استاندارد مدیریت امنیت اطلاعات ISO 27003

آشنایی با استاندارد مدیریت امنیت اطلاعات ISO 27003

 

استاندارد چیست؟

استاندارد در لغت به معنی نظم و قانون است.

از دید عمومی استاندارد، الگو یا مفهومی از توافق، قانون یا معیاری پذیرفته شده در یک کشور، سازمان یا جهان است.

از دید فنی، قوانین و مقرارتی است برای تعیین کیفیت و مشخصات مطلوب یک محصول یا خدمات، که آن را استاندارد می‌گویند. استانداردها دارای چهار وجه کاملاً مجزا می‌باشند، یعنی «ماهیت محصولات»، «امور مدیریتی»، «ارزیابی و انطباق‌ها» و «مسئولیت‌های اجتماعی» چهار وجه استاندارد هستند.

همچنین داشتن قانون و تعیین اندازه و مهم‌تر از آن رعایت حدود و اندازه‌ها برای حفظ کیفیت زندگی اجتماعی و حتی زندگی شخصی بسیار واجب و مفید است. در امورهای اجتماعی، اقتصادی و بویژه امور صنعتی به این اندازه استاندارد می‌گویند.

پایه مان برابر واژه استاندارد به معنی آنچه باید در کارها و امور به عنوان پایه و اساس قرار بگیرد و بماند. این واژه در فرهنگستان زبان فارسی پیشنهاد شده است.

در گروه دیجیتال مارکتینگ نتیرال قصد داریم به موضوع استاندارد مدیریت امنیت اطلاعات ISO 27003 بپردازیم، تا پایان این مقاله همراه ما باشید:

 

ایزو (ISO) چیست؟

ISO  یک سازمان جهانی است. ISO مانند دیگر سازمان‌های بین المللی وظایفی را بر عهده دارد که در سطح جهانی و در همه کشور ها قابلیت اجرا و حمایت دارد. وظیفه سازمان ایزو (ISO) تهیه و ارائه استانداردهای بین المللی با استناد به خواسته‌ها و شرایط قانونی مورد توافق همه کشور‌ها می‌باشد. سازمان ایزو (ISO) به منظور یکپارچه سازی همه فرآیند‌ها و روش انجام کارها یا خدمات با هدف تسهیل در تولید و توسعه روز افزون تولید کنندگان و ارائه دهندگان خدمات در سایه حمایت از تولید کننده و مصرف کننده می‌باشد.

ISO از کلمه ای در زبان یونان به نام ISOS مشتق شده که به معنی برابری و یکسانی است. در واقع ISO هدف اصلی یک استاندارد را بیان می کند. اما سازمان جهانی استاندارد سازی به لاتین  مخفف ISO را نخواهد داشت. بطور کلی عبارت International Organization for Standardization به مفهوم سازمان بین المللی استاندارد سازی بصورت مخفف می شود ISO که بنابراین ISO مشتق این عبارت نیست.

سازمان بین المللی ایزو مجموعه‌ای از توسعه دهنده‌های ایزو را گرد هم آورده که برخی بصورت اعضا اصلی ، برخی اعضا فرعی  و قسمتی به عنوان اعضا جانبی در این سازمان مشارکت می‌کنند. این سازمان در حال حاضر 147 عضو دارد که ایران و سازمان استاندارد ملی ایران یکی از این اعضا و از اعضا اصلی محسوب می‌شود.

 

اهمیت ایزو (ISO)

ایزو همان گونه که اشاره شد مختص سازمان جهانی استاندارد سازی است. این سازمان هزاران استاندارد را در زمینه ها و موضوعات مختلف تدوین و ارائه کرده است. قوانین ISO مورد تایید همه اعضا سازمان جهانی استاندارد قرار گرفته است. هر شرکت و سازمانی که از این علائم بر روی محصولات و خدمات خود استفاده نماید در واقع تعهد خود به جامعه و مشتریان را اثبات و کیفیت و برتری محصولات خود را به رخ رقبا کشیده است.

هر یک از علامت های استاندارد بصورت کدی تعریف شده است که مرتبط با موضوعی می باشد. مثلا ISO 9001 به موضوع مدیریت کیفیت در یک شرکت اشاره دارد و یا ISO 27001 تعهد شرکت به سیستم های مدیریت امنیت اطلاعات را ثابت می کند. ISO 27003 به آئین نامه کاری مدیریت امنیت اطلاعات اشاره می‌کند و تعریف شده.

