trarzh-TWenfrdeelitfarues

ISO 27001

ISO 27001 انفارمیشن سیکیورٹی مینجمنٹ سسٹم کا سرٹیفکیٹ

    آپ یہاں ہیں:  
  1. سائنس
  2. سرٹیفیکیشن
  3. سسٹم سرٹیفیکیشن
  4. آئی ایس او ایکس این ایم ایکس انفارمیشن سیکیورٹی مینجمنٹ سسٹم

آئی ایس او ایکس این ایم ایکس انفارمیشن سیکیورٹی مینجمنٹ سسٹم

سسٹم سرٹیفیکیشن
آئی ایس او ایکس این ایم ایکس انفارمیشن سیکیورٹی مینجمنٹ سسٹم
  • 1 تصویر 2

ڈیٹا اور معلومات کیا ہے؟

پہلے ، آئیے معلومات کے بنیادی تصورات کو دیکھیں۔ اس کی آسان ترین اصطلاحات میں ، خام خام ڈیٹا کو ڈیٹا کہا جاتا ہے۔ ڈیٹا کی کارروائی شدہ شکل معلومات ہے۔ اعداد و شمار یا اعداد و شمار کا اظہار ایک عددی اور منطقی قدر ہے۔

معلومات کی بنیادی خصوصیات جن کا تحفظ ضروری ہے وہ یہ ہیں:

  • معلومات کی رازداری: معلومات کی رازداری کو افراد ، تنظیموں ، اداروں اور عملوں کے ذریعے ناقابل رسائی اور نامعلوم کہا جاتا ہے جو مجاز نہیں ہیں۔
  • علم کی سالمیت: اس سے مراد علم کی درستگی ، سالمیت اور انوکھی خصوصیات کا تحفظ ہے۔
  • معلومات تک رسائی: یہ خصوصیت ہے کہ معلومات تک رسائی اور صرف مجاز افراد اور کسی بھی وقت استعمال کرسکتے ہیں۔

معلومات کو مختلف طریقوں سے درجہ بندی کیا جاسکتا ہے۔ تاہم ، درجہ بندی کرنا بنیادی طور پر ممکن ہے:

  • خفیہ معلومات کاروبار کے ل critical اہم ہیں۔ یہ معلومات صرف انتظامی ٹیم میں لوگوں تک ہی قابل رسائی ہیں۔ غیر مجاز افراد کے لئے ایسی معلومات تک رسائی ، استعمال اور ان کا اشتراک کرنا تکلیف دہ ہے۔ مختصر یہ کہ اس معلومات کو خفیہ رکھنا ضروری ہے۔
  • انٹرپرائز کے اندر دستیاب معلومات نجی معلومات ہیں جو صرف متعلقہ ملازمین تک قابل رسائی ہیں۔ وہ معلومات جو یونٹ ملازمین کے علاوہ دوسرے ملازمین اور تیسرے فریقوں تک رسائی حاصل نہیں کرنی چاہئیں۔ ایسی معلومات کو خفیہ رکھنا ضروری ہے۔
  • ذاتی معلومات ملازمین کی ذاتی معلومات ہے۔ کاروباری سرگرمیوں سے متعلق صرف ذاتی مطالعات کا احاطہ کیا گیا ہے۔ ذاتی معلومات کو رکھنا اور محفوظ کرنا جو کام سے متعلق نہیں ہیں درست نہیں ہے۔ یہ ضروری ہے کہ ذاتی معلومات قابل رسائ ہوں۔
  • کمپنی کو دستیاب معلومات صرف ملازمین کے استعمال کے لئے ہے۔ اس طرح کی معلومات کے لئے سالمیت اور رسائ ضروری ہے۔ اکائیوں کے مابین جو معلومات مشترک ہیں وہ اس کلاس میں آتی ہیں۔

آئی ایس او / آئی سی ای ایکس اینم ایکس ایکس انفارمیشن سیکیورٹی مینجمنٹ سسٹم کیا ہے؟

ہر طرح کی معلومات کی حفاظت کو یقینی بنانے کے لئے ، 2005 میں بین الاقوامی معیار کی تنظیم (آئی ایس او) اور بین الاقوامی الیکٹرو ٹیکنیکل کمیشن (آئی ای سی) کے ذریعہ آئی ایس او / آئی سی ای ایکس این ایم ایکس ایکس انفارمیشن سیکیورٹی مینجمنٹ سسٹم کا معیار شائع کیا گیا تھا۔

در حقیقت ، اس معیار کی تاریخ 1995 میں برطانوی معیارات انسٹی ٹیوٹ کے ذریعہ جاری کردہ BS 7799 معیار کا پہلا حصہ اور دوسرا حصہ 1998 میں شائع ہوئی ہے۔ 1999 میں ان معیارات پر ایک ساتھ نظر ثانی کی گئی تھی۔ 2000 سال تک ، ISO / IEC 17799 معیار شائع ہوا۔ 2002 میں ، BS 7799-2 معیار کو اپ ڈیٹ کیا گیا اور 2005 کے ذریعہ بین الاقوامی معیار کی تنظیم کی طرف سے درج ذیل معیارات جاری کیے گئے۔

  • ISO 7799: BS 2-27001 کے بجائے 2005 معیار
  • ISO 17799: ISO 2000 کے بجائے 27002 معیار: 2005 معیاری

