اخذ گواهینامه ایزو 27002 | ویژه امنیت اطلاعات

استاندارد ISO 27002 چیست؟ (امنیت اطلاعات، امنیت سایبری و حفاظت از حریم خصوصی)

ISO 27001 چارچوب کاملی را برای برپایی، پیاده‌سازی، نگه‌داری و بهبود مداوم یک سیستم مدیریت امنیت اطلاعات (ISMS) فراهم می ‌کند، اما استاندارد ایزو 27002 راهنمایی ‌های دقیقی را برای انتخاب و اجرای کنترل‌ های خاص در ISMS ارائه می ‌دهد.

در سال 1995، سازمان بین‌المللی ISO (سازمان بین‌المللی استاندارد) و IEC (کمیسیون بین‌المللی الکتروتکنیکی) گروهی از استانداردها را ایجاد کردند که دستورالعمل ‌های مربوط به حوزه امنیت اطلاعات را با سری 27000 ادغام می‌ کند. این گروه شامل ISO/IEC 27002 (استاندارد 17799:2005 سابق)، یک استاندارد بین‌المللی است که بهترین کد عملکرد را برای پشتیبانی از پیاده‌سازی سیستم مدیریت امنیت اطلاعات (ISMS) در سازمان‌ ها تنظیم می ‌کند.

این گواهینامه با ارائه راهنمای پیاده سازی کامل، نحوه ایجاد کنترل امنیتی را شرح می دهد. این کنترل ها به نوبه خود باید بر اساس ارزیابی ریسک مهم ترین دارایی های شرکت انتخاب شوند. برخلاف تصور بسیاری از مدیران، ISO 27002 می تواند برای پشتیبانی از اجرای ISMS در هر نوع سازمان کوچک یا بزرگ، دولتی یا خصوصی، انتفاعی یا غیرانتفاعی استفاده شود.

تفاوت ISO 27001 در مقابل ISO 27002

در زمینه استانداردهای مدیریت امنیت اطلاعات جهانی، ISO 27001 و ISO 27002 وظایف منحصر به فرد و هم‌زمان مرتبط با یکدیگر را انجام می ‌دهند. ISO 27001 چارچوب جامعی را برای استقرار، پیاده‌سازی، نگه‌داری و بهبود مستمر یک سیستم مدیریت امنیت اطلاعات (ISMS) تعیین می‌ کند، در حالیکه استاندارد ایزو 27002 راهنمایی ‌های دقیقی را برای انتخاب و اجرای کنترل‌ های خاص در ISMS ارائه می ‌دهد.

ISO 27001 بر اهمیت انجام ارزیابی ریسک و اتخاذ رویکرد مدیریت ریسک برای حفاظت از دارایی ‌های اطلاعاتی و مدیریت موثر ریسک ‌های امنیتی تاکید دارد. از سوی دیگر، گواهینامه ISO 27002 راهنمایی دقیقی در مورد نحوه پیاده‌سازی پیوست A ISO 27001 ارائه می‌ دهد که شامل لیستی از کنترل‌ های امنیتی تعیین شده در استاندارد است.

این راهنمای تکمیلی بیشتر به مسائل فنی مانند مکانیسم ‌های احراز هویت، حقوق دسترسی و شیوه ‌های رمزگذاری می ‌پردازد که سازمان‌ ها باید هنگام ایجاد استراتژی‌ های امنیت سایبری و اطلاعات خود در نظر بگیرند. درک تفاوت ‌های کلیدی بین ISO 27001 و ISO 27002 برای سازمان‌ هایی که با هدف دستیابی به مدیریت جامع و موثر امنیت اطلاعات ضروری است، بسیار مهم است. اطلاعات این استانداردها، بسیار حیاتی است.

کاربرد استاندارد ایزو 27002

ISO/IEC 27002 (ISMS) استاندارد ISO/IEC 27002 (ISMS) یک استاندارد بین‌المللی است که دستورالعمل ‌هایی را برای اجرای کنترل ‌های امنیت اطلاعات ارائه می ‌دهد. این استاندارد برای سازمان ‌ها در تمام صنایع و اندازه‌ ها قابل اجرا است. ISO/IEC 27002 می ‌تواند برای توسعه دستورالعمل‌ های مدیریت امنیت اطلاعات متناسب با زمینه خاص یک سازمان استفاده شود.

