بررسی استانداردهای خانواده ISO 27000 (بخش اول)

بررسی استانداردهای خانواده ISO 27000 (بخش اول)

۱۴۰۱/۰۷/۱۴

بررسی استانداردهای خانواده ISO 27000 (بخش اول)

با توجه به جایگاه امنیت اطلاعات در سازمانها و نگاه سیستماتیک به این موضوع، تدوین استانداردهای قابل قبول برای این حوزه در دستور کار مجامع بین المللی قرار گرفته است. به صورت خاص در حوزه سیستم مدیریت امنیت اطلاعات (ISMS) استانداردهای خانواده 27000 سازمان جهانی استاندارد (ISO) در حال حاضر به عنوان معتبرترین استانداردها و چارچوب ها در دنیا شناخته می شوند که بسیاری از شرکت ها و سازمان ها در سراسر جهان از آنها استفاده می کنند.

در این مقاله ضمن معرفی استانداردهای موجود، ویژگی ها، هدف از انتشار و آخرین وضعیت هر یک از این استانداردها بیان شده و متن اصلی استانداردها به ضمیمه تقدیم می گردد.

 مقدمه

خانواده استانداردهای 27000 شامل مجموعه ای از استانداردهای مرتبط با یکدیگر است که منتشر شده و یا در حال تدوین می باشند. به طور کلی این خانواده دارای 3 استاندارد الزام آوار است که شرکت ها می توانند در صورت اجرای بندها و الزامات موجود در آنها و طی مراحل ممیزی شخص ثالث، گواهینامه آن استاندارد را دریافت نمایند.

اولین استاندارد الزام آور ISO/IEC 27001 است که به بیان الزامات سیستم مدیریت امنیت اطلاعات اختصاص دارد، ISO/IEC 27006 الزامات مربوط به شرکت های ممیزی کننده یا ارائه دهنده گواهی (CB) را تبیین می کند و استاندارد ISO/IEC 27009 که الزامات پیاده سازی ISMS برای حوزه های کسب و کاری خاص را تدوین نموده است. سایر استانداردهای این خانواده به عنوان مکمل و راهنمایی برای جنبه های مختلف پیاده سازی یک سیستم مدیریت امنیت اطلاعات به صورت عمومی و اختصاصی کسب و کارها موجود هستند. بنابراین ذکر این نکته ضروری است که به غیر از سه استاندارد مذکور، سایر استانداردها نظیر ISO/IEC 27005 یا  ISO/IEC 27002  قابلیت دریافت گواهینامه از سوی سازمان ها و شرکت های مختلف را ندارند.  

در ادامه هریک از استانداردهای خانواده سیستم مدیریت امنیت اطلاعات، بر اساس نوع (یا نقش) و شماره شرح داده شده اند. بر این اساس می توان چهار دسته ذیل را برای این استانداردها تعریف نمود:

  • استانداردهای مرور کلی و اصطلاحات (واژگان)
  • استانداردهای مربوط به تبیین الزامات
  • استانداردهای توصیف کننده راهنمایی های کلی
  • استانداردهای توصیف کننده راهنمایی های مرتبط به یک حوزه خاص

استانداردهای این خانواده : مرور کلی و اصطلاحات

استاندارد ISO/IEC 27000

 فناوری اطلاعات تکنیک های امنیتی – سیستم های مدیریت امنیت اطلاعات - مرور کلی و واژگان

این استاندارد بین المللی برای سازمان ها و افراد مختلف موارد ذیل را فراهم می آورد:

  • مرور کلی خانواده استانداردهای سیستم مدیریت امنیت اطلاعات
  • معرفی سیستم های مدیریت امنیت اطلاعات
  • اصطلاحات و واژگان بکاربرده شده در خانواده استانداردهای سیستم مدیریت امنیت اطلاعات

این استاندارد بین المللی اصول سیستم های مدیریت امنیت اطلاعات را شرح می دهد که موضوع استاندارد خانواده ISMS است و شرایط مرتبط را تعریف می کند. آخرین تغییرات نسخه این استاندارد که در فوریه 2018 منتشر شده است.

دانلود استاندارد ISO/IEC 27000

 

استاندارد ISO/IEC 27001

فناوری اطلاعات – تکنیک های امنیتی سیستم های مدیریت امنیت اطلاعات – الزامات

این استاندارد بین المللی الزامات ایجاد، پیاده سازی، نگهداری و بهبود مستمر یک سیستم مدیریت امنیت اطلاعات در سازمان مشخص می کند. این استاندارد بین المللی همچنین شامل الزاماتی برای ارزیابی و مقابله با مخاطرات امنیتی سازمان متناسب با نیازهای آن می باشد. تمامی الزامات این استاندارد عمومی بوده و قابلیت اعمال در کلیه سازمان ها، صرف نظر از نوع، انداره و ماهیت فعالیت آن ها را دارا است.

