۱۳۹۷-۰۲-۰۲، ۰۸:۵۸ ق.ظ
کاربرد استاندارد ISO 27001 در صنایع
مردم، اغلب استاندارد ISO 27001 را بهعنوان استاندارد اختصاصی فناوری اطلاعات اشتباه میگیرند؛ استانداردی که فقط در صنعت فناوری اطلاعات قابل اعمال است. البته ایشان تا اندازهای صحیح فکر میکنند.
با فرض مزایای استاندارد ISO 27001 در کسب و کارها، بسیاری از شرکتهای فناوری خدمات شبکه اطلاعات تلاش میکنند تا این استاندارد را دریافت نمایند.
با این وجود، آنچه که گفته شد فقط بخشی از حقیقت ماجراست. اغلب شرکتهایی که کاندیدهایی نه چندان مناسب برای استاندارد ISO 27001 به نظر میرسند نیز اقدام به پیادهسازی آن مینمایند؛ برای مثال، شرکتهای دارویی، سازمانهای بهداشت و درمان، ارگانهای دولتی و غیره.
استاندارد ISO 27001 در واقع هدف حفاظت از اطلاعات و نه فناوری اطلاعات را دنبال میکند.
چرا بسیاری از شرکتهای غیر فناوری اطلاعات به استاندارد ISO 27001 علاقه نشان دادهاند؟ در بیشتر موارد، شرکتها از قبل، کلیه فناوریهای لازم مانند فایروالها، آنتیویروسها، نسخههای پشتیبان و غیره را پیادهسازی کردهاند.
با این وجود، آنها هنوز شاهد موارد نفوذ و سوء استفاده از دادههای خویش هستند؛ زیرا این فناوریها شرط کافی برای حل مسئله نیستند. از طرفی، کارمندان نمیدانند که چگونه باید از این فناوریها به شیوهای امن استفاده کنند.
بهعلاوه، عملکرد فناوری در ارتباط با جلوگیری از حملاتی که از داخل سازمان منشاء گرفتهاند، بسیار محدود است. از اینرو، مسلما رویکردی دیگر باید مدنظر قرار گیرد.
در اینجاست که استاندارد ISO 27001 وارد عمل میگردد: این استاندارد راهکاری را به شرکتها ارائه میکند که بر پایه نصب شبکه آن کشف رویدادهای بالقوه (یعنی ریسکها) و سپس، تعریف دستورالعملهایی برای نحوه تغییر رفتار کارمندی با هدف پیشگیری از وقوع چنین رویدادهایی ممکن میگردد.
از این نقطهنظر، هر سازمانی که دارای اطلاعات حساس است و بدون توجه به اینکه یک نهاد انتفاعی یا غیر انتفاعی، کسب و کار کوچک یا شرکت بزرگ، دولتی یا خصوصی است، میتواند از مزایای پیادهسازی استاندارد ISO 27001 سود ببرد.
کدام صنایع معمولا این استاندارد را پیادهسازی میکنند؟
شرکتهای فناوری اطلاعات
شرکتهای توسعه نرمافزار، شرکتهای ارائهکننده خدمات ابر و شرکتهای پشتیبانی فناوری اطلاعات فقط تعدادی از شرکتهایی را تشکیل میدهند که استاندارد ISO 27001 را پیادهسازی مینمایند. در کل،
این نهادها استاندارد ISO 27001 را با این هدف پیادهسازی مینمایند تا به مشتریان جدید اثبات نمایند که گواهینامه پشتیبانی شبکه لازم را برای تضمین توانایی خود در حفاظت از اطلاعات ایشان به بهترین شیوه ممکن در اختیار دارند. ب
رخی از شرکتهای فناوری اطلاعات، استاندارد ISO 27001 را با هدف برآوردن الزامات امنیتی مندرج قرارداد با مشتریان اصلی خویش یا توافقنامههای سطح خدمات (SLA) پیادهسازی مینمایند. در برخی موارد، شرکتهایی
که نرخ رشد سریعی را تجربه کرده این استاندارد را بهعنوان شیوهای برای حل مسائل موجود در عملیات خویش پیادهسازی میکنند. زیرا بر پایه استاندارد ISO 27001، شرکتها ملزم خواهند بود تا افراد مسئول، مسئولیتها و
اقداماتی که باید در فرآیندهای مهم اتخاذ گردند را تعریف نمایند؛ مسئلهای که اغلب در شرکتهایی که نرخ رشد بسیار سریع را تجربه کرده تعریف نشده باقی میماند.