صدور گواهینامه یکی از روش های کلیدی برای نشان دادن شایستگی و توانایی های شما است. گواهینامه های PECB در امنیت اطلاعات در سطح بین المللی توسط مقامات ذی ربط به رسمیت شناخته شده و معتبر هستند. گواهینامه های PECB ISO/IEC 27002 ترکیبی از آموزش های گسترده و فرآیند صدور گواهینامه جامع است که اعتبار حرفه ای را برای شما فراهم می کند.

مزایای صدور گواهینامه PECB ISO/IEC 27002

گواهی PECB ISO/IEC 27002 ثابت می کند که شما:

• درک اجرای سیاست های کنترل امنیت اطلاعات بر اساس دستورالعمل های استاندارد ایزو 27002
• کسب دانش عملی از رویکردها و تکنیک های مورد استفاده برای پیاده سازی و مدیریت موثر کنترل های امنیت اطلاعات
• کسب تخصص لازم برای حمایت از سازمان در برنامه ریزی، اجرا و مدیریت کنترل های امنیت اطلاعات
• درک مدیریت ریسک و اهمیت آن در تعیین کنترل های مناسب امنیت اطلاعات
• توانایی حمایت از سازمان ها در بهبود مستمر سیستم مدیریت امنیت اطلاعات

بخش های مختلف و الزامات قانونی استاندارد ایزو 27002

بخش اصلی این استاندارد در بخش های زیر تنظیم شده است که مربوط به کنترل های امنیت اطلاعات است. شایان ذکر است که سازمان ها می توانند از این دستورالعمل ها به عنوان مبنایی برای توسعه ISMS استفاده کند.

بخش 5 – خط مشی امنیت اطلاعات

برای اجرای این استاندارد ابتدا باید سندی در مورد خط مشی امنیت اطلاعات شرکت ایجاد شود که حاوی مفاهیم امنیت اطلاعات، ساختاری برای ایجاد اهداف و اشکال کنترل، تعهد مدیریت به خط مشی و بسیاری از عوامل دیگر باشد.

بخش 6 – سازماندهی امنیت اطلاعات

برای پیاده سازی امنیت اطلاعات در یک شرکت، لازم است چارچوبی برای مدیریت صحیح آن ایجاد شود. برای این کار، فعالیت‌ های امنیت اطلاعات باید توسط نمایندگانی از سازمان هماهنگ شود. این نمایندگان باید مسئولیت ‌های مشخصی داشته باشند و از اطلاعات محرمانه محافظت کنند.

بخش 7 – مدیریت دارایی

منظور از دارایی، هر چیزی است که برای سازمان ارزش دارد و باید از آن محافظت شود. برای این کار، دارایی سازمان باید شناسایی و طبقه بندی شود. علاوه بر این، آنها باید از قوانین مستند پیروی کنند، که مشخص می کند چه نوع استفاده از آن دارایی ها مجاز است.

بخش 8 – امنیت منابع انسانی

قبل از استخدام کارمندان یا حتی تامین کنندگان، مهم است که به خوبی در مورد آنها تحقیق شود، به خصوص اگر با اطلاعات حساس سروکار دارند. هدف این بخش کاهش خطر سرقت، تقلب یا سوء استفاده از منابع است. هنگامی که برخی از کارکنان در شرکت مشغول به کار هستند، باید از تهدیدات مربوط به امنیت اطلاعات و همچنین مسئولیت ها و تعهدات خود آگاه باشند.

بخش 9 – ایمنی فیزیکی و محیطی

تجهیزات و امکانات برای پردازش اطلاعات حساس یا حیاتی باید در مناطق امن، با سطوح مناسب و کنترل های دسترسی، از جمله حفاظت در برابر تهدیدات فیزیکی و محیطی، نگهداری شوند.

بخش 10 – امنیت عملیات و ارتباطات

مهم است که رویه ها و مسئولیت ها برای مدیریت و عملیات تمام منابع پردازش اطلاعات تعریف شوند. این شامل مدیریت خدمات برون سپاری، برنامه ریزی منابع سیستم برای به حداقل رساندن خطر خرابی، ایجاد رویه های پشتیبان گیری و بازیابی و مدیریت ایمن شبکه های ارتباطی است.

