اطلاعات و داده ها چیست؟
اول، بیایید به مفاهیم اساسی اطلاعات نگاه کنیم. در ساده ترین حالت، داده های خام خام به نام داده می شوند. شکل پردازش داده ها اطلاعات است. بیان داده یا داده یک مقدار عددی و منطقی است.
ویژگی های اصلی اطلاعاتی که باید محافظت شوند عبارتند از:
- محرمانه بودن اطلاعات: محرمانه بودن اطلاعات نامشخص و نامشخص توسط اشخاص، سازمان ها، اشخاص و فرآیندهای غیر مجاز نامیده می شود.
- یکپارچگی دانش: این به حفظ دقت، یکپارچگی و کیفیت منحصر به فرد دانش است.
- دسترسی به اطلاعات: این ویژگی است که اطلاعات را فقط می توانید در هر زمان توسط افراد مجاز به آن دسترسی پیدا کنید و آن را استفاده کنید.
اطلاعات را می توان به روش های مختلف طبقه بندی کرد. با این حال، اساسا امکان طبقه بندی به شرح زیر است:
- اطلاعات محرمانه برای کسب و کار بسیار مهم است. فقط اعضای تیم مدیریت می توانند به این اطلاعات دسترسی داشته باشند. دسترسی، استفاده و به اشتراک گذاری چنین اطلاعاتی توسط اشخاص غیر مجاز برای این شرکت ناخوشایند است. به طور خلاصه، حفظ این اطلاعات محرمانه است.
- اطلاعات موجود در درون سازمانی اطلاعات شخصی است که تنها به کارمندان مربوطه قابل دسترسی است. اطلاعاتی که دیگر کارمندان و اشخاص ثالث غیر از کارکنان واحد باید دسترسی نداشته باشند. ضروری است که این اطلاعات را محرمانه نگه داریم.
- اطلاعات شخصی اطلاعات شخصی کارکنان است. مطالعات شخصی مربوط به فعالیت های تجاری پوشش داده شده است. نگهداری و ذخیره سازی اطلاعات شخصی که مربوط به کار نیست، درست نیست. ضروری است اطلاعات شخصی در دسترس باشد.
- اطلاعات موجود در این شرکت فقط برای استفاده از کارمندان است. یکپارچگی و قابلیت دسترسی برای این اطلاعات ضروری است. اطلاعاتی که بین واحدها به اشتراک گذاشته می شود به این کلاس می رسد.
ISO / IEC 27001 سیستم مدیریت امنیت اطلاعات چیست؟
به منظور اطمینان از امنیت همه نوع اطلاعات، استاندارد ISO / IEC 2005 سیستم مدیریت امنیت اطلاعات توسط سازمان بین المللی استاندارد (ISO) و کمیسیون بین المللی الکتروتکنیک (IEC) منتشر شده است.
در حقیقت، تاریخ این استاندارد، بخش اول استاندارد BS 1995 منتشر شده توسط موسسه استاندارد بریتانیا در 7799 است و بخش دوم در 1998 منتشر شده است. این استانداردها با هم در 1999 تجدید نظر شده است. در سال 2000 استاندارد ISO / IEC 17799 منتشر شد. در 2002 استاندارد BS 7799-2 به روز شد و توسط 2005 استانداردهای زیر توسط سازمان های بین المللی استاندارد صادر شد:
- ISO 7799: استاندارد 2 به جای BS 27001-2005
- ISO 17799: استاندارد 2000 به جای ISO 27002: استاندارد 2005
این دو استاندارد اخیرا در 2013 تجدید نظر شده است.