یہ دونوں معیارات حال ہی میں 2013 میں نظر ثانی کی گئیں۔

اس معیاری کنبے کو ترکی کے معیارات کے انسٹی ٹیوٹ نے ہمارے ملک میں شائع کیا ہے۔

  • انفارمیشن ٹکنالوجی - سیکیورٹی کی تکنیک - انفارمیشن سیکیورٹی مینجمنٹ سسٹم۔ جائزہ اور لغت
  • TS EN ISO / IEC 27001 انفارمیشن ٹکنالوجی - سیکیورٹی تکنیک - انفارمیشن سیکیورٹی مینجمنٹ سسٹم - تقاضے
  • TS EN ISO / IEC 27002 انفارمیشن ٹکنالوجی - سیکیورٹی تکنیک - معلومات کے تحفظ کے کنٹرول کے لئے درخواست کے اصول
  • TS ISO / IEC 27003 انفارمیشن ٹکنالوجی - سیکیورٹی تکنیک - انفارمیشن سیکیورٹی مینجمنٹ سسٹم ایپلی کیشن گائیڈ
  • ISO / IEC 27004 انفارمیشن ٹکنالوجی - سیکیورٹی تکنیک - انفارمیشن سیکیورٹی مینجمنٹ - پیمائش
  • TS ISO / IEC 27005 انفارمیشن ٹکنالوجی - سیکیورٹی تراکیب - انفارمیشن سیکورٹی رسک مینجمنٹ
  • TS ISO / IEC 27006 انفارمیشن ٹکنالوجی - سیکیورٹی تکنیک - انفارمیشن سیکیورٹی مینجمنٹ سسٹم کی آڈٹ اور تصدیق کرنے والی تنظیموں کے لئے تقاضے۔
  • TS ISO / IEC 27007 انفارمیشن ٹکنالوجی - سیکیورٹی کی تکنیکیں - انفارمیشن سیکیورٹی مینجمنٹ سسٹم کے آڈٹ کے لئے رہنمائی
  • TSE ISO / IEC EN 27008 انفارمیشن ٹکنالوجی - سیفٹی تکنیک - آڈیٹرز کے لئے انفارمیشن سیکیورٹی کنٹرول گائیڈ

رسک ، رسک مینجمنٹ اور دھمکی کیا ہے؟

ہماری زبان میں فرانسیسی زبان میں جو خطرہ دیا گیا ہے اسے نقصان کے خطرے سے تعبیر کیا گیا ہے۔ خطرہ ایک غیر متوقع واقعہ کا واقعہ ہے اور اس سے متاثر ہو رہا ہے۔ لہذا ، خطرہ منفی صورتحال ، ایک خطرہ سمجھا جاتا ہے۔ اس طرح ، خطرات کے منفی اثرات سے بچنے اور کسی قسم کے نقصان سے بچنے کے ل various ، مختلف امکانات کو مدنظر رکھتے ہوئے اقدامات اٹھائے جاتے ہیں۔ اس مطالعے اور منصوبہ بندی کی سرگرمیوں کو شامل کرنے کے طریقہ کار کو رسک مینجمنٹ کہا جاتا ہے۔

رسک مینجمنٹ ایک بہت سے خطرے والے عوامل کی نشاندہی ، پیمائش ، تجزیہ اور جائزہ لینے اور ممکنہ نقصانات کو کم کرنے کا عمل ہے تا کہ کسی انٹرپرائز کے چلنے میں رکاوٹ پیدا نہ ہو اور اس بات کو یقینی بنائے کہ سرگرمیاں منفی طور پر متاثر نہ ہوں۔ تاہم ، رسک مینجمنٹ کی سرگرمیوں میں خطرے کو مکمل طور پر ختم کرنا ممکن نہیں ہے۔

رسک مینجمنٹ اسٹڈی کے بنیادی عنصر یہ ہیں:

  • معلومات کی قیمت کے ساتھ انٹرپرائز کے اثاثوں کا تعین
  • اندرونی اور بیرونی خطرات کی نشاندہی جو کاروبار کو خطرہ ہیں
  • کمزور اور کھلے پوائنٹس کی کھوج جو کاروبار کو خطرے میں ڈالتے ہیں
  • خطرے کے ادراک کے امکانات کا تعین کرنا
  • انٹرپرائز اور سسٹم کی سرگرمیوں پر خطرات کے اثرات کا تعین

اثاثہ جات سے ، ہماری مراد ہر وہ چیز ہے جو سسٹم کا حصہ ہے اور انٹرپرائز کے لئے ایک قدر رکھتی ہے۔ لہذا ، اثاثے کاروبار کے ل valuable قیمتی ہیں اور انہیں تحفظ فراہم کرنے کی ضرورت ہے۔

انفارمیشن ٹکنالوجی سسٹم کے لحاظ سے ، اثاثوں کا مطلب صرف سافٹ ویئر اور ہارڈ ویئر نہیں ہے۔ مندرجہ ذیل ہونے کے تصور میں شامل ہیں: ہر قسم کی معلومات ، پرسنل کمپیوٹرز ، پرنٹرز ، سرور اور اسی طرح کے تمام ہارڈ ویئر ، آپریٹنگ سسٹم ، ایپلیکیشن تیار ، آفس پروگرام اور اسی طرح کے تمام سافٹ ویئر ، ٹیلیفون ، کیبلز ، لائنز موڈیم ، سوئچنگ ڈیوائسز اور دیگر تمام مواصلاتی آلات ، تمام دستاویزات ، خدمات تیار اور یقینا course مارکیٹ میں کاروبار کی ساکھ اور شبیہہ۔

