هدف از تدوین ایزو 27001، تعیین الزامات جهت استقرار، پیاده­سازی، نگهداری و بهبود مستمر سیستم مدیریت امنیت اطلاعات است. پذیرش  ISMSتصمیمی راهبردی برای سازمان است. سیستم مدیریت امنیت اطلاعات از محرمانگی، یکپارچگی و دسترسی­پذیری اطلاعات با به ­کار بردن فرآیند مدیریت ریسک و مخاطرات فراهم می­کند. این استاندارد شامل الزامات ارزیابی و برطرف­سازی ریسک­های امنیت اطلاعات است.

 

اطلاعات عملکرد و یا حتی بقای یک سازمان امری حیاتی است. ایزو 27001 به ما کمک می­کند اطلاعات با ارزش خود را محافظت و مدیریت کنیم. ایزو 27001 تنها استاندارد بین­المللی قابل ممیزی است که الزامات مورد نیاز سیستم مدیریت امنیت اطلاعات را معین می­کند. این استاندارد انتخاب کنترل امنیتی مناسب را تضمین می­کند و به سازمان­ها کمک می­کند اطلاعات خود را محافظت کند و اعتماد بخش­های ذینفع و به ویژه مشتریان را جلب نماید.

ایزو 27001 برای تهیه، پیاده­سازی، اجرا، نظارت، بررسی، نگهداری و ارتقا سیستم مدیریت امنیت اطلاعات رویکردی پروسه­ای فراهم می­سازد.

دانش یکی از مهم­ترین ارزش­های یک سازمان در تضمین پیوستگی کسب­ وکار است. در صورت از دست دادن بسیاری از دارایی­ها، اطلاعات از دست رفته معادل پولی نیست. به همین دلیل، در شرایط امروز در حال تغییر و توسعه، اهمیت اطلاعات و ضرورت حفاظت به تدریج افزایش می­یابد.

اطلاعات؛ این را می­توان در نوشتن، رسانه­های الکترونیکی، کلامی، حافظه کارمند و بسیاری از فرمت­های دیگر ذخیره کرد. با توجه به پیشرفت­های تکنولوژیکی، بسیاری از این نوع استفاده ممکن است در طول زمان تغییر کند یا تغییر نکند.

به دليل اين تغيير و توسعه، امنيت اطلاعات بايد به طور مداوم مورد سوال و کنترل قرار گيرد. امنیت اطلاعات حفاظت از محرمانه بودن، یکپارچگی و قابلیت استفاده از اطلاعات است.

 

ایزو 27001 سیستم مدیریت امنیت اطلاعات یک سیستم مدیریتی است که شامل افراد، فرآیندها و سیستم­های اطلاعات در ارائه امنیت اطلاعات شرکتی است و توسط مدیریت ارشد پشتیبانی می­شود. این طرح برای محافظت از دارایی­های اطلاعاتی طراحی شده و کنترل­های امنیتی مناسب را ارائه می­دهد.

 

ISO / IEC27001: 2013 نیازهای نصب، پیاده سازی، اجرای و بهبود مستمر سیستم مدیریت امنیت اطلاعات را در دامنه سازمان تعریف می­کند. همچنین شامل الزامات برای ارزیابی و بهبود خطرات امنیتی اطلاعات مرتبط با نیازهای سازمان می­باشد.

ایزو 27001 نیازمند سازمان­ها برای آماده سازی ریسک و برنامه­ریزی ریسک، وظایف و مسئولیت­ها، برنامه های تداوم کسب و کار، روش­های مدیریت اضطراری حوادث است و آنها را در عمل نگهداری می­کند. اداره باید یک سیاست امنیتی اطلاعات را که شامل همه این فعالیت­ها است، افزایش دهد و آگاهی کارمندان پرسنل درباره امنیت اطلاعات و تهدیدات را افزایش دهد. مدیریت اطلاعات امنیت تنها با حمایت فعال مدیریت و مشارکت پرسنل به عنوان یک فرآیند زندگی که در آن اهداف کنترل انتخاب شده اندازه­گیری شده و پیگیری و عملکرد کنترل­ها به طور مداوم نظارت می­شود، به دست می­آید.

 

27001 ISO استانداردهای امنیت اطلاعات، مانند بسیاری دیگر از مسائل فنی، یک شبکه اصطلاحات پیچیده را توسعه می­دهند. تقریباً تعداد کمی از نویسندگان این مشکل را برای تعیین دقیق معنی این اصطلاحات در نظر می­گیرند، روشی که برای استانداردها غیر قابل قبول است، بی ارزش کردن روند ارزیابی و صدور گواهینامه که می­تواند منجر به سردرگمی شود.

استانداردهای ایزو 27000توسط یک کمیته فرعی کمیته فنی متحده، که در همکاری با سازمان بین المللی استاندارد سازی و کمیسیون بین المللی الکتروتکنیک تاسیس شده است، توسعه یافته است.

 

برای دریافت آخرین نسخه این استاندارد از لینک زیر اقدام کنید.