این استاندارد خانواده توسط موسسه استاندارد ترکیه در کشور ما به شرح زیر منتشر شده است:
- TS EN ISO / IEC 27000 فناوری اطلاعات - تکنیک های امنیتی - سیستم های مدیریت امنیت اطلاعات - مرور و فرهنگ لغت
- TS EN ISO / IEC 27001 فن آوری اطلاعات - تکنیک های امنیتی - سیستم های مدیریت امنیت اطلاعات - الزامات
- TS EN ISO / IEC 27002 فن آوری اطلاعات - تکنیک های امنیتی - اصول کاربردی برای کنترل امنیت اطلاعات
- TS ISO / IEC 27003 فناوری اطلاعات - تکنیک های امنیتی - راهنمای استفاده از سیستم مدیریت امنیت اطلاعات
- ISO / IEC 27004 فناوری اطلاعات - تکنیک های امنیتی - مدیریت امنیت اطلاعات - اندازه گیری
- TS ISO / IEC 27005 فناوری اطلاعات - تکنیک های امنیتی - مدیریت ریسک امنیت اطلاعات
- TS ISO / IEC 27006 فن آوری اطلاعات - تکنیک های امنیتی - الزامات سازمان هایی که ممیزی و صدور گواهینامه سیستم های مدیریت امنیت اطلاعات را دارند
- TS ISO / IEC 27007 فناوری اطلاعات - تکنیک های امنیتی - راهنمایی برای ممیزی سیستم های مدیریت امنیت اطلاعات
- TSE ISO / IEC EN 27008 فن آوری اطلاعات - تکنیک های ایمنی - راهنمای کنترل اطلاعات برای حسابرسان
ریسک، مدیریت ریسک و تهدید چیست؟
عبارت ریسکی که به زبان ما از فرانسه ترجمه شده است به عنوان خطر آسیب شناخته می شود. خطر وقوع یک رویداد غیر منتظره و تحت تاثیر آن است. بنابراین، خطر یک وضعیت منفی، یک خطر است. به این ترتیب، به منظور محافظت در برابر اثرات منفی خطرات و جلوگیری از هر گونه آسیب، اقدامات با در نظر گرفتن امکانات مختلف انجام می شود. روش که شامل این مطالعات و فعالیت های برنامه ریزی می شود، مدیریت ریسک است.
مدیریت ریسک فرایند شناسایی، اندازه گیری، تجزیه و تحلیل و ارزیابی تعدادی از عوامل خطر و به حداقل رساندن زیان های احتمالی به منظور جلوگیری از وقفه کارآیی یک شرکت است و اطمینان از این که فعالیت ها تحت تاثیر قرار نگرفتن قرار نگیرند. با این وجود، خطر ریسک در فعالیت های مدیریت ریسک امکان پذیر نیست.
عناصر اصلی مطالعه مدیریت ریسک عبارتند از:
- تعیین دارایی های شرکت با ارزش اطلاعات
- شناسایی خطرات داخلی و خارجی که کسب و کار را تهدید می کند
- تشخیص نقاط ضعف و باز که به کسب و کار منجر می شود
- تعیین احتمال وقوع خطر
- تعیین اثرات خطرات در فعالیت های سازمانی و سیستم
با دارایی، ما به معنای همه چیز است که بخشی از سیستم است و ارزش برای شرکت. بنابراین، دارایی ها برای کسب و کار ارزشمند هستند و نیاز به حفاظت دارند.
از لحاظ سیستم فناوری اطلاعات، دارایی به معنای نرم افزار و سخت افزار نیست. موارد زیر در مفهوم بودن وجود دارد: انواع اطلاعات، رایانه شخصی، چاپگر، سرور و تمام سخت افزار مشابه، سیستم عامل، برنامه های کاربردی توسعه یافته، برنامه های اداری و همه نرم افزار های مشابه، تلفن ها، کابل ها، مودم های خطوط، دستگاه های سوئیچینگ و سایر دستگاه های ارتباطی ، تمام اسناد، خدمات تولید شده و البته شهرت و تصویر کسب و کار در بازار است.