رسک مینجمنٹ اسٹڈیز میں خطرات ایک خاص درجہ بندی سے مشروط ہیں۔ مثال کے طور پر ، اگر کم خطرہ والے گروپ میں اثاثہ کو نقصان پہنچا ہے تو ، انفارمیشن سسٹم کو زیادہ نقصان نہیں ہوگا اور سسٹم کام کرتا رہے گا۔ اس صورتحال سے انٹرپرائز کی ساکھ کو کوئی نقصان نہیں ہوتا ہے۔ درمیانی رسک گروپ میں اثاثہ خراب ہونے پر انفارمیشن سسٹم متاثر ہوتا ہے۔ اگرچہ اس نظام میں کام جاری ہے ، لیکن اس اثاثے کو ابھی بھی جگہ میں رکھنے کی ضرورت ہے۔ اس صورتحال سے انٹرپرائز کی ساکھ کو کچھ نقصان پہنچتا ہے۔ اگر اعلی خطرے والے گروپ میں اثاثہ خراب ہوجاتا ہے تو انفارمیشن سسٹم بہت متاثر ہوتا ہے۔ تقریبا half نصف سسٹم ناقابل استعمال ہوجاتا ہے۔ نظام کے کام کرنے کے ل. ، اثاثہ کو تبدیل کرنا ہوگا۔ یہ صورتحال انٹرپرائز کی ساکھ کو نمایاں طور پر متاثر کرتی ہے۔ انتہائی خطرے والے گروپ میں ، معلومات کی موجودگی کو شدید نقصان پہنچا ہے ، اور اس معاملے میں سسٹم کی آپریبلٹی بہت متاثر ہوئی ہے۔ انفارمیشن سسٹم دستیاب نہیں ہے۔ یہ صورتحال مارکیٹ میں کمپنی کی ساکھ کو بہت بری طرح متاثر کرتی ہے۔

خطرہ کسی بھی خطرے کے منبع کی جان بوجھ کر یا کسی حادثے کے نتیجے میں نظام میں پائے جانے والے خطرے کا استحصال اور اثاثوں کو نقصان پہنچانے کی صلاحیت ہے۔ قدرتی خطرات میں زلزلہ ، لینڈ سلائیڈنگ ، سیلاب ، بجلی گرنے یا طوفان شامل ہیں۔ ماحولیاتی خطرات میں فضائی آلودگی ، بجلی کی طویل بندش اور رساو شامل ہیں۔ انسانوں کو پہنچنے والی دھمکیاں لوگوں کو شعوری یا غیر دانستہ طور پر دی جاتی ہیں۔ مثال کے طور پر ، سسٹم میں غلط ڈیٹا داخل کرنا ، بیرونی نیٹ ورک کے حملے ، سسٹم پر بدنیتی پر مبنی سافٹ ویئر انسٹال کرنا ، صارف کی اسناد چوری کرنا یا سسٹم میں مجاز افراد تک رسائی

انفارمیشن سسٹم کے لئے کھلا پن ایک کمزوری ، غلطی یا خامی ہے جس کا سامنا نظام کی حفاظت کے طریقہ کار ، عملی طور پر یا داخلی آڈٹ میں ہوتا ہے جو معلومات کی حفاظت کی خلاف ورزی کرتی ہے۔ یہ اکیلے ہی کوئی خطرہ نہیں ہیں۔ ان کے ادراک کے لئے خطرہ ہونا ضروری ہے۔

آئی ایس او 27001 انفارمیشن سیکیورٹی مینجمنٹ سسٹم کا دائرہ کار کیا ہے؟

انٹرپرائزز اپنی سرگرمیوں کے دائرہ کار میں کچھ مخصوص معلومات تیار کرتے ہیں اس سے قطع نظر کہ وہ جس شعبے یا جسامت میں کام کرتے ہیں اور یہ معلومات ہر انٹرپرائز کے ل valuable قیمتی ہے۔ کاروبار سے کاروبار تک معلومات کو محفوظ رکھنے کی کوششیں مختلف ہوں گی ، لیکن عام طور پر یہ نظام مندرجہ ذیل اہم عناصر کا احاطہ کرتا ہے:

  • انٹرپرائز کی اعلی انتظامیہ کو انفارمیشن سیکیورٹی کے میدان میں عمل کرنے کی پالیسی کی وضاحت اور وضاحت کرنی چاہئے تھی۔
  • انٹرپرائز میں موجود معلومات کے اثاثوں کو درج اور اہمیت کے مطابق رکھا جانا چاہئے۔
  • اس امکان کو روکا جانا چاہئے کہ ملازمین غلطیاں کرتے ہیں۔
  • انٹرپرائز میں معلوماتی اثاثوں کے غلط استعمال کا خطرہ کم کیا جانا چاہئے۔
  • معلومات کے ذرائع پر حملے اور انفارمیشن کرپشن یا ردوبدل کا خطرہ کم کیا جائے۔
  • آپریشنل کمپیوٹر سسٹم کافی اور قابل اعتماد ہونا چاہئے۔
  • صرف مجاز افراد تک ہی معلومات تک رسائی ہونی چاہئے۔
  • سیکیورٹی کی کسی بھی خلاف ورزی کی صورت میں ، وقوع کی شکل کے مطابق بروقت اور تیز ردعمل ممکن ہونا چاہئے۔
  • معلومات پر حملوں سے انٹرپرائز کی اہم سرگرمیوں میں رکاوٹ نہیں آنی چاہئے اور وہ بہت جلد عام ماحول میں واپس آسکیں گے۔ دوسرے الفاظ میں ، سرگرمیوں کا تسلسل یقینی بنانا چاہئے۔
  • انفارمیشن سیکیورٹی مینجمنٹ سسٹم کسی سطح کے قانونی ضابطوں کی ذمہ داریوں کو پورا کرنے کے لئے کافی حد تک ہونا چاہئے۔