استاندارد ISO/IEC 27001 تمامی نیازمندی های ضروری را جهت ایجاد و عملیات یک سیستم مدیریت امنیت اطلاعات ایجاد می کند که شامل مجموعه ای از اقدامات برای کنترل و کاهش ریسک های مرتبط با دارایی های اطلاعاتی است. این ریسک های امنیتی مواردی هستند که مورد قبول مجموعه نمی باشند و سازمان می خواهد از طریق سیستم مدیریت امنیت اطلاعات از آنها اجتناب نماید. سازمان هایی که سیستم مدیریت امنیت اطلاعات را اجرا می کنند می توانند بر اساس آن ممیزی شده و گواهینامه را دریافت نمایند.

آخرین نسخه/وضعیت: اولین نسخه این استاندارد در خانواده 27000 در سال 2005 منتشر شد و در حال حاضر نسخه سال 2013 در 23 صفحه به عنوان آخرین نسخه معتبر محسوب می شود. البته در سال های 2014 و 2015 دو اصلاحیه مختصر بر روی این استاندارد اعمال گردید.

دانلود استاندارد ISO/IEC 27001 نسخه 2013

دانلود استاندارد ISO/IEC 27001 اصلاحیه 2014

دانلود استاندارد ISO/IEC 27001 اصلاحیه 2015

 

استانداردهای توصیف کننده راهنمایی های کلی

استاندارد ISO/IEC 27002

فناوری اطلاعات – تکنیک های امنیتی – آیین کار برای کنترل های امنیت اطلاعات

این استاندارد بین المللی فهرستی از اهداف کنترلی پذیرفته شده و بهترین روش های کاربردی را جهت ارائه راهنمای پیاده سازی در هنگام انتخاب و پیاده سازی کنترل های موجود در پیوست الف استاندارد ISO/IEC 27001، ایجاد می کند.

استاندارد ISO/IEC 27002 راهنمای پیاده سازی کنترل های امنیت اطلاعات می باشد. خصوصا بخش های 5 تا 18 این استاندارد، مشاوره و راهنمایی در خصوص اجرای عملی کنترل های مشخص شده در A5 تا A18 استاندارد ISO/IEC 27001 را ارائه می نماید.

آخرین نسخه/وضعیت: اولین نسخه این استاندارد در خانواده 27000 در سال 2005 منتشر شد و در حال حاضر نسخه سال 2013 در 80 صفحه به عنوان آخرین نسخه معتبر محسوب می شود. البته همانند استاندارد ISO 27001 در سال های 2014 و 2015 دو اصلاحیه مختصر بر روی این استاندارد اعمال گردید.

دانلود استاندارد ISO/IEC 27002 نسخه 2013

دانلود استاندارد ISO/IEC 27002 اصلاحیه 2014

دانلود استاندارد ISO/IEC 27002 اصلاحیه 2015

 

استاندارد  ISO/IEC 27003

فناوری اطلاعات – تکنیک های امنیتی – راهنمای پیاده سازی سیستم مدیریت امنیت اطلاعات

این استاندارد بین المللی مطابق با استاندارد ISO/IEC 27001 راهنمای پیاده سازی عملی و اطلاعات تکمیلی جهت ایجاد، پیاده سازی، اجرا، نظارت، بازبینی، نگهداری و بهبود یک سیستم مدیریت امنیت اطلاعات را ارائه می کند.

استاندارد ISO/IEC 27003 یک رویکرد فرآیندگرا جهت پیاده سازی موفق سیستم مدیریت امنیت اطلاعات مطابق با استاندارد ISO/IEC 27001 ارائه می نماید.

آخرین نسخه/وضعیت: اولین نسخه این استاندارد در سال 2010 منتشر شد و در حال حاضر نسخه سال 2017 در 45 صفحه به عنوان آخرین نسخه معتبر محسوب می شود.

دانلود استاندارد ISO/IEC 27003 نسخه 2017

کلیه حقوق مادی و معنوی این سایت برای شرکت امن افزار: شرکت امنیت اطلاعات و شبکه[ شرکت تخصصی امنیت اطلاعات ] محفوظ است.