راهنمای تکنیکهای امنیت اطلاعات در استاندارد سیستم مدیریت امنیت اطلاعات ISO IEC 27003 : 2017
۱۳۹۹/۰۸/۳۰
راهنمای تکنیکهای امنیت اطلاعات در استاندارد سیستم مدیریت امنیت اطلاعات ISO IEC 27003 : 2017
این استاندارد راهنمایی در مورد الزامات سیستم مدیریت امنیت اطلاعات (ISMS) را که در ISO / IEC 27001 مشخص شده ارائه می دهد و توصیه هایی ("باید") ، امکانات ("می تواند") و مجوزها ("ممکن") را در رابطه با آنها ارائه می دهد. کما اینکه هدف این استاندارد ارائه راهنمایی کلی در مورد همه جنبه های امنیت اطلاعات نیست.
بندهای 4 تا 10 این سند تکراری بر ساختار ISO / IEC 27001: 2013 است. این سند هیچ الزام جدیدی برای ISMS و اصطلاحات و تعاریف مربوط به آن اضافه نمی کند بلکه مرجع سازمانها برای الزامات و تعاریف ISO / IEC 27001 و ISO / IEC 27000 است. این سند یک راهنما و بهروش در اجرای بهتر تکنیکها و استقرار ISMS در سازمان است اما مجریان هیچ تعهدو الزامی برای رعایت رهنمودهای این سند ندارند.
به طور کل ISMS بر اهمیت مراحل زیر تأکید می کند:
- درک نیازهای سازمان و ضرورت ایجاد سیاست امنیت اطلاعات و اهداف امنیت اطلاعات؛
- ارزیابی خطرات سازمان مربوط به امنیت اطلاعات؛
- اجرای و بهره برداری از فرآیندهای امنیت اطلاعات، کنترل ها و سایر اقدامات برای رفع ریسکها؛
- نظارت و بررسی عملکرد و اثربخشی ISMS ؛
- اقدام برای بهبود مستمر.
ISMS ، مشابه هر نوع سیستم مدیریتی ، شامل اجزای اصلی زیر است:
الف) سیاست و خط مشی؛
ب) افراد با مسئولیت های مشخص شده؛
ج) فرآیندهای مدیریت مربوط به:
۱) ایجاد سیاست
۲) آگاهی و شایستگی
۳) برنامه ریزی
۴) اجرا و عملیاتی شدن فرایندها
۵) ارزیابی عملکرد؛
۶) بررسی مدیریت نواقص و مشکلات؛
۷) بهبود مستمر؛
د) مستندسازی اطلاعات و اقدامات.
ISMS دارای اجزای اصلی دیگری مانند:
ه) ارزیابی ریسکهای امنیت اطلاعات ؛
و) رفع ریسک امنیت اطلاعات با استفاده از تعیین و اجرای کنترل ها
نیز است. یکی از راههای استقرار و اجرای امنیت اطلاعات در سازمان استاندارد ISO/IEC 27001:2013 است. این استادارد قابل تعمیم به همه سازمانها صرف نظر از نوع، اندازه و ماهیت آنها، است.
بندهای 4 تا 10 به شرح زیر است:
- Required activity: فعالیتهای اصلی مورد نیاز در زیر بند مربوط به ISO / IEC 27001 را ارائه می دهد.
- Explanation: توضیح می دهد که الزامات ISO / IEC 27001 چه معنایی دارد.
- Guidance: اطلاعات دقیق تر یا حمایتی را برای اجرای "فعالیت مورد نیاز" از جمله مثالهایی برای اجرا فراهم می کند.
- Other information: اطلاعات بیشتری را خصوص تکنیکهای امنیت اطلاعات ارائه میدهد.
ISO / IEC 27003 ، ISO / IEC 27004 و ISO / IEC 27005 مجموعه ای از استانداردها را تشکیل می دهند که در واقعه راهنماهایی برای ISO / IEC 27001: 2013 هستند.
در میان این استانداردها، ISO / IEC 27003 یک سند اساسی و جامع است که راهنمایی هایی را برای کلیه الزامات ISO / IEC 27001 ارائه می دهد ، اما شرح مفصلی در مورد "نظارت ، اندازه گیری ، تجزیه و تحلیل و ارزیابی" و مدیریت ریسک امنیت اطلاعات ندارد. جهت دستیابی به این سند روی عبارت ISO/IEC 27003 : 2017 کلیک نمایید.
نویسنده: بهاره جلائی یزدنژاد
مقالات مرتبط
اشتراک در :