اگرچہ آئی ایس او ایکس این ایم ایکس انفارمیشن سیکیورٹی مینجمنٹ سسٹم کو صرف انفارمیشن ٹکنالوجی کے منصوبے کے طور پر سمجھا جاتا ہے ، لیکن یہ حقیقت میں ایک انفارمیشن سیکیورٹی پروجیکٹ ہے جو پورے انٹرپرائز سے تعلق رکھتا ہے۔ سینئر مینجمنٹ لہذا ISO 27001 معیار کے قیام اور عمل کے لئے براہ راست ذمہ دار ہے۔ آج ، ISO 27001 انفارمیشن سیکیورٹی مینجمنٹ سسٹم کا مجموعی طور پر انتظام کیا جاتا ہے جس میں انٹرپرائز میں تمام انسانی وسائل ، سینئر مینجمنٹ ، انفارمیشن سسٹم اور کاروباری عمل شامل ہیں۔

آئی ایس او 27001 معیار کے بنیادی مقاصد یہ ہیں:

  • معلومات کی حفاظت سے متعلق کمزوریوں کی نشاندہی کرنا ، اگر کوئی ہے تو
  • معلومات کے اثاثوں کو خطرہ ہونے والے خطرات کی نشاندہی کرنا
  • خطرے میں معلومات کے اثاثوں کی حفاظت کو یقینی بنانے کے لئے آڈٹ کے طریقوں کا تعین کرنا
  • اس بات کو یقینی بنانا کہ ضروری قابو پالیا گیا ہے اور قابل قبول سطح پر ممکنہ خطرات کو برقرار رکھنا ہے
  • انٹرپرائز میں انفارمیشن سیکیورٹی کنٹرولز کے تسلسل کو یقینی بنانا

آئی ایس او ایکس این ایم ایکس انفارمیشن سیکیورٹی مینجمنٹ سسٹم کیا لاتا ہے؟

آئی ایس او ایکس این ایم ایکس معیار خطرے کی تشخیص کے طریقہ کار کے قیام ، رسک تشخیص کی رپورٹوں کی تیاری اور رسک پروسیسنگ کے منصوبوں کی تیاری کی اجازت دیتا ہے۔

وقت گزرنے کے ساتھ ، نظام میں موجود خطرات اور خطرات کی نوعیت بدل سکتی ہے۔ یا آئی ایس او ایکس این ایم ایکس ایکس معیار کے ساتھ عمل میں آنے والے کنٹرولوں کے نتیجے میں ، خطرات کم ہوسکتے ہیں یا شدت کو کم کیا جاسکتا ہے۔ لہذا ، کاروباری اداروں کی رسک مانیٹرنگ کی سرگرمیاں اہم ہیں۔ کاروبار اپنی طے شدہ مدت کے اندر قبول شدہ طریقہ کار کے مطابق خطرہ تشخیصی مطالعات انجام دینے کے پابند ہیں۔

آئی ایس او 27001 معیار کے تحت انفارمیشن سیکیورٹی پالیسی میں بنیادی طور پر شامل ہونا چاہئے: جسمانی اور ماحولیاتی تحفظ ، سازوسامان کی حفاظت ، آپریٹنگ سسٹم اور صارف کے آخر میں سیکیورٹی ، پاس ورڈ سیکیورٹی ، اور سرور اور سسٹم سیکیورٹی۔

جسمانی اور ماحولیاتی تحفظ کے مسئلے سے نظام میں غیر مجاز رسائی کی روک تھام اور مختلف خطرات کے خلاف معلوماتی اثاثوں کا تحفظ ہے۔ آج ، جسمانی اور ماحولیاتی حفاظت دن بدن اہم ہوگئ ہے۔ کاروباری عمارت کے داخلی راستے پر نجی سیکیورٹی ٹیموں کی موجودگی ، اہم معلومات والے ماحول کا ذخیرہ کرنا اور خفیہ کردہ حفاظتی نظاموں کے ساتھ ان ماحول تک رسائی اس طرح کے اقدامات کی مثال ہیں۔ انفارمیشن سسٹم کی حفاظت کے ل card ، کارڈ پر قابو پانے والی رسائی اور اسی طرح کے جسمانی تحفظ کے نظام کو انسٹال کرنا عام بات ہے۔ اس طرح کی جسمانی سرحد کی حفاظت معلومات کے اثاثوں کی حفاظت کی ضروریات اور خطرے کی تشخیص کے نتائج کی بنیاد پر قائم کی گئی ہے۔ انتہائی خطرناک معلومات کے حامل ماحول کو توثیق کارڈ یا پن تحفظ کے ذریعہ غیر مجاز رسائی سے روک دیا گیا ہے۔ اس کے علاوہ آگ ، سیلاب ، زلزلہ ، دھماکے یا معاشرتی بدحالی جیسی آفات سے ہونے والے نقصانات کے خلاف جسمانی تحفظ کے اقدامات اٹھائے جائیں اور ان کو نافذ کیا جائے۔

آئی ایس او 27001 انفارمیشن سیکیورٹی مینجمنٹ سسٹم کی اہمیت

انفارمیشن سیکیورٹی کا مقصد کاروباری اداروں میں کام کے تسلسل کو یقینی بنانا ، ناگزیر خطرہ ہونے کی صورت میں ہونے والے نقصان کو کم کرنا اور تمام معاملات میں رازداری ، رسائ اور وسائل کی سالمیت کا تحفظ کرنا ہے۔ آج ، نہ صرف اپنے ملازمین کے ساتھ ، بلکہ کاروباری شراکت داروں ، شیئر ہولڈرز اور صارفین کے ساتھ بھی ، معلومات کے تحفظ اور رازداری کے لئے ٹرسٹ ماحول کا قیام کاروباری انتظام کے لئے تزویراتی اہمیت کا حامل ہے۔

