استاندارد ISO 27002
استاندارد ISO 27002 آیین نامه ای برای کنترل های امنیت اطلاعات
استاندارد ISO 27002 چیست؟
ISO/IEC 27002:2013 یک استاندارد امنیت اطلاعات است که توسط ISO (سازمان بین المللی استاندارد) و IEC (کمیسیون بین المللی الکتروتکنیکی) منتشر شده است. این بخشی از خانواده استانداردهای ISO/IEC 27000 است.
این استاندارد راهنمایی و توصیه هایی را برای ISMS های سازمانی (سیستم های مدیریت امنیت اطلاعات) ارائه می دهد. این برنامه برای کمک به سازمانها در شناسایی و مدیریت ریسکهای امنیت اطلاعاتشان طراحی شده است و مجموعهای از کنترلها را برای رسیدگی به این خطرات ارائه میکند.
به روز رسانی ISO 27001 و ISO 27002 2022
ISO/IEC 27001:2022 – جدیدترین نسخه ISO 27001 – در اکتبر 2022 منتشر شد. سازمان هایی که دارای گواهینامه ISO/IEC 27001:2013 هستند، یک دوره انتقال سه ساله برای ایجاد تغییرات لازم در ISMS (سیستم مدیریت امنیت اطلاعات) خود دارند.
هدف ISO 27002 چیست؟
هدف ISO 27002 ارائه راهنمایی در مورد چگونگی توسعه و پیاده سازی ISMS است. این استاندارد از استاندارد ISO/IEC 27001 پشتیبانی می کند و شامل مجموعه ای از کنترل های امنیتی است که سازمان ها می توانند برای محافظت از دارایی های اطلاعاتی خود اجرا کنند.
ISO 27002 یک استاندارد اجباری نیست، اما می تواند به عنوان مبنایی برای توسعه یک برنامه امنیتی که نیازهای یک سازمان را برآورده می کند، استفاده شود.
تفاوت بین ISO 27002 و ISO 27001 چیست؟
ISO 27001 مشخصات یک ISMS شامل الزامات فرآیند مدیریت ریسک را ارائه می دهد که باید برای انتخاب اقدامات امنیتی مناسب با خطراتی که سازمان خود با آن مواجه است، استفاده کنید.
چارچوب ISO 27002 بهترین راهنما را برای اعمال کنترل های فهرست شده در پیوست A ISO 27001 ارائه می دهد. این چارچوب را پشتیبانی می کند و باید در کنار ISO 27001 خوانده شود.
ISO 27001 تنها استاندارد امنیت اطلاعات است که سازمان ها می توانند گواهینامه ممیزی مستقل را بر اساس آن کسب کنند. این تضمین مستقل و متخصص را فراهم می کند که امنیت اطلاعات مطابق با بهترین شیوه های بین المللی مدیریت می شود.
نحوه انتخاب و پیاده سازی کنترل های امنیتی ISO 27001
کنترلهای امنیتی بخش مهمی از مدیریت امنیت اطلاعات برای همه سازمانهایی است که اطلاعات محرمانه را ذخیره و مدیریت میکنند. اگرچه الزامات خاص برای مدیریت امنیت اطلاعات از یک کسب و کار به تجارت دیگر متفاوت است، سازمان ها می توانند کنترل های مشترکی را برای ایمن سازی داده های خود و انجام تعهدات قانونی و قراردادی خود اعمال کنند.
بند 6.1.2 ISO 27001 یک فرآیند مدیریت ریسک را مشخص می کند که سازمان ها باید هنگام انتخاب و اجرای کنترل های امنیتی از آن پیروی کنند. بیان می کند که فرآیند ارزیابی ریسک باید:
- معيارهاي خطر امنيت اطلاعات خاصي را ايجاد و حفظ كنيد
- اطمینان حاصل کنید که ارزیابی های مکرر ریسک “نتایج منسجم، معتبر و قابل مقایسه ایجاد می کند”
- شناسایی خطرات مرتبط با از دست دادن محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات در محدوده سیستم مدیریت امنیت اطلاعات
- صاحبان آن خطرات را شناسایی کنید
- تجزیه و تحلیل و ارزیابی ریسک های امنیت اطلاعات بر اساس معیارهای خاص
- مستند باشد
لیست کنترل های ISO 27002
ضمیمه A ISO 27001 114 کنترل امنیتی را فهرست می کند که به 14 مجموعه کنترل تقسیم شده اند که هر کدام در بندهای 5-18 ISO 27002 بسط داده شده است:
A.5 سیاست های امنیت اطلاعات
امنیت اطلاعات باید از بالای سازمان هدایت شود و سیاست ها باید به وضوح به همه کارکنان ابلاغ شود.
A.6. سازمان امنیت اطلاعات
یک چارچوب مدیریتی باید از عملیات امنیت اطلاعات سازمان در داخل و خارج از سایت پشتیبانی کند.
A.7 امنیت منابع انسانی
کارکنان و پیمانکاران باید از نقش خود در حفاظت از اطلاعات سازمان قبل و در حین استخدام آگاه باشند. اطلاعات سازمان نیز باید محافظت شود.
A.8 مدیریت دارایی
سازمان ها باید دارایی های فیزیکی و اطلاعاتی خود را شناسایی کرده و سطح مناسب حفاظت لازم برای هر یک را تعیین کنند.
A.9 کنترل دسترسی
دسترسی به اطلاعات و امکانات پردازش اطلاعات باید محدود شود تا از دسترسی غیرمجاز کاربر جلوگیری شود. کاربران باید مسئول حفاظت از اطلاعات احراز هویت خود مانند رمز عبور باشند.
A.10 رمزنگاری
سیاست های رمزنگاری و استفاده از کلیدهای رمزنگاری باید برای محافظت از محرمانه بودن، یکپارچگی و/یا در دسترس بودن اطلاعات ایجاد و اجرا شود.
الف.11 امنیت فیزیکی و محیطی
کنترلهایی باید برای جلوگیری از دسترسی غیرمجاز فیزیکی، آسیب و تداخل در امکانات پردازش اطلاعات اعمال شود.
الف.12 امنیت عملیات
اطلاعات و امکانات پردازش اطلاعات باید در برابر بدافزار، از دست دادن داده ها و سوء استفاده از آسیب پذیری های فنی محافظت شوند.
الف.13 امنیت ارتباطات
اطلاعات باید در شبکه ها و در حین انتقال، چه در داخل سازمان و چه در خارج محافظت شوند.
A.14 خرید، توسعه و نگهداری سیستم
امنیت اطلاعات باید در طول چرخه حیات سیستم های اطلاعاتی طراحی و اجرا شود. داده های تست نیز باید محافظت شوند.
A.15 روابط تامین کننده
هر یک از دارایی های اطلاعاتی سازمان که توسط تامین کنندگان قابل دسترسی است باید به طور مناسب محافظت شود.
A.16 مدیریت حوادث امنیت اطلاعات
حوادث امنیت اطلاعات باید به طور مداوم و موثر رسیدگی شود.
الف.17 جنبه های امنیت اطلاعات مدیریت تداوم کسب و کار
تداوم امنیت اطلاعات باید در شیوه های مدیریت تداوم کسب و کار سازمان تعبیه شود.
A.18 مطابقت
اطلاعات باید برای رعایت تعهدات قانونی، قانونی، مقرراتی و قراردادی و مطابقت با خط مشی ها و رویه های سازمان محافظت شود.