ریسک ها در طبقه بندی خاص در مطالعات مدیریت ریسک قرار دارند. برای مثال، اگر دارایی در گروه ریسک کم آسیب دیده باشد، سیستم اطلاعاتی بسیار آسیب دیده نخواهد بود و سیستم همچنان به کار خود ادامه خواهد داد. این وضعیت به اعتبار سازمانی آسیب نمی رساند. سیستم اطلاعاتی تحت تاثیر قرار میگیرد اگر دارایی در گروه خطر متوسط آسیب دیده باشد. اگر چه این سیستم همچنان به کار خود ادامه می دهد، هنوز باید دارایی را جایگزین کرد. این وضعیت باعث آسیب به شهرت شرکت می شود. سیستم اطلاعاتی بسیار آسیب دیده است اگر دارایی در گروه خطرناک آسیب دیده باشد. تقریبا نیمی از سیستم غیر قابل استفاده می شود. برای اینکه سیستم کار کند، دارایی باید جایگزین شود. این وضعیت به طور قابل توجهی بر شهرت شرکت تاثیر می گذارد. در گروه بسیار پر خطر، حضور اطلاعات شدیدا آسیب دیده است، و در این مورد قابلیت کارکرد سیستم تا حد زیادی تحت تأثیر قرار گرفته است. سیستم اطلاعاتی در دسترس نیست این وضعیت به شدت بر شهرت شرکت تاثیر می گذارد.
خطر تهدید برای هر منبع تهدید، عمدا یا به دلیل یک حادثه، برای بهره برداری از یک آسیب پذیری در سیستم و آسیب رساندن به دارایی ها است. تهدیدات طبیعی شامل زمین لرزه، لغزش، سیل، اعتصابات رعد و برق یا طوفان است. تهدیدات محیطی عبارتند از آلودگی هوا، قطع برق طولانی مدت و نشت. تهدیدات ناشی از انسان توسط افراد به طور آگاهانه یا ناخودآگاه ایجاد می شود. برای مثال، وارد کردن اطلاعات اشتباه در سیستم، حملات شبکه خارجی، نصب نرم افزارهای مخرب در سیستم، سرقت اعتبار کاربر یا دسترسی به افراد مجاز به سیستم.
باز بودن سیستم های اطلاعاتی ضعف، خطا یا نقص است که در روش های امنیتی سیستم، در عمل یا در ممیزی داخلی رخ می دهد، که امنیت اطلاعات را نقض می کند. این حفره ها به تنهایی خطر نیستند. باید تهدیدی برای تحقق آن باشد.
محدوده ISO سیستم 27001 سیستم مدیریت امنیت اطلاعات چیست؟
شرکت ها اطلاعات خاصی را در محدوده فعالیت هایشان بدون در نظر گرفتن بخش یا اندازه ای که در آن فعالیت می کنند، تولید می کنند و این اطلاعات برای هر سازمانی ارزشمند است. تلاش برای محافظت از اطلاعات از کسب و کار به کسب و کار متفاوت است، اما به طور کلی سیستم عناصر اصلی زیر را پوشش می دهد:
- مدیریت ارشد شرکت باید یک سیاست را در زمینه امنیت اطلاعات تعریف و توضیح دهد.
- دارایی های اطلاعات در شرکت باید فهرست شده و به ترتیب اهمیت قرار گیرد.
- احتمال اشتباه کارکنان باید جلوگیری شود.
- خطر سوء استفاده از دارایی های اطلاعات در شرکت باید کاهش یابد.
- حمله به منابع اطلاعاتی و خطر فساد یا تغییر اطلاعات باید کاهش یابد.
- سیستم های کامپیوتری عملیاتی باید کافی و قابل اعتماد باشند.
- فقط افراد مجاز باید به اطلاعات دسترسی داشته باشند.
- در صورت نقض امنیت، پاسخ سریع و سریع باید با توجه به شکل رویداد امکان پذیر باشد.
- حمله به اطلاعات نباید فعالیت های اصلی شرکت را مختل کند و باید بسیار سریع به محیط طبیعی برسد. به عبارت دیگر، تداوم فعالیت ها باید تضمین شود.
- سیستم مدیریت امنیت اطلاعات باید در سطح کافی برای برآورده کردن تعهدات مقررات قانونی نهاد باشد.