سرگرمیوں کے تسلسل میں خلل ڈالنے کے علاوہ ، مختلف طریقوں سے پیش آنے والے سیکیورٹی کے مسائل مارکیٹ کو نقصان پہنچاتے ہیں ، مسابقتی مشکلات پیدا کرتے ہیں اور کاروباری شراکت داروں ، شیئر ہولڈرز اور صارفین کے خلاف اعتماد کے ضیاع کا سبب بنتے ہیں۔ ان معاوضوں کی بازیافت کے لئے اخراجات کی لاگت ان کے کھونے سے بچنے کے اقدامات کی لاگت سے زیادہ مہنگا ہے۔

کاروباری اداروں کے لئے معلومات ، دوسرے تجارتی اثاثوں کی طرح ، ایک ایسا اثاثہ ہے جس کی قدر ہوتی ہے لہذا اسے محفوظ رکھنے کی ضرورت ہے۔ کاروبار کو اپنی سرگرمیاں جاری رکھنے کے لئے معلومات کی بہت اہمیت ہے۔ اس وجہ سے ، یہ ضروری ہے کہ معلومات کے اثاثوں کو خفیہ رکھا جائے ، ان کی سالمیت خراب نہ ہو اور وہ ہمیشہ دستیاب ہوں اور معلومات کی حفاظت فراہم کی جائے۔ آئی ایس او / آئی ای سی ایکس این ایم ایکس انفارمیشن سیکیورٹی مینجمنٹ سسٹم واحد بین الاقوامی اور آڈیٹیٹ سسٹم ہے جو کاروباری اداروں کی ضروریات کو اس سمت میں بیان کرتا ہے۔

آئی ایس او ایکس این ایم ایکس معیار خاص طور پر ان شعبوں میں ضروری ہے جہاں پر معلومات ، پروسیسنگ اور تحفظ کی بہت زیادہ اہمیت ہے ، جیسے عوامی ، مالی ، صحت اور انفارمیشن ٹکنالوجی کے شعبوں میں۔ یہ معیار ان کاروباریوں کے لئے بھی اہم ہے جو دوسرے لوگوں اور تنظیموں کے لئے معلومات کا انتظام کرتے ہیں۔ اس طرح ، کاروبار اپنے صارفین کو یہ یقین دہانی کراتے ہیں کہ ان کی معلومات محفوظ ہیں۔

آئی ایس او ایکس این ایم ایکس انفارمیشن سیکیورٹی مینجمنٹ سسٹم ایک انتظامی نظام ہے جو کاروباری اداروں کے ذریعہ انفارمیشن سیکیورٹی کو یقینی بنانے ، اس معیار کو نافذ کرنے ، مانیٹر کرنے ، جائزہ لینے ، برقرار رکھنے اور مستقل طور پر ایپلی کیشن کو بہتر بنانے کے ل established قائم کیا گیا ہے۔ اس فریم ورک کے اندر اندر ، انٹرپرائز کے وسائل کا تعی .ن کرنے اور ممکنہ خطرات کی نشاندہی کرنے کے ل risk ، رسک تجزیہ کا مطالعہ کیا جاتا ہے۔ رسک اسسمنٹ اسٹڈیز خطرے کی اہمیت کا تعین کرنے کے ل risk خطرے کے دیئے گئے معیار کے ساتھ موازنہ ہیں۔

آئی ایس او ایکس این ایم ایکس انفارمیشن سیکیورٹی مینجمنٹ سسٹم پلاننگ

انٹرپرائز میں ISO 27001 معیار کا قیام متعدد اقدامات پر منحصر ہے۔ یہ ایسا ہی ہے ،

  • پہلے ، انٹرپرائز کے بنیادی ڈھانچے کے بارے میں معلومات اکھٹی کی جائیں۔ یہ معلومات انٹرپرائز کی سرگرمی ، کام کی نوعیت ، انٹرپرائز کے مشن اور تصفیہ سے متعلق شعبوں سے متعلق ہے۔
  • پھر ، نظام کے قیام میں جو اہم نام پیش کریں گے ان کا تعین کیا جانا چاہئے۔ اس مرحلے میں ، خطرے کے انتظام کے ذمہ داران اور نظام کے قیام کے مقصد کا تعین کیا جانا چاہئے۔
  • پھر آج کی صورتحال میں انٹرپرائز کی سیکیورٹی صورتحال کا تعین کرنا چاہئے۔
  • اس کے بعد مقامات ، کام ، کاروباری افعال اور انفارمیشن ٹکنالوجی جیسی معلومات اکٹھی کی جانی چاہ. جو نظام کے دائرہ کار کا تعین کرے گی۔
  • اس مرحلے پر ، ISO 27001 انفارمیشن سیکیورٹی مینجمنٹ سسٹم کا مقصد اور دائرہ کار طے کیا جانا چاہئے اور ایک ورک پروگرام قائم کیا جانا چاہئے۔
  • آخر میں ، آخری مرحلے پر ، نظام کے قیام اور نظام کے تسلسل کے لئے ضروری عملوں کا تعین کیا جانا چاہئے۔

یہ سائیکل ، جو روایتی طور پر تمام معیار کے نظم و نسق کے نظاموں پر لاگو ہوتا ہے ، یہاں بھی ایسا ہی ہے۔

  • منصوبہ (انفارمیشن سیکیورٹی مینجمنٹ سسٹم کا قیام)
  • درخواست دیں (انفارمیشن سیکیورٹی مینجمنٹ سسٹم کا نفاذ اور عمل)
  • چیک کریں (انفارمیشن سیکیورٹی مینجمنٹ سسٹم کی نگرانی اور جائزہ)
  • احتیاطی تدابیر اختیار کریں (انفارمیشن سیکیورٹی مینجمنٹ سسٹم کی بحالی اور بہتری)

