ایزو/آیایسی ۲۷۰۰۲
وضعیت | منتشر شد |
---|---|
آخرین ویرایش | 3 مارس 2022 |
سازمان | سازمان بین المللی استاندارد |
هیئت | ISO/IEC JTC 1/SC 27 |
سریها | ISO/IEC 27000 family |
دامنه | مدیریت امنیت اطلاعات |
وبگاه |
ایزو/آیایسی ۲۷۰۰۲ (به انگلیسی: ISO/IEC 27002) یک استاندارد امنیت اطلاعات است که توسط سازمان بینالمللی استانداردسازی (ISO) و کمیسیون الکتروتکنیکی بینالمللی (IEC) و تحت عنوان تکنولوژی امنیت – تکنیکهای امنیت – دستورالعمل پیشنهادی برای مدیریت امنیت اطلاعات منتشر شدهاست.[۱]
ISO/IEC 27002:2005 از استاندارد بریتانیایی S7799 بدست آمدهاست که در اواسط ۱۹۹۰ منتشر شدهاست. این استاندارد بریتانیایی تحت عنوان ISO/IEC 17799:2000 با ISO/IEC سازگار شد، در سال ۲۰۰۵ بازبینی شد، و در سال ۲۰۰۷ با تغییر شماره (اما در غیر حال بدون تغییر) با مجموعه ایزو ۲۷۰۰۰ استانداردهای منطبق شد.[۲][۳]
ایزو ۲۷۰۰۲ بهترین توصیههای مدیریت امنیت اطلاعات را به منظور استفاده اشخاصی که مسئول آمادهسازی، پیادهسازی یا نگهداری و بهرهبرداری سیستم مدیریت امنیت اطلاعات هستند را به ارمغان میآورد. امنیت اطلاعات در این استاندارد را میتوان به سه حرف C-I-A تعریف کرد:
- رازداری (Confidentiality): تضمین میکند که اطلاعات تنها توسط کسانی که مجاز به دسترسی به آنها هستند قابل دستیابی است.
- یکپارچگی (Integrity): حفاظت در مقابل هر گونه تغییر غیر مجاز در داده ها شامل کاهش یا افزایش یا تغییر در محتوای داده ها
- در دسترس بودن (Availability): اطمینان از آن که تنها افراد مجاز و در زمان نیاز میتوانند به اطلاعات و موارد متناسب با آنها دسترسی داشته باشند.
طرح کلی
[ویرایش]پس از قسمتهای مقدماتی، استاندارد شامل ۱۲ قسمت میشود:
- ارزیابی ریسک
- سیاستهای امنیتی – سوگیریهای مدیریتی
- سازماندهی مدیریت اطلاعات – حاکمیت بر امنیت اطلاعات
- مدیریت سرمایه – فهرست موجودی و طبقهبندی منابع اطلاعات
- امنیت منابع انسانی – جنبههای امنیتی برای به هم پیوستن و خروج از سازمان و همچنین جابجایی در سازمان
- امنیت فیزیکی و محیطی – حفاظت ادوات کامپیوتری
- مدیریت عملیات و ارتباطات – مدیریت کنترلهای امنیتی تکنیکی، در شبکهها و سیستمها
- کنترل دسترسی – محدودیتها در اجازه دسترسی به شبکهها، سیستمها، برنامههای کاربردی، توابع و دادهها
- ردیابی، توسعه و نگهداری سیستمهای اطلاعات – گسترش محدودههای امنیتی به برنامههای کاربردی
- مدیریت اتفاقات امنیت اطلاعات – پیشبینی و پاسخ دهی مناسب به شاخههای امنیت اطلاعات
- مدیریت تداوم کسب و کار – محافظت، نگهداری و بازیابی سیستمها و پروسههای شغلهای بحرانی
- موافقت – تضمین پیروی از سیاستهای امنیت اطلاعات استانداردها، قوانین و مقررات تنظیمی
در هر بخش، کنترلهای امنیتی اطلاعات و اهداف آنها مشخص و خلاصه شدهاست. کنترلهای امنیت اطلاعات بهطور کلی بهترین وسیله جهت دستیابی به این اهداف هستند. برای هر یک از کنترلها، راهنمای پیادهسازی ارائه شدهاست. برخی کنترلها لازمالاجرا نیستند زیرا:
- از هر سازمان است انتظار میرود با انجام یک فرایند ارزیابی ریسک امنیت اطلاعات ساخت یافته، پیش از انتخاب کنترلهایی متناسب با شرایط خاص سازمان، به تعیین نیازمندیهای خاص خود بپردازند. بخش مقدمه به تشریح فرایند ارزیابی خطر میپردازد. با این حال استانداردهای دیگری نیز این فرایند را پوشش میدهند؛ مثل ISO/IEC 27005. استفاده از فرایند تجزیه و تحلیل خطر امنیت اطلاعات به منظور انتخاب و پیادهسازی کنترلهای امنیت اطلاعات از ویژگیهای مهم استانداردهای سری ISO/IEC 27000-series است: بدین معنی که از توصیههای عملی عمومی در این استاندارد به قسمت خاصی از هر سازمان منطبق میشود، و به صورت خط به خط و بدون فکر نباید اعمال شود. همه ۳۹ هدف کنترلی لزوماً به هر سازمان مروب طنمی شود. این استانداردها بسته نیستند، به این معنا که کنترل امنیت اطلاعات را میتوان 'پیشنهاد‘ و به آن اضافه کرد، و در را برای کاربران جهت اتخاذ کنترلهای جایگزین (در صورت تمایل) بازمیگذارد. این موضوع به شرطی برقرار است که وجود حداقل اهداف کنترل شونده لازم برای پوشش خطرات امنیت اطلاعات نقض شود.
- فهرست کردن تمام کنترلهای قابل تصور در یک استاندارد جامع بهطور عملی غیرممکن است. در آمادهسازی این استاندارد دستورالعملهای پیادهسازی ISO/IEC 27001 و ISO/IEC 27002 مختص صنعت، مثلاً توصیههایی برای صنایع مخابرات (ISO/IEC 27011) و بهداشت و درمان (ISO 27799)، دستورالعملهای اضافی برای خدمات مالی و سایر صنایع جای داده شدهاند.
گواهینامه
[ویرایش]ISO/IEC 27002 یک استاندارد پیشنهاددهندهاست. بدین معنی که تفسیرها و کاربردهای آن به تمام انواع سازمانها با اندازههای گوناگون، ب��ید با توجه به خطرات امنیت اطلاعاتی است که در سازمان با آن مواجه میشوند. استاندارد ISO/IEC 27001 تعدادی از نیازمندیهای اساسی را برای پیادهسازی، اجرا، نگهداری، و ارتقای یک ISMS تعیین میکند و در ضمیمه A مجموعهای از کنترل امنیت اطلاعات را که سازمانها با آن مواجه میشوند بیان شدهاند که لازم است با شرایط مکانی که ISMS در آن حضور مییابد منطبق شود. کنترلهای موجود در ضمیمه A با استاندارد ISO/IEC 27002 سازگار است.
توسعه مداوم
[ویرایش]هر دو استاندارد ایزو ۲۷۰۰۱ و ایزو ۲۷۰۰۲ در حال حاضر توسط ISO/IEC JTC1/SC27 بازبینی شدهاند. این عمل روندی است که هر از چند سالی به منظور به روز و مرتبط نگه داشتن استانداردهای ایزو انجام میشود. برای مثال میتوان به ارجاع و به کار گرفتن دیگر استانداردها (مثل ایزو ۲۷۰۰۰، ایزو ۲۷۰۰۴ و ایزو ۲۷۰۰۵) در این استاندارد و دیگر استانداردهای خوب در این زمینه به وجود میآید استفاده میشود.
جستارهای وابسته
[ویرایش]- BS 7799 استاندارد بریتانیایی اصلی که ایزو ۱۷۷۹۹ و ایزو ۲۷۰۰۲ از آن نشات گرفتهاند.
- حرفهای بودن در امنیت اطلاعات
- مجموعه ایزو ۲۷۰۰۰
- حفاظت مرزهای IT
- مدیریت خطر IT
- فهرست استانداردهای ایزو
- قانون ساربنز-آکسلی ۲۰۰۲
- استاندارد پیادهسازی مناسب که توسط انجمن امنیت اطلاعات
منابع
[ویرایش]- ↑ "ISO27k timeline". ISO27001security.com. IsecT Ltd. Retrieved 9 March 2016.
- ↑ "An important information security standard has been revised". www.bsigroup.com. BSI Group. Retrieved 13 December 2022.
- ↑ ISC CISSP Official Study Guide. SYBEX. 15 September 2015. ISBN 978-1119042716. Retrieved 1 November 2016.