اگر چه سیستم مدیریت امنیت اطلاعات ISO 27001 فقط به عنوان یک پروژه فناوری اطلاعات در شرکت در نظر گرفته می شود، اما در واقع یک پروژۀ امنیت اطلاعات است که مربوط به کل شرکت است. بنابراین مدیریت ارشد مستقیما مسئول ایجاد و بهره برداری استاندارد ISO 27001 است. امروزه سیستم مدیریت امنیت اطلاعات ISO 27001 به طور کلی مدیریت می شود که شامل تمام منابع انسانی، مدیریت ارشد، سیستم های اطلاعاتی و فرآیندهای کسب و کار در شرکت می شود.
اهداف اصلی استاندارد ISO 27001 عبارتند از:
- برای شناسایی آسیب پذیری های امنیتی اطلاعات، اگر وجود داشته باشد
- شناسایی خطراتی که دارایی های اطلاعات را تهدید می کند
- برای تعیین روش های حسابرسی برای اطمینان از امنیت دارایی های اطلاعاتی در معرض خطر
- اطمینان از اینکه کنترل های ضروری انجام می شوند و خطرات احتمالی را در سطح قابل قبول نگه می دارند
- برای اطمینان از تداوم کنترل های امنیتی اطلاعات در شرکت
سیستم مدیریت امنیت اطلاعات ISO 27001 چیست؟
استاندارد ایزو 27001 اجازه می دهد تا ایجاد روش ارزیابی ریسک، تهیه گزارش های ارزیابی ریسک و تهیه طرح های پردازش ریسک.
با گذشت زمان، ماهیت تهدیدات و آسیب پذیری های موجود در سیستم ممکن است تغییر کند. یا به عنوان یک نتیجه از کنترل های انجام شده با استاندارد ISO 27001 اعمال می شود، خطرات ممکن است کاهش یابد یا شدت ممکن است کاهش یابد. بنابراین، فعالیت های نظارت بر خطر شرکت ها مهم هستند. شرکت ها مجبورند مطالعات ارزیابی ریسک را طبق روش شناسی پذیرفته شده در دوره تعیین شده انجام دهند.
سیاست امنیتی اطلاعات تحت استاندارد ISO 27001 باید شامل موارد زیر باشد: امنیت فیزیکی و محیطی، امنیت تجهیزات، سیستم عامل و امنیت کاربر نهایی، امنیت رمز عبور، امنیت سرور و سیستم.
مسئله امنیت فیزیکی و محیطی به جلوگیری از دسترسی غیر مجاز به سیستم و حفاظت از دارایی های اطلاعاتی در برابر خطرات مختلف اشاره دارد. امروزه ایمنی فیزیکی و زیست محیطی به طور فزاینده ای اهمیت دارد. حضور تیم های امنیتی خصوصی در ورودی ساختمان کسب و کار، ذخیره سازی محیط های مهم اطلاعات و دسترسی به این محیط ها با سیستم های امنیتی رمزگذاری شده، نمونه هایی از این اقدامات است. به منظور محافظت از سیستم های اطلاعاتی، دسترسی به کنترل کارت کنترل و سیستم های امنیتی فیزیکی مشابه، معمول است. چنین امنیت مرزی فیزیکی بر اساس نیازهای امنیتی دارایی های اطلاعاتی و نتایج ارزیابی خطر ایجاد شده است. محیط با اطلاعات بسیار خطرناک از طریق دسترسی غیرمجاز با استفاده از کارت های احراز هویت یا حفاظت از PIN محافظت می شود. علاوه بر این، اقدامات حفاظتی فیزیکی باید بر علیه آسیب های ناشی از بلایای طبیعی مانند آتش سوزی، سیل، زلزله، انفجار یا آشفتگی های اجتماعی اعمال شود.
اهمیت سیستم مدیریت امنیت اطلاعات ISO 27001
هدف از تامين امنيت اطلاعات، اطمينان از تداوم کار در بنگاه ها، به حداقل رساندن ضرر و زيان در صورت خطر غير قابل اجتناب و حفظ محرمانه بودن، دسترسي و صحت منابع در همه موارد است. امروزه نه تنها با کارمندان آن، بلکه شرکای تجاری، سهامداران و مشتریان، ایجاد یک محیط اعتماد برای حفاظت و محرمانه بودن اطلاعات از اهمیت استراتژیک برای مدیریت کسب و کار است.