بخش 11 – کنترل دسترسی

طبق استاندارد ایزو 27002 دسترسی به اطلاعات و منابع پردازش اطلاعات و فرآیندهای تجاری باید بر اساس الزامات تجاری و امنیت اطلاعات کنترل شود. دسترسی مجاز کاربران و جلوگیری از دسترسی غیرمجاز به سیستم های اطلاعاتی باید تضمین شود تا از آسیب به اسناد و منابع پردازش اطلاعاتی که در دسترس هر کسی است، جلوگیری شود.

بخش 12 استاندارد ایزو 27002- اکتساب، توسعه و نگهداری سیستم ها

الزامات امنیت سیستم‌های اطلاعاتی باید قبل از توسعه و/یا پیاده‌سازی آن‌ها شناسایی و توافق شود تا بتوان از آنها برای حفظ محرمانگی، اصالت یا یکپارچگی خود با ابزارهای رمزنگاری محافظت کرد.

بخش 13 – مدیریت حوادث امنیت اطلاعات

مراحل ثبت رسمی باید ایجاد شود. کارمندان، تامین کنندگان و اشخاص ثالث باید از رویه های گزارش رویدادهای امنیت اطلاعات آگاه باشند تا اطمینان حاصل کنند که در سریع ترین زمان ممکن گزارش شده و به موقع اصلاح می شوند.

بخش 14 – مدیریت تداوم کسب و کار

برنامه های تداوم کسب و کار باید برای جلوگیری از اختلال در فعالیت های تجاری و همچنین برای اطمینان از اینکه عملیات اصلی به سرعت بازیابی می شوند، توسعه و اجرا شود.

بخش 15 استاندارد ایزو 27002– انطباق

مهم است که از نقض هرگونه قانون جزایی یا مدنی، تضمین قوانین، مقررات یا تعهدات قراردادی و همچنین هرگونه الزامات امنیت اطلاعات اجتناب شود. در صورت لزوم، شرکت ممکن است یک مشاور تخصصی را برای تأیید انطباق و رعایت الزامات قانونی و نظارتی استخدام کند.

فرآیند صدور گواهینامه و حسابرسی داخلی گواهینامه ایزو 27002

برای دستیابی به استاندارد ایزو 27002، سازمان ها باید تحت یک فرآیند صدور گواهینامه قرار گیرند که توسط نهادهای صدور گواهینامه معتبر مانند سایت ایزو انجام می شود. این فرآیند معمولاً شامل یک ممیزی جامع از ISMS سازمان در برابر الزامات ISO 27001 و ISO 27002 می ‌شود. ممیزی پیاده‌سازی و اثربخشی ISMS را ارزیابی می‌ کند و اطمینان می ‌دهد که با استانداردهای بین‌المللی مطابقت دارد و اهداف امنیت اطلاعات سازمان را برآورده می ‌کند.

ممیزی داخلی نقش مهمی در فرآیند صدور گواهینامه دارد. سازمان ها باید ممیزی های داخلی را برای ارزیابی انطباق ISMS خود با ISO 27001 و ISO 27002 انجام دهند و زمینه های بهبود را شناسایی کنند. ممیزی های داخلی فرصتی را برای سازمان ها فراهم می کند تا اقدامات امنیتی خود را ارزیابی کنند، اثربخشی کنترل ها را بر اساس دستورالعمل های استاندارد ایزو 27002 بررسی کرده و هرگونه عدم انطباق یا شکاف در اقدامات امنیت اطلاعات خود را شناسایی کنند.

چرا اخذ استاندارد ایزو 27002 مهم است؟

همان طور که در مطالب بالا نیز گفته شد گواهینامه ISO/IEC 27002 دستورالعمل هایی را برای پیاده سازی، مدیریت و بهبود مستمر مدیریت امنیت اطلاعات در یک سازمان ارائه می دهد. سازمان های مختلف نیازها و قابلیت های امنیتی اطلاعات متفاوتی دارند. با در نظر گرفتن این موضوع، کنترل های ISO/IEC 27002 به گونه ای طراحی شده اند که عمومی و انعطاف پذیر باشند.

