هدف از تدوین ایزو 27001، تعیین الزامات جهت استقرار، پیادهسازی، نگهداری و بهبود مستمر سیستم مدیریت امنیت اطلاعات است. پذیرش ISMSتصمیمی راهبردی برای سازمان است. سیستم مدیریت امنیت اطلاعات از محرمانگی، یکپارچگی و دسترسیپذیری اطلاعات با به کار بردن فرآیند مدیریت ریسک و مخاطرات فراهم میکند. این استاندارد شامل الزامات ارزیابی و برطرفسازی ریسکهای امنیت اطلاعات است.
اطلاعات عملکرد و یا حتی بقای یک سازمان امری حیاتی است. ایزو 27001 به ما کمک میکند اطلاعات با ارزش خود را محافظت و مدیریت کنیم. ایزو 27001 تنها استاندارد بینالمللی قابل ممیزی است که الزامات مورد نیاز سیستم مدیریت امنیت اطلاعات را معین میکند. این استاندارد انتخاب کنترل امنیتی مناسب را تضمین میکند و به سازمانها کمک میکند اطلاعات خود را محافظت کند و اعتماد بخشهای ذینفع و به ویژه مشتریان را جلب نماید.
ایزو 27001 برای تهیه، پیادهسازی، اجرا، نظارت، بررسی، نگهداری و ارتقا سیستم مدیریت امنیت اطلاعات رویکردی پروسهای فراهم میسازد.
دانش یکی از مهمترین ارزشهای یک سازمان در تضمین پیوستگی کسب وکار است. در صورت از دست دادن بسیاری از داراییها، اطلاعات از دست رفته معادل پولی نیست. به همین دلیل، در شرایط امروز در حال تغییر و توسعه، اهمیت اطلاعات و ضرورت حفاظت به تدریج افزایش مییابد.
اطلاعات؛ این را میتوان در نوشتن، رسانههای الکترونیکی، کلامی، حافظه کارمند و بسیاری از فرمتهای دیگر ذخیره کرد. با توجه به پیشرفتهای تکنولوژیکی، بسیاری از این نوع استفاده ممکن است در طول زمان تغییر کند یا تغییر نکند.
به دليل اين تغيير و توسعه، امنيت اطلاعات بايد به طور مداوم مورد سوال و کنترل قرار گيرد. امنیت اطلاعات حفاظت از محرمانه بودن، یکپارچگی و قابلیت استفاده از اطلاعات است.
ایزو 27001 سیستم مدیریت امنیت اطلاعات یک سیستم مدیریتی است که شامل افراد، فرآیندها و سیستمهای اطلاعات در ارائه امنیت اطلاعات شرکتی است و توسط مدیریت ارشد پشتیبانی میشود. این طرح برای محافظت از داراییهای اطلاعاتی طراحی شده و کنترلهای امنیتی مناسب را ارائه میدهد.
ISO / IEC27001: 2013 نیازهای نصب، پیاده سازی، اجرای و بهبود مستمر سیستم مدیریت امنیت اطلاعات را در دامنه سازمان تعریف میکند. همچنین شامل الزامات برای ارزیابی و بهبود خطرات امنیتی اطلاعات مرتبط با نیازهای سازمان میباشد.
ایزو 27001 نیازمند سازمانها برای آماده سازی ریسک و برنامهریزی ریسک، وظایف و مسئولیتها، برنامه های تداوم کسب و کار، روشهای مدیریت اضطراری حوادث است و آنها را در عمل نگهداری میکند. اداره باید یک سیاست امنیتی اطلاعات را که شامل همه این فعالیتها است، افزایش دهد و آگاهی کارمندان پرسنل درباره امنیت اطلاعات و تهدیدات را افزایش دهد. مدیریت اطلاعات امنیت تنها با حمایت فعال مدیریت و مشارکت پرسنل به عنوان یک فرآیند زندگی که در آن اهداف کنترل انتخاب شده اندازهگیری شده و پیگیری و عملکرد کنترلها به طور مداوم نظارت میشود، به دست میآید.
27001 ISO استانداردهای امنیت اطلاعات، مانند بسیاری دیگر از مسائل فنی، یک شبکه اصطلاحات پیچیده را توسعه میدهند. تقریباً تعداد کمی از نویسندگان این مشکل را برای تعیین دقیق معنی این اصطلاحات در نظر میگیرند، روشی که برای استانداردها غیر قابل قبول است، بی ارزش کردن روند ارزیابی و صدور گواهینامه که میتواند منجر به سردرگمی شود.
استانداردهای ایزو 27000توسط یک کمیته فرعی کمیته فنی متحده، که در همکاری با سازمان بین المللی استاندارد سازی و کمیسیون بین المللی الکتروتکنیک تاسیس شده است، توسعه یافته است.
برای دریافت آخرین نسخه این استاندارد از لینک زیر اقدام کنید.