مشكلات امنیتی كه به شیوه های مختلف تجربه می كنند نه تنها تداوم فعالیت ها را قطع می كنند، بلكه موجب از دست دادن بازار، ایجاد مشكلات رقابتی و از دست دادن اعتماد بر شركای تجاری، سهامداران و مشتریان می شود. هزینه های مربوط به بازیابی این عدد گران تر از هزینه اقدامات برای جلوگیری از از دست دادن آنها است.
اطلاعات برای کسب و کار، مانند سایر دارایی های تجاری، دارایی است که ارزش دارد و بنابراین باید محافظت شود. اطلاعات برای کسب و کار برای ادامه فعالیت خود اهمیت زیادی دارد. به همین دلیل مهم است که دارایی های اطلاعاتی محرمانه نگهداری شوند، یکپارچگی آنها در همه زمان ها حفظ و در دسترس باشد، به طور خلاصه، امنیت اطلاعات اطمینان حاصل می شود. ISO / IEC 27001 سیستم مدیریت امنیت اطلاعات تنها سیستم بین المللی و حسابرسی است که نیازهای شرکت ها را در این زمینه تعریف می کند.
استاندارد ISO 27001 به ویژه در بخش هایی که پردازش و حفاظت از اطلاعات از اهمیت حیاتی برخوردار است، به ویژه در بخش های عمومی، مالی، بهداشتی و فن آوری اطلاعات ضروری است. این استاندارد برای کسب و کارهایی است که اطلاعات را برای افراد و سازمان های دیگر مدیریت می کند. به این ترتیب، کسب و کار مشتریان خود را با تضمین اطمینان از اطمینان از اطالعات آنها محافظت می کند.
ISO 27001 سیستم مدیریت امنیت اطلاعات یک سیستم مدیریتی است که توسط شرکت ها ایجاد شده و هدف آن ارائه امنیت اطلاعات، استفاده از این استاندارد، نظارت، بررسی، حفظ و به طور مداوم بهبود برنامه می باشد. در این چارچوب، مطالعات تجزیه و تحلیل ریسک به منظور تعیین منابع سازمانی و شناسایی خطرات احتمالی انجام می شود. مطالعات ارزیابی ریسک مقایسه خطر با معیارهای ریسکی داده شده برای تعیین اهمیت ریسک است.
ایزو 27001 برنامه ریزی سیستم مدیریت امنیت اطلاعات
ایجاد ISO استاندارد 27001 در شرکت بستگی به تعدادی از مراحل دارد. مثل این است،
- ابتدا باید اطلاعات در مورد زیرساخت های سازمانی جمع آوری شود. این اطلاعات مربوط به زمینه های فعالیت شرکت، ماهیت کار انجام شده، ماموریت و حل و فصل سازمانی است.
- سپس، نامهای کلیدی که در تأسیس سیستم خدمت می کنند، باید مشخص شود. در این مرحله، مسئولان مدیریت ریسک و هدف ایجاد سیستم باید تعیین شوند.
- سپس وضعیت امنیتی شرکت باید در وضعیت امروز تعیین شود.
- سپس اطلاعات باید جمع آوری شوند، مانند مکان ها، عملیات، عملکردهای کسب و کار و فن آوری اطلاعات، که دامنه سیستم را تعیین می کند.
- در این مرحله، هدف و گستره سیستم مدیریت امنیت اطلاعات ISO 27001 باید تعیین شود و برنامه کاری باید برقرار شود.
- در نهایت، در آخرین مرحله، فرایندهای لازم برای ایجاد سیستم و تداوم سیستم باید تعیین شود.
