازد که سازمان ها باید هنگام ایجاد استراتژی های امنیت سایبری و اطلاعات خود در نظر بگیرند. درک تفاوت های کلیدی بین ISO 27001 و ISO 27002 برای سازمان هایی که با هدف دستیابی به مدیریت جامع و موثر امنیت اطلاعات ضروری است، بسیار مهم است. اطلاعات این استانداردها، بسیار حیاتی است.
کاربرد استاندارد ایزو 27002
ISO/IEC 27002 (ISMS) استاندارد ISO/IEC 27002 (ISMS) یک استاندارد بینالمللی است که دستورالعمل هایی را برای اجرای کنترل های امنیت اطلاعات ارائه می دهد. این استاندارد برای سازمان ها در تمام صنایع و اندازه ها قابل اجرا است. ISO/IEC 27002 می تواند برای توسعه دستورالعمل های مدیریت امنیت اطلاعات متناسب با زمینه خاص یک سازمان استفاده شود.
صدور گواهینامه یکی از روش های کلیدی برای نشان دادن شایستگی و توانایی های شما است. گواهینامه های PECB در امنیت اطلاعات در سطح بین المللی توسط مقامات ذی ربط به رسمیت شناخته شده و معتبر هستند. گواهینامه های PECB ISO/IEC 27002 ترکیبی از آموزش های گسترده و فرآیند صدور گواهینامه جامع است که اعتبار حرفه ای را برای شما فراهم می کند.
مزایای صدور گواهینامه PECB ISO/IEC 27002
گواهی PECB ISO/IEC 27002 ثابت می کند که شما:
- درک اجرای سیاست های کنترل امنیت اطلاعات بر اساس دستورالعمل های استاندارد ایزو 27002
- کسب دانش عملی از رویکردها و تکنیک های مورد استفاده برای پیاده سازی و مدیریت موثر کنترل های امنیت اطلاعات
- کسب تخصص لازم برای حمایت از سازمان در برنامه ریزی، اجرا و مدیریت کنترل های امنیت اطلاعات
- درک مدیریت ریسک و اهمیت آن در تعیین کنترل های مناسب امنیت اطلاعات
- توانایی حمایت از سازمان ها در بهبود مستمر سیستم مدیریت امنیت اطلاعات
بخش های مختلف و الزامات قانونی استاندارد ایزو 27002
بخش اصلی این استاندارد در بخش های زیر تنظیم شده است که مربوط به کنترل های امنیت اطلاعات است. شایان ذکر است که سازمان ها می توانند از این دستورالعمل ها به عنوان مبنایی برای توسعه ISMS استفاده کند.
بخش 5 – خط مشی امنیت اطلاعات
برای اجرای این استاندارد ابتدا باید سندی در مورد خط مشی امنیت اطلاعات شرکت ایجاد شود که حاوی مفاهیم امنیت اطلاعات، ساختاری برای ایجاد اهداف و اشکال کنترل، تعهد مدیریت به خط مشی و بسیاری از عوامل دیگر باشد.
بخش 6 – سازماندهی امنیت اطلاعات
برای پیاده سازی امنیت اطلاعات در یک شرکت، لازم است چارچوبی برای مدیریت صحیح آن ایجاد شود. برای این کار، فعالیت های امنیت اطلاعات باید توسط نمایندگانی از سازمان هماهنگ شود. این نمایندگان باید مسئولیت های مشخصی داشته باشند و از اطلاعات محرمانه محافظت کنند.
بخش 7 – مدیریت دارایی
منظور از دارایی، هر چیزی است که برای سازمان ارزش دارد و باید از آن محافظت شود. برای این کار، دارایی سازمان باید شناسایی و طبقه بندی شود. علاوه بر این، آنها باید از قوانین مستند پیروی کنند، که مشخص می کند چه نوع استفاده از آن دارایی ها مجاز است.
بخش 8 – امنیت منابع انسانی
قبل از استخدام کارمندان یا حتی تامین کنندگان، مهم است که به خوبی در مورد آنها تحقیق شود، به خصوص اگر با اطلاعات حساس سروکار دارند. هدف این بخش کاهش خطر سرقت، تقلب یا سوء استفاده از منابع است. هنگامی که برخی از کارکنان در شرکت مشغول به کار هستند، باید از تهدیدات مربوط به امنیت اطلاعات و همچنین مسئولیت ها و تعهدات خود آگاه باشند.
