مجموعه ایزو ۲۷۰۰۰

از ویکی‌پدیا، دانشنامهٔ آزاد
پرش به: ناوبری، جستجو

مجموعه 27000 ISO/IEC (که تحت عنوان “خانواده استاندارد “ISMS یا به اختصار “ISO27k" شناخته شده‌است)، شامل استانداردهای امنیت اطلاعات به طور مشترک توسط سازمان بین‌المللی استانداردسازی (ISO) و کمیسیون علوم الکترونیکی بین‌المللی (IEC) منتشر شده‌است.

این مجموعه بهترین توصیه‌ها را بر پایه تجربیات عملی در مدیریت امنیت اطلاعات، ریسک و کنترل را در کلیه ابعاد سیستم مدیریت امنیت اطلاعات(ISMS) بیان می‌کند. به علاوه توصیه‌های مشابهی نیز در طراحی سیستم‌های مدیریت تضمین کیفیت (سری (ISO9000 و حفاظت از محیط زیست (سری ISO14000).

این سری به طور عمدی در حوزه کاری گسترده است؛ بدین دلیل که زمینه‌های دیگری غیر از حریم خصوصی، محرمانه بودن و مسائل امنیتی فنی و/یا IT را پوشش دهد. این استاندارد قابلیت اعمال به تمام سازمان با اندازه‌ها و اشکال مختلف را داراست. بسیاری از سازمان‌ها بر آن هستند که به ارزیابی خطرات امنیتی اطلاعات خود بپردازند، و سپس به پیاده سازی کنترل مناسب جهت تامین امنیت اطلاعات با توجه به نیاز خود می‌پردازند، که با استفاده از راهنمایی‌ها و پیشنهادها در زمینه‌های مربوطه انجام می‌پذیرد. با توجه به ماهیت پویای امنیت اطلاعات، ISMS روش‌های بازخورد و بهبود مستمر را (که به طور خلاصه رویکرد "طرح، اجرا، بررسی، اعمال” دمینگ خوانده می‌شود) به کار می‌برد، که تغییرات در تهدید، آسیب پذیری و یا اثرات حوادث امنیت اطلاعات را هدف می‌گیرد.

این استانداردهای محصولISO/IEC JTC1 (کمیته فنی الحاقی 1)، SC27 (زیر کمیته ۲۷)، و یک نهاد بین‌المللی است که دو بار در سال نشست خواهند داشت می‌شود. در حال حاضر، یازده استاندارد از این مجموعه منتشر شده و قابل دسترس است. این در حالی است که تعداد بیشتری نیز در حال توسعه و آماده سازی است. استانداردهای اصلی ISO/IEC به طور مستقیم توسط ISO به فروش می‌رسد. در عین حال این مجموعه توسط نهادهای مختلف ارائه دهنده استانداردها (حتی با زبان‌های غیر انگلیسی) قابل دستیابی است.

استانداردهای منتشر شده[ویرایش]

  • ایزو ۲۷۰۰۰ سیستم‌های مدیریت امنیت اطلاعات - مرور و لغتنامه [۱]
  • ایزو ۲۷۰۰۱ سیستم‌های مدیریت امنیت اطلاعات - نیازمندی‌ها
  • ایزو ۲۷۰۰۲ راهنمای عملی مدیریت امنیت اطلاعات
  • ایزو ۲۷۰۰۳ راهنمای پیاده سازی سیستم‌های مدیریت امنیت اطلاعات
  • ایزو ۲۷۰۰۴ سیستم‌های مدیریت امنیت اطلاعات - اندازه گیری
  • ایزو ۲۷۰۰۵ مدیریت خطر امنیت اطلاعات
  • ایزو ۲۷۰۰۶ نیازمندی‌های اشخاص بازرس و صادرکنندگان گواهی سیستم‌های مدیریت امنیت اطلاعات
  • ایزو ۲۷۰۱۱ خط مشی‌های مدیریت امنیت اطلاعات برای سازمان‌های مخابراتی بر اساس ایزو ۲۷۰۰۲
  • ایزو ۲۷۰۳۱ خط مشی آماده سازی تکنولوژی اطلاعات و مخابرات برای ادامه کسب و کار
  • ایزو ۲۷۰۳۱-۱ مقدمه و مفاهیم امنیت شبکه
  • ایزو ۲۷۰۳۵ مدیریت حوادث امنیتی
  • ایزو ۲۷۷۹۹ مدیریت امنیت اطلاعات در سلامت با استفاده از ایزو ۲۷۰۰۲

استانداردهای در حال آماده سازی[ویرایش]

  • ISO/IEC 27007 راهنمای بازرسی سیستم‌های مدیریت امنیت اطلاعات (با تاکید بر سیستم‌های مدیریت)
  • ISO/IEC 27008 راهنمای کنترل‌های ISMS برای بازرسان (با تاکید بر کنترل‌های امنیت اطلاعات)
  • ISO/IEC 27013 راهنمای پیاده سازی ترکیبی ایزو ۲۰۰۰۰-۱ و ایزو 27001
  • ISO/IEC 27014 چهارچوب اعمال امنیت اطلاعات
  • ISO/IEC 27015 راهنمای مدیریت امنیت اطلاعات برای بخش‌های بیمه‌ای و مالی
  • ISO/IEC 27032 راهنمای امنیت سایبری
  • ISO/IEC 27033 امنیت شبکه IT، سک استاندارد چند بخشی بر پایه ایزو ۱۸۰۲۸:۲۰۰۶ (قسمت اول این استاندارد منتظر شده‌است)
  • ISO/IEC 27034 راهنمای امنیت کاربردی
  • ISO/IEC 27036 راهنمای امنیت روش‌های برون سپاری
  • ISO/IEC 27037 راهنمای تشخیص، جمع آوری و/یا کسب و نمایش مدارک دیجیتال