قدرتی طور پر ، اس طرح کے نظام کے قیام سے ، کاروبار کو بے حد فائدہ ہوتا ہے۔ مثال کے طور پر

  • ہستی تمام معلوماتی اثاثوں کے وجود اور اہمیت کو تسلیم کرتی ہے۔
  • یہ معلومات کے اثاثوں کو مخصوص کنٹرول اور تحفظ کے طریقوں پر ان کا اطلاق کرکے حفاظت کرتا ہے۔
  • اس طرح ، کام کا تسلسل یقینی بنایا جاتا ہے۔ جب کسی بھی خطرے کا سامنا کرنا پڑتا ہے تو ، سرگرمیوں میں خلل پڑنے سے روکا جاتا ہے۔
  • اس سسٹم کے ذریعہ ، کمپنی کو متعلقہ فریقوں کا اعتماد حاصل ہوگا کیونکہ وہ سپلائی کرنے والی کمپنیوں اور صارفین کی معلومات کا تحفظ کرے گی۔
  • معلومات کے تحفظ کا موقع باقی نہیں بچا ہے۔
  • کاروبار اپنے حریفوں کی نسبت زیادہ منظم طریقے سے کام کرتا ہے جب وہ اپنے صارفین کا اندازہ کرتا ہے۔
  • کاروبار میں ملازمین کی حوصلہ افزائی بڑھ جاتی ہے۔
  • چونکہ قانونی قواعد و ضوابط کو یقینی بنایا جا. گا ، اس لئے ممکنہ قانونی پیروی روک دی جا.۔
  • مارکیٹ میں کاروبار کی ساکھ بڑھتی ہے اور کاروبار حریفوں کے خلاف جنگ میں ایک قدم آگے ہے۔

آئی ایس او ایکس این ایم ایکس انفارمیشن سیکیورٹی مینجمنٹ سسٹم کا تقاضا ہے کہ انٹرپرائز میں موجود تمام معلوماتی اثاثوں کی نشاندہی کی جائے اور ان کا جائزہ لیا جائے ، اور ان اثاثوں کی کمزوریوں اور خطرات کو مدنظر رکھتے ہوئے ایک رسک تجزیہ کیا گیا ہے۔ اس مقصد کو حاصل کرنے کے ل the ، انٹرپرائز کو اس کے ڈھانچے کے مناسب رسک مینجمنٹ کا طریقہ منتخب کرنا چاہئے اور خطرہ کی منصوبہ بندی کرنی چاہئے۔ معیار میں خطرے کی پروسیسنگ کے ل control کنٹرول مقاصد اور کنٹرول کے طریقے شامل ہیں۔

آئی ایس او 27001 معیار کے مطابق ، کاروباری اداروں کو رسک مینجمنٹ اور رسک پروسیسنگ کے منصوبے بنانے ، کاموں اور ذمہ داریوں کی نشاندہی کرنے ، کاروباری تسلسل کے منصوبوں کو تیار کرنے ، ہنگامی انتظام کے عمل کو تیار کرنے اور عملدرآمد کے دوران ان کے ریکارڈ رکھنے کی ضرورت ہے۔

کاروباری اداروں کو ان تمام سرگرمیوں پر محیط انفارمیشن سیکیورٹی پالیسی بھی جاری کرنا ہوگی۔ تمام سینئر مینجمنٹ اور ملازمین کو بھی معلومات کی حفاظت اور خطرات سے آگاہ ہونا چاہئے۔ آئی ایس او ایکس این ایم ایکس ایکس انفارمیشن سیکیورٹی مینجمنٹ سسٹم کے نفاذ میں ، منتخب کردہ کنٹرول کے مقاصد کی پیمائش کی جانی چاہئے اور کنٹرولز کی اہلیت اور کارکردگی پر مسلسل نگرانی کی جانی چاہئے۔ یہ عمل ایک زندہ عمل ہونا چاہئے ، انفارمیشن سیکیورٹی مینجمنٹ ، سینئر مینجمنٹ کی فعال مدد اور تمام ملازمین کی شرکت کو یقینی بنایا جانا چاہئے۔ درخواست کرنے والے کاروباری اداروں کو رسک مینجمنٹ ، پالیسی سازی ، سلامتی کے عمل کی دستاویزی دستاویز ، کنٹرول کے مناسب طریقوں کی نشاندہی اور ان پر عمل درآمد کے لئے مشاورت اور ماہر کی مدد مل سکتی ہے۔

مختصرا. ، آئی ایس او ایکس این ایم ایکس معیار ایک ایسا نظام ہے جو مکمل معلومات کی حفاظت اور کس طرح جانکاری کے عمل کے طور پر معلومات کی حفاظت کو یقینی بنانا ہے کی وضاحت کرتا ہے۔ اس نظام کے قیام کے اقدامات کو مندرجہ ذیل بیان کیا جاسکتا ہے۔

  • معلومات کے اثاثوں کی درجہ بندی
  • رازداری ، سالمیت اور رسائ کے معیار کے مطابق معلوماتی اثاثوں کا اندازہ
  • رسک تجزیہ
  • رسک تجزیہ کے نتائج کے مطابق لگائے جانے والے کنٹرول طریقوں کا تعین
  • دستاویزات کے کام کی تکمیل
  • پرعزم کنٹرول طریقوں کا اطلاق
  • داخلی آڈٹ مطالعات کا انعقاد
  • معیار کو درکار ریکارڈ رکھنا
  • انتظامی جائزہ اجلاسوں کا انعقاد
  • سرٹیفیکیشن کی تعلیم حاصل کرنا

الیکٹرانک مواصلات سے متعلق دھمکیاں اور کمزوریاں

متعلقہ قانونی قواعد و ضوابط کے دائرہ کار میں ، کچھ چیزیں ایسی ہیں جو کاروباری اداروں کو انفارمیشن سیکیورٹی کو یقینی بنانے کے ل do کرنا چاہئے:

  • کمپیوٹر کے ذریعہ استعمال شدہ آئی پی لاگ کا ریکارڈ رکھیں
  • پچھلے دنوں کے بارے میں ریکارڈ رکھیں کہ کس ملازمین کے IP پتے ہیں
  • انٹرنیٹ پر ملازمین کے دوروں کے ریکارڈ ریکارڈ رکھیں
  • ملازمین کے ذریعہ ارسال کردہ ای میل لاگ ریکارڈ رکھنا
  • ان صفحوں کے ریکارڈ انٹرنیٹ پر رکھنا ہے جو ملازمین تک رسائی حاصل کرتے ہیں اور انہوں نے ماضی میں کتنا عرصہ گزارا ہے
  • مشمولات کے ذریعے فلٹر کرکے انٹرنیٹ تک محدود رسائی فراہم کریں
  • حاصل کردہ تمام ریکارڈوں کی سالمیت کو یقینی بنانا اور یہ ثابت کرنا کہ ان میں کوئی تبدیلی نہیں کی گئی ہے

اس فریم ورک کے اندر ، ملازمین کے الیکٹرانک مواصلات کو بنیادی خطرہ یہ ہیں:

  • ملازمین اختیار کے بغیر سیکیورٹی حساسیت کے علاقے میں داخل ہو رہے ہیں یا اختیار کی موجودہ حد سے زیادہ ہیں
  • ملازمین اعداد و شمار کی رازداری ، سالمیت اور تسلسل میں خلل ڈالنے کی کوشش کرتے ہیں بغیر اجازت کے یا حذف کرنے ، شامل کرنے ، ترمیم کرنے ، تاخیر ، کسی دوسرے میڈیم تک محفوظ کرنے ، یا معلومات کے انکشاف کرکے اعداد و شمار کی رازداری ، سالمیت اور تسلسل میں خلل ڈالتے ہیں
  • مکمل طور پر یا جزوی طور پر ، ہارڈ ویئر اور سافٹ ویئر کے اجزاء کی ناکامی ، جو قانونی قواعد و ضوابط اور ملکی اور غیر ملکی معیار کے مطابق طے شدہ ضروریات کو پورا نہیں کرتی ہے۔
  • یہ تاثر فراہم کرنا کہ صارف کو گمراہ کرکے صحیح فریق کے ساتھ الیکٹرانک مواصلت کی جارہی ہے
  • غیر قانونی طریقوں کا استعمال کرتے ہوئے الیکٹرانک مواصلات کی نگرانی
  • یہ دعویٰ کرنا کہ یہ معلومات کسی اور فریق سے غلط معلومات تیار کرکے یا کسی اور فریق کو یہ غلط معلومات بھیج کر موصول ہوئی ہے
  • الیکٹرانک مواصلات کا بنیادی ڈھانچہ جزوی یا مکمل طور پر ناقابل استعمال بنانا یا اس بنیادی ڈھانچے کے وسائل کو اس طرح استعمال کرنا کہ خدمات کی فراہمی کو روکے۔

اس دوران ، الیکٹرانک مواصلات کے لئے کچھ کمزور نکات درج ذیل ہیں:

  • مستقبل میں غیر متوقع خطرات
  • سسٹم یا پروٹوکول کے ڈیزائن میں نقائص
  • سسٹم یا پروٹوکول انسٹال کرنے میں دشواریوں کا سامنا کرنا پڑتا ہے
  • سافٹ ویئر ڈویلپرز کی وجہ سے خرابیاں
  • صارف کی غلطیاں
  • عدم تلافی یا عدم مطابقت جو نظام کے استعمال کے دوران پیدا ہوتی ہیں

آئی ایس او 27001 انفارمیشن سیکیورٹی مینجمنٹ سسٹم کا معیاری ڈھانچہ

ISO 27001 معیار کو حال ہی میں 2013 میں ترمیم کیا گیا تھا۔ اس ورژن میں ، معیار کی شقیں درج ذیل ہیں:

  1. دائرہ کار
  2. معیارات اور دستاویزات کا حوالہ دیا
  3. شرائط اور ترکیبیں
  4. تنظیم کا سیاق و سباق
  • تنظیم اور اس کے سیاق و سباق کو سمجھنا
  • دلچسپی رکھنے والی جماعتوں کی ضروریات اور توقعات کو سمجھنا
  • انفارمیشن سیکیورٹی مینجمنٹ سسٹم کے دائرہ کار کا تعین
  • انفارمیشن سیکیورٹی مینجمنٹ سسٹم
  1. قیادت
  • قیادت اور عزم
  • پالیسی
  • کارپوریٹ کردار ، ذمہ داریاں اور حکام
  1. منصوبہ بندی
  • خطرات اور مواقع سے نمٹنے کی سرگرمیاں
  • معلومات کے تحفظ کے مقاصد اور ان مقاصد کو حاصل کرنے کے لئے منصوبہ بندی
  1. ڈسیک
  • وسائل
  • قابلیت
  • بیداری
  • مواصلات
  • تحریری معلومات
  1. آپریٹنگ
  • آپریشنل منصوبہ بندی اور کنٹرول
  • انفارمیشن سیکیورٹی رسک کی تشخیص
  • انفارمیشن سیکیورٹی رسک پروسیسنگ
  1. کارکردگی کی تشخیص
  • نگرانی ، پیمائش ، تجزیہ اور تشخیص
  • داخلی آڈٹ
  • انتظامی جائزہ
  1. بحالی کے
  • عدم مطابقت اور اصلاحی عمل
  • مستقل بہتری