بخش 9 – ایمنی فیزیکی و محیطی
تجهیزات و امکانات برای پردازش اطلاعات حساس یا حیاتی باید در مناطق امن، با سطوح مناسب و کنترل های دسترسی، از جمله حفاظت در برابر تهدیدات فیزیکی و محیطی، نگهداری شوند.
بخش 10 – امنیت عملیات و ارتباطات
مهم است که رویه ها و مسئولیت ها برای مدیریت و عملیات تمام منابع پردازش اطلاعات تعریف شوند. این شامل مدیریت خدمات برون سپاری، برنامه ریزی منابع سیستم برای به حداقل رساندن خطر خرابی، ایجاد رویه های پشتیبان گیری و بازیابی و مدیریت ایمن شبکه های ارتباطی است.
بخش 11 – کنترل دسترسی
طبق استاندارد ایزو 27002 دسترسی به اطلاعات و منابع پردازش اطلاعات و فرآیندهای تجاری باید بر اساس الزامات تجاری و امنیت اطلاعات کنترل شود. دسترسی مجاز کاربران و جلوگیری از دسترسی غیرمجاز به سیستم های اطلاعاتی باید تضمین شود تا از آسیب به اسناد و منابع پردازش اطلاعاتی که در دسترس هر کسی است، جلوگیری شود.
بخش 12 استاندارد ایزو 27002- اکتساب، توسعه و نگهداری سیستم ها
الزامات امنیت سیستمهای اطلاعاتی باید قبل از توسعه و/یا پیادهسازی آنها شناسایی و توافق شود تا بتوان از آنها برای حفظ محرمانگی، اصالت یا یکپارچگی خود با ابزارهای رمزنگاری محافظت کرد.
بخش 13 – مدیریت حوادث امنیت اطلاعات
مراحل ثبت رسمی باید ایجاد شود. کارمندان، تامین کنندگان و اشخاص ثالث باید از رویه های گزارش رویدادهای امنیت اطلاعات آگاه باشند تا اطمینان حاصل کنند که در سریع ترین زمان ممکن گزارش شده و به موقع اصلاح می شوند.
بخش 14 – مدیریت تداوم کسب و کار
برنامه های تداوم کسب و کار باید برای جلوگیری از اختلال در فعالیت های تجاری و همچنین برای اطمینان از اینکه عملیات اصلی به سرعت بازیابی می شوند، توسعه و اجرا شود.
بخش 15 استاندارد ایزو 27002– انطباق
مهم است که از نقض هرگونه قانون جزایی یا مدنی، تضمین قوانین، مقررات یا تعهدات قراردادی و همچنین هرگونه الزامات امنیت اطلاعات اجتناب شود. در صورت لزوم، شرکت ممکن است یک مشاور تخصصی را برای تأیید انطباق و رعایت الزامات قانونی و نظارتی استخدام کند.
فرآیند صدور گواهینامه و حسابرسی داخلی گواهینامه ایزو 27002
برای دستیابی به استاندارد ایزو 27002، سازمان ها باید تحت یک فرآیند صدور گواهینامه قرار گیرند که توسط نهادهای صدور گواهینامه معتبر مانند سایت ایزو انجام می شود. این فرآیند معمولاً شامل یک ممیزی جامع از ISMS سازمان در برابر الزامات ISO 27001 و ISO 27002 می شود. ممیزی پیادهسازی و اثربخشی ISMS را ارزیابی می کند و اطمینان می دهد که با استانداردهای بینالمللی مطابقت دارد و اهداف امنیت اطلاعات سازمان را برآورده می کند.
ممیزی داخلی نقش مهمی در فرآیند صدور گواهینامه دارد. سازمان ها باید ممیزی های داخلی را برای ارزیابی انطباق ISMS خود با ISO 27001 و ISO 27002 انجام دهند و زمینه های بهبود را شناسایی کنند. ممیزی های داخلی فرصتی را برای سازمان ها فراهم می کند تا اقدامات امنیتی خود را ارزیابی کنند، اثربخشی کنترل ها را بر اساس دستورالعمل های استاندارد ایزو 27002 بررسی کرده و هرگونه عدم انطباق یا شکاف در اقدامات امنیت اطلاعات خود را شناسایی کنند.
چرا اخذ استاندارد ایزو 27002 مهم است؟
همان طور که در مطالب بالا نیز گفته شد گواهینامه ISO/IEC 27002 دستورالعمل هایی را برای پیاده سازی، مدیریت و بهبود مستمر مدیریت امنیت اطلاعات در یک سازمان ارائه می دهد. سازمان های مختلف نیازها و قابلیت های امنیتی اطلاعات متفاوتی دارند. با در نظر گرفتن این موضوع، کنترل های ISO/IEC 27002 به گونه ای طراحی شده اند که عمومی و انعطاف پذیر باشند.