این چرخه، که به طور سنتی برای تمام سیستم های مدیریت کیفیت اعمال می شود، نیز در این مورد است:
- طرح (ایجاد سیستم مدیریت امنیت اطلاعات)
- درخواست (پیاده سازی و بهره برداری از سیستم مدیریت امنیت اطلاعات)
- بررسی (نظارت و بررسی سیستم مدیریت امنیت اطلاعات)
- اقدامات احتیاطی (تعمیر و نگهداری و بهبود سیستم مدیریت امنیت اطلاعات)
به طور طبیعی، با ایجاد چنین سیستمی، کسب و کار ها مزایای فراوانی به دست می آورند. به عنوان مثال،
- موجودیت و اهمیت تمام دارایی های اطلاعاتی را به رسمیت می شناسد.
- با استفاده از آنها به روش های کنترل و حفاظت مشخص، دارایی های اطلاعاتی محافظت می شود.
- به این ترتیب، تداوم کار تضمین شده است. هنگامی که هر گونه ریسک مواجه می شود، فعالیت ها از وقفه جلوگیری می شود.
- با استفاده از این سیستم، این شرکت اعتماد احزاب مرتبط را به دست می آورد، زیرا از اطلاعات شرکت های عرضه کننده و مشتریان محافظت می کند.
- حفاظت از اطلاعات به شانس منتهی نشده است.
- در هنگام ارزیابی مشتریان، تجارت سیستماتیکتر از رقبای آن عمل میکند.
- انگیزه کارکنان در کسب و کار افزایش می یابد.
- به عنوان مقررات قانونی تضمین شده، ممکن است پیگیری های حقوقی قابل پیشگیری باشد.
- شهرت کسب و کار در بازار افزایش می یابد و کسب و کار یک قدم جلوتر از مبارزه با رقبا است.
سیستم مدیریت امنیت اطلاعات ISO 27001 مستلزم آن است که تمام دارایی های اطلاعاتی در شرکت مورد توجه و ارزیابی قرار گیرد و تجزیه و تحلیل ریسک با در نظر گرفتن نقاط ضعف و تهدید این دارایی ها صورت پذیرد. برای دستیابی به این هدف، یک شرکت باید یک روش مدیریت ریسک مناسب برای ساختار آن و برنامه ریزی ریسک را انتخاب کند. استاندارد شامل اهداف کنترل و روش های کنترل پردازش ریسک می باشد.
طبق استاندارد ایزو 27001، شرکت ها باید مدیریت ریسک و برنامه ریزی ریسک را شناسایی کنند، وظایف و مسئولیت ها را شناسایی کنند، برنامه های تداوم کسب و کار را آماده کنند، فرآیندهای مدیریت اورژانسی را آماده می کنند و پرونده ها را در طول اجرای آن نگه دارند.
بنگاهها باید سیاست امنیتی اطلاعات را پوشش دهند که همه این فعالیتها را پوشش دهد. همۀ مدیران ارشد و کارکنان باید از امنیت اطلاعات و تهدیدات آگاه باشند. در پیاده سازی سیستم مدیریت امنیت اطلاعات ایزو 27001، اهداف کنترل انتخاب شده باید اندازه گیری شوند و سازگاری و عملکرد کنترل ها باید به طور مداوم نظارت شود. این فرآیند باید فرآیند زندگی باشد، مدیریت امنیت اطلاعات، پشتیبانی فعال مدیریت ارشد و مشارکت همه کارکنان باید تضمین شود. شرکت های درخواست کننده می توانند مشاوره و پشتیبانی متخصص در مدیریت ریسک، سیاست گذاری، مستند سازی فرآیندهای امنیتی، شناسایی و اجرای روش های کنترل مناسب دریافت کنند.