گواهی PECB دانش و توانایی دارنده را برای مدیریت خطرات امنیت اطلاعات با اعمال کنترل ‌های امنیتی اطلاعات مربوطه نشان می‌ دهد. همچنین اثبات توانایی آنها در کمک به سازمان ها برای حفظ محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات، محافظت در برابر تهدیدات و آسیب پذیری ها و کاهش خطرات امنیت اطلاعات است. شرکت ها و سازمان های دارای گواهی ایزو 27002 می توانند اعضای حیاتی یک تیم پیاده سازی ISMS باشند.

استاندارد ایزو 27002 برای چه سازمان هایی مناسب است؟

استاندارد ISO 27002 برای همه‌ی سازمان‌ ها، بدون توجه به اندازه یا نوع فعالیت، مناسب است. این استاندارد یک مجموعه از راهنماها و کنترل ‌های امنیت اطلاعات را ارائه می ‌دهد و به تمامی سازمان‌ ها کمک می ‌کند تا امنیت اطلاعات خود را بهبود دهند و در برابر خطرات امنیتی موجود مقاوم باشند.

سازمان‌ هایی که از استاندارد ایزو 27002 بهره‌مند می‌ شوند عبارتند از:

• سازمان ‌های دولتی
• شرکت‌ ها و سازمان‌ های خصوصی
• سازمان ‌های آموزشی و دانشگاه‌ ها
• سازمان‌ های بهداشتی و درمانی
• سازمان‌ های مالی و بانکی
• سازمان‌ های صنعتی و تولیدی
• سازمان ‌های فناوری اطلاعات و ارتباطات

سایت ایزو بهترین مرجع برای دریافت مشاوره جهت اخد انواع استانداردهای بین‌المللی

در این مطلب در مورد استاندارد ایزو 27002 صحبت کردیم. به طور کلی هر سازمانی که اطلاعات محرمانه، حساس یا ارزشمندی را پردازش و نگه‌داری می ‌کند، می تواند از این گواهی استفاده کند. ISO 27002 از طریق راهنماها و کنترل ‌های امنیتی خود به سازمان‌ ها کمک می‌ کند تا بهترین شیوه‌ های امنیت اطلاعات جهانی را اجرا کنند.

همچنین سازمان ها با دریافت این گواهینامه می توانند ریسک ‌های امنیتی را به حداقل برسانند تا از امنیت و حریم خصوصی اطلاعات خود محافظت کنند. برای کسب اطلاعات بیشتر در مورد هزینه های مربوط به این استاندارد و نحوه دریافت آن می توانید از مشاوران و متخصصان ما در سایت ایزو کمک بگیرید.

سوالات متداول

چه زمانی باید از استاندارد ایزو 27001 و 27002 استفاده کرد؟

ISO 27001 و ISO 27002 اهداف متفاوتی دارند. اگر چارچوب پیاده سازی ISMS خود را برنامه ریزی می کنید، ISO 27001 ایده آل است. پس از شناسایی برنامه هایی که می ‌خواهید پیاده‌سازی کنید، باید به ISO 27002 مراجعه کنید تا درباره نحوه عملکرد هر کدام بیشتر بدانید.

چه نوع سازمان‌ هایی می‌ توانند ISO 27002 را اخذ کنند؟

ISO 27002 برای تمامی سازمان‌ ها، بدون توجه به اندازه یا نوع فعالیت، قابل اجرا است و مناسب هر نوع سازمانی است.

چگونه می‌ توان استاندارد ایزو 27002 را اخذ کرد؟

برای اخذ استاندارد ISO 27002، شما باید مراحل مشخصی را طی کنید که شامل ارزیابی امنیت اطلاعات، تعیین نیازها و پیاده‌سازی کنترل‌ های امنیتی است.

 آیا اخذ استاندارد ISO 27002 هزینه‌بر است؟

هزینه اخذ استاندارد ایزو 27002 به ویژه وابسته به اندازه و محیط سازمان است، اما از طرف دیگر، پیاده‌سازی این استاندارد باعث کاهش هزینه ‌ها و ریسک ‌های امنیتی می ‌شود.

چه مزایایی با اخذ استاندارد ISO 27002 به دست می ‌آید؟

اخذ استاندارد ISO 27002 باعث افزایش اطمینان مشتریان، کاهش ریسک‌ ها و هزینه‌ های امنیتی، پیشگیری از تهدیدات امنیتی، افزایش اثبات‌پذیری و رشد کسب و کار و فرصت ‌های جدید در بازار می ‌شود.