گواهی PECB دانش و توانایی دارنده را برای مدیریت خطرات امنیت اطلاعات با اعمال کنترل های امنیتی اطلاعات مربوطه نشان می دهد. همچنین اثبات توانایی آنها در کمک به سازمان ها برای حفظ محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات، محافظت در برابر تهدیدات و آسیب پذیری ها و کاهش خطرات امنیت اطلاعات است. شرکت ها و سازمان های دارای گواهی ایزو 27002 می توانند اعضای حیاتی یک تیم پیاده سازی ISMS باشند.
استاندارد ایزو 27002 برای چه سازمان هایی مناسب است؟
استاندارد ISO 27002 برای همهی سازمان ها، بدون توجه به اندازه یا نوع فعالیت، مناسب است. این استاندارد یک مجموعه از راهنماها و کنترل های امنیت اطلاعات را ارائه می دهد و به تمامی سازمان ها کمک می کند تا امنیت اطلاعات خود را بهبود دهند و در برابر خطرات امنیتی موجود مقاوم باشند.
سازمان هایی که از استاندارد ایزو 27002 بهرهمند می شوند عبارتند از:
- سازمان های دولتی
- شرکت ها و سازمان های خصوصی
- سازمان های آموزشی و دانشگاه ها
- سازمان های بهداشتی و درمانی
- سازمان های مالی و بانکی
- سازمان های صنعتی و تولیدی
- سازمان های فناوری اطلاعات و ارتباطات
سایت ایزو بهترین مرجع برای دریافت مشاوره جهت اخد انواع استانداردهای بینالمللی
در این مطلب در مورد استاندارد ایزو 27002 صحبت کردیم. به طور کلی هر سازمانی که اطلاعات محرمانه، حساس یا ارزشمندی را پردازش و نگهداری می کند، می تواند از این گواهی استفاده کند. ISO 27002 از طریق راهنماها و کنترل های امنیتی خود به سازمان ها کمک می کند تا بهترین شیوه های امنیت اطلاعات جهانی را اجرا کنند.
همچنین سازمان ها با دریافت این گواهینامه می توانند ریسک های امنیتی را به حداقل برسانند تا از امنیت و حریم خصوصی اطلاعات خود محافظت کنند. برای کسب اطلاعات بیشتر در مورد هزینه های مربوط به این استاندارد و نحوه دریافت آن می توانید از مشاوران و متخصصان ما در سایت ایزو کمک بگیرید.
سوالات متداول
چه زمانی باید از استاندارد ایزو 27001 و 27002 استفاده کرد؟
ISO 27001 و ISO 27002 اهداف متفاوتی دارند. اگر چارچوب پیاده سازی ISMS خود را برنامه ریزی می کنید، ISO 27001 ایده آل است. پس از شناسایی برنامه هایی که می خواهید پیادهسازی کنید، باید به ISO 27002 مراجعه کنید تا درباره نحوه عملکرد هر کدام بیشتر بدانید.
چه نوع سازمان هایی می توانند ISO 27002 را اخذ کنند؟
ISO 27002 برای تمامی سازمان ها، بدون توجه به اندازه یا نوع فعالیت، قابل اجرا است و مناسب هر نوع سازمانی است.
چگونه می توان استاندارد ایزو 27002 را اخذ کرد؟
برای اخذ استاندارد ISO 27002، شما باید مراحل مشخصی را طی کنید که شامل ارزیابی امنیت اطلاعات، تعیین نیازها و پیادهسازی کنترل های امنیتی است.
آیا اخذ استاندارد ISO 27002 هزینهبر است؟
هزینه اخذ استاندارد ایزو 27002 به ویژه وابسته به اندازه و محیط سازمان است، اما از طرف دیگر، پیادهسازی این استاندارد باعث کاهش هزینه ها و ریسک های امنیتی می شود.
چه مزایایی با اخذ استاندارد ISO 27002 به دست می آید؟
اخذ استاندارد ISO 27002 باعث افزایش اطمینان مشتریان، کاهش ریسک ها و هزینه های امنیتی، پیشگیری از تهدیدات امنیتی، افزایش اثباتپذیری و رشد کسب و کار و فرصت های جدید در بازار می شود.