به طور خلاصه، استاندارد ایزو 27001 یک سیستم است که کل امنیت اطلاعات را تعریف می کند و چگونگی اطمینان از امنیت اطلاعات را به عنوان یک فرایند زندگی تعریف می کند. مراحل راه اندازی این سیستم را می توان به شرح زیر توصیف کرد:
- طبقه بندی دارایی های اطلاعاتی
- ارزیابی دارایی های اطلاعات با توجه به محرمانه بودن، یکپارچگی و معیارهای دسترسی
- تجزیه و تحلیل ریسک
- تعیین روش های کنترل بر اساس نتایج تجزیه و تحلیل ریسک
- تکمیل کار اسناد
- استفاده از روش های کنترل مشخص
- انجام مطالعات ممیزی داخلی
- نگه داشتن سوابق مورد نیاز استاندارد
- انجام جلسات بررسی مدیریت
- انجام مطالعات صدور گواهینامه
تهدیدات و ضعف های مرتبط با ارتباطات الکترونیکی
در چارچوب مقررات قانونی مربوطه، مواردی وجود دارد که کسب و کار باید برای اطمینان از امنیت اطلاعات انجام دهد:
- سوابق ورودی های IP مورد استفاده توسط رایانه ها را نگه دارید
- پرونده هایی را که کارکنان آدرس IP برای گذشته دارند، نگهدارید
- ثبت پرونده سفرهای کارکنان در اینترنت را نگه دارید
- نگه داشتن پرونده های ارسال ایمیل توسط کارکنان
- نگه داشتن سوابق صفحات در اینترنت که کارکنان صرف کرده اند و چه مدت در گذشته صرف کرده اند
- دسترسی محدود به دسترسی به اینترنت را با فیلتر کردن محتوا فراهم کنید
- اطمینان از صحت تمام پرونده های به دست آمده و اثبات این که آنها تغییر نکرده اند
در این چارچوب، تهدیدات اصلی ارتباطات الکترونیکی کارکنان عبارتند از:
- کارکنان وارد یک منطقه حساسیت امنیتی بدون اجازه یا محدودیت مجوز موجود می شوند
- کارکنان تلاش می کنند اختلال محرمانه بودن اطلاعات، یکپارچگی و تداوم بدون مجوز یا از طریق محدود کردن مجوزهای موجود با حذف، اضافه کردن، اصلاح، تاخیر، ذخیره کردن در یک رسانه دیگر یا افشای اطلاعات
- تلاش برای جلوگیری از تمام یا بخشی از اجزای سخت افزار و نرم افزار از برآورده شدن الزامات مطابق با مقررات قانونی و استانداردهای داخلی و خارجی
- ارائه این تصور که ارتباطات الکترونیکی با حزب راست با گمراه کردن کاربر ساخته شده است
- نظارت بر ارتباطات الکترونیکی با استفاده از روش های غیر قانونی
- ادعا می کند که این اطلاعات از طرف دیگر توسط تولید اطلاعات نادرست یا ارسال این اطلاعات نادرست به طرف دیگر به دست آمده است
- برای ایجاد زیرساخت های ارتباطی الکترونیکی به صورت جزئی یا به طور کامل غیرقابل استفاده یا برای مصرف منابع برای این زیرساخت به طریقی که مانع ارائه خدمات
در ضمن، چندین نقطه ضعف برای ارتباطات الکترونیکی می تواند به شرح زیر باشد:
- تهدیدات آینده غیر قابل پیش بینی
- خطاها در طراحی یک سیستم یا پروتکل
- هنگام نصب یک سیستم یا پروتکل مشکلات حل می شود
- خطاها ناشی از توسعه دهندگان نرم افزار
- اشتباهات کاربر
- ناکافی بودن یا عدم انطباقاتی که در طول استفاده از سیستم بوجود می آیند
ساختار استاندارد سیستم مدیریت امنیت اطلاعات ISO 27001
استاندارد ISO 27001 اخیرا در 2013 تجدید نظر شده است. در این نسخه، مقررات استاندارد به شرح زیر است:
- حوزه
- استانداردها و اسناد ذکر شده
- شرایط و دستورالعمل ها
- زمینه سازمانی
- درک سازمان و زمینه آن
- درک نیازها و انتظارات احزاب علاقه مند
- تعریف دامنه سیستم مدیریت امنیت اطلاعات
