استاندارد امنیتی ISO/IEC 27001

این استاندارد بین المللی که ارائه و تدوین شده است یک مدلی برای ایجاد، اجرا، نظارت، بازنگری، نگهداری و بهبود سیستم های اطلاعاتی است. اتخاذ ISMS باید یک تصمیم استراتژیک برای سازمان های اطلاعاتی باشد و این تصمیم به مسائلی مثل اهداف، نیازمندی های امنیتی، فرایندهای استخدام، اندازه و ساختار سازمان وابسته است.یکی از مدل های کاربردی برای فرایندهای ISMS مدل [۱] PCDA است که در تصویر زیر مشاهده می شود. در این مدل چهار گام اصلی انجام می شود که عبارتند از:

  • درک نیازهای امنیتی یک سازمان و نیاز به ایجاد سیاست ها و اهداف امنیت اطلاعات (برنامه ریزی)
  • پیاده سازی و کنترل‌های عملیاتی برای مدیریت ریسک های امنیت اطلاعات سازمان در زمینه خطرات کلی کسب و کار سازمان (انجام)
  • نظارت و بررسی عملکرد و اثربخشی ISMS (کنترل)
  • بهبود مستمر بر اساس اندازه گیری عینی (عمل)

 

  • اصطلاحات و تعاریف مرتبط در زمینه ISMS:
  • کنترل دسترسی[۲]: به معنی اطمینان از دسترسی مجاز و محدود شده براساس نیازمندی‌های امنیتی و تجاری به دارایی ها.
  • مدل تحلیلی[۳]:
  • حمله[۴]: تلاش برای نابود کردن، افشا، تغییر، غیر فعال کردن، سرقت یا دسترسی غیر مجاز به یا استفاده غیر مجاز از دارایی‌ها.
  • صفت[۵]: ویژگی یا مشخصه یک شی است که می تواند به طور کمی و یا کیفی به وسیله انسان یا اتوماتیک متمایز شود.
  • ممیزی[۶]: روند سیستماتیک، مستقل و مستند برای به دست آوردن شواهد ممیزی و ارزیابی عینی آن، تا اندازه معیارهای ممیزی برآورده شود.
  • حوزه ممیزی[۷]: حد و مرزهای ممیزی.
  • احراز هویت[۸]: ارائه یک تضمین که نشان دهد مشخصه ادعا شده از یک موجودیت[۹]، درست است.
  • اعتبار[۱۰]: مشخصه یک موجودیت و آن چیزی که ادعا می‌شود.
  • دسترس‌پذیری[۱۱]: مشخصه‌ای که توسط یک موجودیت مجاز قابل استفاده است.
  • معیار پایه[۱۲]:
  • صلاحیت[۱۳]: توانایی اعمال دانش و مهارت برای دستیابی به نتایج مورد نظر.
  • محرمانگی[۱۴]: مشخصه‌ای که از افشای اطلاعات در برابر افراد، موجودیت‌ها و فرایندهای غیر مجاز جلوگیری می‌کند.
  • انطباق[۱۵]: تحقق یک نیاز.
  • نتیجه[۱۶]: خروجی یک رویداد مؤثر بر اهداف.
  • بهبود مستمر[۱۷]: فعالیت های تکراری به منظور افزایش عملکرد.
  • کنترل[۱۸]: معیاری برای اصلاح ریسک.

[1] Plan-Check-Do-Act (PCDA)

[2] Access Control

[3] Analytical Model

[4] Attack

[5] Attribute

[6] Audit

[7] Audit Scope

[8] Authentication

[9] Entity

[10] Authenticity

[11] Availability

[12] Base Measure

[13] Competence

[14] Confidentiality

[15] Conformity

[16] Consequence

[17] Continual Improvement

[18] Control

نظر بدهید

آدرس ایمیل تان منتشر نخواهد شد.