استاندارد امنیتی ISO/IEC 27001
این استاندارد بین المللی که ارائه و تدوین شده است یک مدلی برای ایجاد، اجرا، نظارت، بازنگری، نگهداری و بهبود سیستم های اطلاعاتی است. اتخاذ ISMS باید یک تصمیم استراتژیک برای سازمان های اطلاعاتی باشد و این تصمیم به مسائلی مثل اهداف، نیازمندی های امنیتی، فرایندهای استخدام، اندازه و ساختار سازمان وابسته است.یکی از مدل های کاربردی برای فرایندهای ISMS مدل [۱] PCDA است که در تصویر زیر مشاهده می شود. در این مدل چهار گام اصلی انجام می شود که عبارتند از:
- درک نیازهای امنیتی یک سازمان و نیاز به ایجاد سیاست ها و اهداف امنیت اطلاعات (برنامه ریزی)
- پیاده سازی و کنترلهای عملیاتی برای مدیریت ریسک های امنیت اطلاعات سازمان در زمینه خطرات کلی کسب و کار سازمان (انجام)
- نظارت و بررسی عملکرد و اثربخشی ISMS (کنترل)
- بهبود مستمر بر اساس اندازه گیری عینی (عمل)
- اصطلاحات و تعاریف مرتبط در زمینه ISMS:
- کنترل دسترسی[۲]: به معنی اطمینان از دسترسی مجاز و محدود شده براساس نیازمندیهای امنیتی و تجاری به دارایی ها.
- مدل تحلیلی[۳]:
- حمله[۴]: تلاش برای نابود کردن، افشا، تغییر، غیر فعال کردن، سرقت یا دسترسی غیر مجاز به یا استفاده غیر مجاز از داراییها.
- صفت[۵]: ویژگی یا مشخصه یک شی است که می تواند به طور کمی و یا کیفی به وسیله انسان یا اتوماتیک متمایز شود.
- ممیزی[۶]: روند سیستماتیک، مستقل و مستند برای به دست آوردن شواهد ممیزی و ارزیابی عینی آن، تا اندازه معیارهای ممیزی برآورده شود.
- حوزه ممیزی[۷]: حد و مرزهای ممیزی.
- احراز هویت[۸]: ارائه یک تضمین که نشان دهد مشخصه ادعا شده از یک موجودیت[۹]، درست است.
- اعتبار[۱۰]: مشخصه یک موجودیت و آن چیزی که ادعا میشود.
- دسترسپذیری[۱۱]: مشخصهای که توسط یک موجودیت مجاز قابل استفاده است.
- معیار پایه[۱۲]:
- صلاحیت[۱۳]: توانایی اعمال دانش و مهارت برای دستیابی به نتایج مورد نظر.
- محرمانگی[۱۴]: مشخصهای که از افشای اطلاعات در برابر افراد، موجودیتها و فرایندهای غیر مجاز جلوگیری میکند.
- انطباق[۱۵]: تحقق یک نیاز.
- نتیجه[۱۶]: خروجی یک رویداد مؤثر بر اهداف.
- بهبود مستمر[۱۷]: فعالیت های تکراری به منظور افزایش عملکرد.
- کنترل[۱۸]: معیاری برای اصلاح ریسک.
[1] Plan-Check-Do-Act (PCDA)
[2] Access Control
[3] Analytical Model
[4] Attack
[5] Attribute
[6] Audit
[7] Audit Scope
[8] Authentication
[9] Entity
[10] Authenticity
[11] Availability
[12] Base Measure
[13] Competence
[14] Confidentiality
[15] Conformity
[16] Consequence
[17] Continual Improvement
[18] Control