- سیستم مدیریت امنیت اطلاعات
- رهبری
- رهبری و تعهد
- سیاست
- نقش های شرکت، مسئولیت ها و مقامات
- برنامه ریزی
- فعالیت هایی که با خطرات و فرصت ها برخورد می کنند
- اهداف امنیت اطلاعات و برنامه ریزی برای دستیابی به این اهداف
- دستک
- منابع
- مدارک
- هشیاری
- ارتباط
- اطلاعات نوشته شده
- عملیاتی
- برنامه ریزی و کنترل عملیاتی
- ارزیابی ریسک امنیت اطلاعات
- پردازش ریسک امنیت اطلاعات
- ارزیابی عملکرد
- نظارت، اندازه گیری، تجزیه و تحلیل و ارزیابی
- ممیزی داخلی
- بررسی مدیریت
- توانبخشی
- عدم انطباق و اقدام اصلاحی
- بهبود مستمر
صدور گواهینامه سیستم مدیریت امنیت اطلاعات ISO 27001
پس از ایجاد سیستم مدیریت امنیت اطلاعات ISO 27001، کسب و کارها می خواهند گواهینامه ایزو 27001 را به دست آورند تا این وضعیت را به مشتریان، رقبا و سازمان های رسمی و خصوصی مربوط می شود. با این حال، هدف نصب این سیستم نه تنها باید این سند باشد. در غیر این صورت، انتظار نمی رود که سیستم مزایا را که در بالا ذکر شد ارائه دهد.
با توجه به روش های کنترل شده تعیین شده در طول فرآیند پیاده سازی، حفاظت از دارایی های اطلاعاتی، کنترل خطراتی که دارایی های اطلاعاتی را تهدید می کنند، اقدامات لازم برای از بین بردن یا رفع خطرات، ارزیابی خطرات جدید که در طول زمان بوجود می آیند و ارزیابی این خطرات در صورتی که خطرات قابل قبول، برای این، تاییدیه های مدیریت برتر مورد نیاز است. این روند تا زمانی که تجارت وجود دارد ادامه خواهد داشت.
کسب و کارهایی که با الزامات استاندارد ایزو 27001 مطابقت دارند و سیستم مدیریت امنیت اطلاعات را پیاده سازی می کنند، اکنون می توانند درخواست گواهی ایزو 27001 را با درخواست به یک سازمان صدور گواهینامه ارائه دهند. در این مرحله، بسیار مهم است که دستگاه صدور گواهینامه از یک مجوز اعتباربخشی محلی یا خارجی مجوز بگیرد. در غیر این صورت، گزارش ها و مدارک صادر شده نمی توانند اعتبار داشته باشند.
مرحله اول کار صدور گواهینامه از طریق کار اسناد موجود انجام می شود. در این مرحله، سیاست های امنیتی اطلاعات، گزارش های ارزیابی خطر، برنامه های اقدامات خطر، اعلام انطباق، روش های امنیتی و دستورالعمل های کاربردی تهیه شده توسط شرکت، به صورت جداگانه انجام می شود. اگر هرگونه عدم انطباق در این اسناد شناسایی شود، انتظار می رود قبل از ادامه به مرحله دوم، تکمیل شود.
پس از اتمام مرحله اول، یک واحد صدور گواهینامه یک یا چند حسابرس را تعیین می کند و کار حسابرسی را در محیط کاری شرکت آغاز می کند. در این حسابرسی های سایت، مشاهده می شود که آیا کنترل های امنیتی اطلاعات تعیین شده توسط یک نهاد بستگی به زمینه فعالیت مطابق با الزامات استاندارد ایزو 27001 است. پس از اتمام مرحله دوم حسابرسی، حسابرسان گزارش را تهیه و به سازمان گواهینامه ارائه می دهند.
موسسه صدور گواهینامه بر اساس این گزارش ارزیابی می کند و گواهینامه سیستم مدیریت امنیت اطلاعات ایزو 27001 را در صورتی که لازم است و آن را به شرکت ارائه می دهد، آماده می کند. مدت اعتبار این گواهی سه سال است. با این وجود، پس از اخذ این سند، ممیزی های موقت یک یا دو بار در سال مطابق درخواست شرکت انجام می شود. پس از سه سال، مطالعات صدور گواهینامه باید دوباره انجام شود.