 

چرا باید iso دریافت کرد؟

شرکت‌ها و سازمان‌هایی که اقدام به دریافت ایزو (ISO) می‌کنند خود را به جامعه و مشتریان متعهد می‌دانند و در تلاش هستند تا محصول و خدمتی را ارائه نمایند که منطبق با خواسته مشتریان و خود سازمان و بخصوص متناسب با شرایط بین المللی استاندارد باشد.

اقدام این شرکت‌ها برای دریافت ایزو باعث ایجاد اعتماد سازی بین خود و مشتریان آن شرکت می‌شود.

با دریافت ایزو (ISO) این شرکت‌ها موارد زیر را به مشتریان خود تعهد و اثبات می‌نمایند:

• بررسی همه جانبه تولیدات و محصولات خود بر اساس اهداف و برنامه‌های مشخص و سیستماتیک
• شفافیت در تولیدات و خدمات با تعیین شاخص‌های موثر و مشخص
• جلوگیری از دوباره کاری به دلیل اینکه فرآیند‌های تعریف شده و راه‌های مشخص تعریف شده دارند
• تعهد به افزایش کیفیت محصولات و خدمات در تولید
• تعهد در کاهش هزینه‌های تولید
• اعتماد و اطمینان داخلی سیستم و شروح وظایف و مسئولیت های داخلی مشخص
• تعهد به مدیران شرکت‌ها و مشتریان خارجی دیگر
• تعهد به مصرف کننده و تامین خواسته های آن‌ها با اندازه گیری رضایت مشتریان بصورت مرتب و برنامه ریزی شده
• ایجاد توان رقابتی بالا با سایر رقبا و در راستای تعالی و توسعه تولیدات و خدمات ملی

تفاوتی ندارد شما به دنبال کدام یک از استاندارد های ایزو باشید. وقتی شرکت شما از استانداردهای مشخص و تعریف شده سازمان بین المللی استاندارد بهره‌مند باشد بزرگترین تعهد را به جامعه و مشتریان خود داده‌اید. مشتریان با دیدن نشان‌های استاندارد بین المللی بر روی محصولات و خدمات شما به کیفیت و تعهد شما واقف می‌شوند.

بنابر این شما باید بهترین مشاورین و متخصصین را برای دریافت این استانداردهای بین المللی بصورت واقعی داشته باشید.

شرکت هایی که می خواهند ایزو (ISO) دریافت نمایند باید مطابق با دستورالعمل‌ها و آئین نامه‌های مرتبط با استاندارد مورد نظر فرآیند ها و اقداماتی را در شرکت انجام دهند و پس از آن با تایید کارشناسان یکی از نماینده‌های صادر کننده ایزو (ISO) می‌توانند این گواهینامه‌ها را دریافت نمایند.

 

ISO 27003 چیست؟

استاندارد بین المللی ISO / IEC 27003 بخشی از استاندارد ISO 27000 است. در سال 2010 توسط کمیته مشترک فنی JTC1 که توسط سازمان بین المللی استاندارد سازی (ISO) و کمیسیون بین المللی الکتروتکنیک (IEC) تأسیس شده است، منتشر شد. عنوان رسمی آن “فناوری اطلاعات – تکنیک های امنیتی – راهنمای پیاده سازی سیستم مدیریت امنیت اطلاعات” است.

ایزو 27003 به سازمان‌ها کمک می کند تا طرحی را برای معرفی سیستم مدیریت امنیت اطلاعات (ISMS) سازگار با ISO 27001 تهیه کنند. این شامل کارهای مقدماتی، مدیریت پروژه و همچنین توصیه های طراحی ISMS است. عملیات ISMS در دامنه گنجانده نشده است. از آنجا که قرار است از ISO 27003 همراه با ISO 27001 استفاده شود ، صدور گواهینامه امکان پذیر نیست.

 

ISO 27003 موضوعات زیر را پوشش می دهد:

پشتیبانی مدیریت

تعریف دامنه ، مرزها و خط مشی ISMS

تجزیه و تحلیل الزامات امنیتی

ارزیابی و درمان ریسک

طراحی ISMS

 

ISO 27003 در سازمان شما

ISO 27003 به عنوان یک راهنمای عملی برای توسعه ISMS سازگار با ISO 27001 عمل می‌کند.

این مقاله با عنوان آشنایی با استاندارد مدیریت امنیت اطلاعات ISO 27003 توسط محمد امین صمصامی منتشر شده است.

امیدواریم در مجله فناوری نتیرال با استاندارد مدیریت امنیت اطلاعات ISO 27003 آشنا شده باشید.