آئی ایس او ایکس این ایم ایکس انفارمیشن سیکیورٹی مینجمنٹ سسٹم کی سند

آئی ایس او ایکس این ایم ایکس ایکس انفارمیشن سیکیورٹی مینجمنٹ سسٹم کو ثابت کرنے اور اپنے صارفین ، مقابلہ اور متعلقہ سرکاری اور نجی تنظیموں کو اس صورتحال کو ثابت کرنے کے بعد کاروبار آئی ایس او ایکس این ایم ایکس ایکس سرٹیفکیٹ حاصل کرنا چاہیں گے۔ تاہم ، اس سسٹم کی تنصیب کا مقصد صرف یہ دستاویز رکھنا نہیں ہونا چاہئے۔ ورنہ ، سسٹم سے یہ توقع نہیں کی جاسکتی ہے کہ وہ مذکورہ بالا فوائد مہیا کرے گا۔

نفاذ کے عمل کے دوران طے شدہ کنٹرول طریقوں کے مطابق ، معلومات سے متعلق اثاثوں کا تحفظ ، ان خطرات پر قابو پانا جو معلومات سے متعلق اثاثوں کو خطرہ بناتے ہیں ، خطرات کے خاتمے یا تخفیف کے لئے اقدامات کرتے ہیں ، وقت کے ساتھ پیدا ہونے والے نئے خطرات کا جائزہ لیتے ہیں اور اگر ناقابل قبول لیکن قابل قبول خطرات ہیں تو ان خطرات کا اندازہ کریں۔ ان کے ل management ، انتظامیہ کی اعلی منظوری ضروری ہے۔ جب تک کاروبار موجود ہے یہ عمل جاری رہے گا۔

وہ کاروبار جو ISO 27001 معیار کی ضروریات کو پورا کرتے ہیں اور انفارمیشن سیکیورٹی مینجمنٹ سسٹم کو نافذ کرتے ہیں وہ اب ایک سرٹیفیکیشن باڈی پر درخواست دے کر ISO 27001 سرٹیفکیٹ کی درخواست کرسکتے ہیں۔ اس مقام پر ، یہ انتہائی اہم ہے کہ سرٹیفیکیشن باڈی کسی مقامی یا غیر ملکی منظوری باڈی سے منظور شدہ ہو۔ بصورت دیگر ، جو رپورٹیں اور دستاویزات جاری کی جائیں اس میں صداقت نہیں ہوسکتی ہے۔

سند کے کام کا پہلا مرحلہ موجودہ دستاویزاتی کام کے ذریعے کیا جاتا ہے۔ اس مرحلے پر ، انفارمیشن سیکیورٹی پالیسی ، رسک اسسمنٹ کی رپورٹس ، رسک ایکشن پلان ، موافقیت کا اعلان ، سیکیورٹی کے طریقہ کار اور انٹرپرائز کے ذریعہ تیار کردہ درخواستوں کی ہدایات کو انفرادی طور پر سنبھالا جاتا ہے۔ اگر ان دستاویزات میں کسی قسم کی عدم مطابقت کا پتہ چل جاتا ہے تو ، توقع کی جاتی ہے کہ وہ دوسرے مرحلے میں آگے بڑھنے سے پہلے مکمل ہوجائیں گی۔

پہلے مرحلے کو مکمل کرنے کے بعد ، سرٹیفیکیشن باڈی ایک یا ایک سے زیادہ آڈیٹرز کی تقرری کرتی ہے اور انٹرپرائز کے کام کے ماحول میں آڈٹ کا کام شروع کرتی ہے ، یعنی کام۔ سائٹ پر موجود ان آڈٹ میں ، یہ مشاہدہ کیا جاتا ہے کہ سرگرمی کے شعبے پر منحصر ادارہ کے ذریعہ متعین کردہ انفارمیشن سیکیورٹی کنٹرولز ، جو ISO 27001 معیار کی ضروریات کو پورا کرتے ہیں۔ دوسرے مرحلے کے آڈٹ مکمل ہونے کے بعد ، آڈیٹرز ایک رپورٹ تیار کرتے ہیں اور اسے سرٹیفیکیشن باڈی میں پیش کرتے ہیں۔

سرٹیفیکیشن کا ادارہ اس رپورٹ کی بنیاد پر تشخیصی مطالعات کا انعقاد کرتا ہے اور اگر مناسب سمجھے تو اس کو انٹرپرائز میں ISO 27001 انفارمیشن سیکیورٹی مینجمنٹ سسٹم سرٹیفکیٹ تیار اور پیش کرتا ہے۔ سرٹیفکیٹ کی میعاد کی مدت تین سال ہے۔ تاہم ، اس دستاویز کے اجراء کے بعد ، انٹرپرائز کی درخواست کے مطابق سال میں ایک یا دو بار عبوری آڈٹ کیئے جاتے ہیں۔ تین سال کے بعد ، سرٹیفیکیشن مطالعہ دوبارہ کرنا پڑتا ہے۔

 

سرٹیفیکیشن

یہ کمپنی بین الاقوامی سطح پر قبول شدہ معیارات پر آڈیٹنگ ، نگرانی اور سرٹیفیکیشن کی خدمات مہیا کرتی ہے اور وقتا فوقتا معائنہ ، ٹیسٹ اور کنٹرول خدمات بھی مہیا کرتی ہے۔

ہم سے رابطہ کریں

پتہ:

Mahmutbey Mh، Dilmenler Cd، نمبر 2 
باگسیلر۔ استنبول ، ترکی

فون:

+ 90 (212) 702 00 00

WhatsApp کے:

+ 90 (532) 281 01 42

ای میل:

[ای میل محفوظ]

Arama