موسسات مالی
بانکها، شرکتهای بیمه، شرکتهای کارگزاری و سایر موسسات مالی، عموما استاندارد ISO 27001 را با هدف رعایت قوانین و مقررات اجباری پیادهسازی مینمایند. مقررات حفاظت از دادهها، سختگیرانهترین الزام در صنعت امور
مالی است و خوشبختانه قانونگذاران، این مقررات را اصولا بر اساس استاندارد ISO 27001 پایهریزی کردهاند. به عبارت دیگر، استاندارد ISO 27001 متدولوژی کاملی برای رعایت و انطباق با قوانین و مقررات حاکم در صنعت است، که ارائه چنین پروژهای را به مدیران اجرایی بسیار سادهتر میسازد.
«هزینه» دومین دلیل زیربنایی است که چرا سازمانهای گوناگون استاندارد ISO 27001 را پیادهسازی مینمایند. در واقع، شرکتها پسیو شبکه تلاش مینمایند تا از وقوع رویدادهای امنیت اطلاعات پیشگیری نمایند که البته بسیار ارزانتر از برطرف
ساختن پیامدهای آنها خواهد بود. این رویکرد در صنعت امور مالی تبدیل به روندی رایج گردیده است. در صنعت امور مالی، مدیریت ریسک با پیشرفتهترین ابزار ممکن حرف اول میزند.
مخابرات و ارتباطات
شرکتهای مخابرات و ارتباطات (شامل ارائهدهندگان خدمات اینترنت) تمام تلاش خویش را مینمایند تا از حجم انبوه دادههایی که مدیریت کرده حفاظت نمایند و تعداد موارد قطع اتصال را کاهش دهند؛ از اینرو، طبیعتا آنها استاندارد ISO 27001
را به عنوان چارچوبی برای تسهیل برآوردن اهداف فوق پیادهسازی مینمایند. بهعلاوه همانطور که در ارتباط با موسسات مالی اشاره شد، هم اکنون صنعت مخابرات و ارتباطات، شاهد وضع قوانین و مقررات سختگیرانهتر است و لذا پیادهسازی
استاندارد ISO 27001 میتواند ابزاری سودمند در این راستا باشد.
ارگانهای دولتی
ارگانهای دولتی، اطلاعات و دادههای بسیار حساسی را مدیریت مینمایند؛ برای مثال، این دادهها در برخی ارگانها محرمانه تلقی میگردند. البته در کلیه ارگانها، حفاظت و حفظ یکپارچگی و دسترسپذیری دادهها از اهمیت فوقالعادهای
برخوردار هستند. این حقیقت که استاندارد ISO 27001 با هدف برآوردن سه مفهوم (مثلث معروف C-I-A) طراحی شده است، این استاندارد را تبدیل به متدولوژی کاملی برای کاهش تعداد رویدادهای امنیت اطلاعات به حداقل میسازد.
و درحالیکه ISO 27001 بهعنوان استاندارد بینالمللی توسط ارگانهای استانداردسازی میکروتیک در کشورها به رسمیت شناخته شده است، لذا این استاندارد چارچوبی کامل با تایید رسمی دولتی محسوب میگردد.
و هر سازمان دیگر با اطلاعات حساس...
تعداد سازمانهایی که میتوانند از مزایای پیادهسازی استاندارد ISO 27001 سود ببرند، بیشمار هستند؛ برای مثال، سازمانهای بهداشت و درمان که قصد دارند تا از اطلاعات بیماران خویش محافظت نمایند، شرکتهای دارویی که میخواهند
از اطلاعات بخش تحقیق و توسعه و همچنین، اطلاعات فرمولهای دارویی خود حفاظت کنند، شرکتهای مواد غذایی که تلاش مینمایند از دستورپختهای ویژه خود حفاظت نمایند، شرکتهای تولیدی که میخواهند از دانش فنی تولید قطعات خویش محافظت کنند.
اساسا، هر شرکتی با اطلاعات حساس، استاندارد ISO 27001 را سودمند میدانند.
و در آخر ...
به جای اینکه استاندارد ISO 27001 یک پروژه فناوری اطلاعات محض تلقی گردد، این استاندارد را باید بهعنوان ابزاری برای دستیافتن به مزایای تجاری فوق مدنظر قرار داد. در این صورت، شما خواهید
دید که دامنه پوشش آن وسیعتری از چیزی است که تاکنون تصور میشد و میتواند شما را به طرق گوناگون که تاکنون انتظار آنها را نداشتید یاری کند
مردم، اغلب استاندارد ISO 27001 را بهعنوان استاندارد اختصاصی فناوری اطلاعات اشتباه میگیرند؛ استانداردی که فقط در صنعت فناوری اطلاعات قابل اعمال است. البته ایشان تا اندازهای صحیح فکر میکنند.
با فرض مزایای استاندارد ISO 27001 در کسب و کارها، بسیاری از شرکتهای فناوری خدمات شبکه اطلاعات تلاش میکنند تا این استاندارد را دریافت نمایند.
با این وجود، آنچه که گفته شد فقط بخشی از حقیقت ماجراست. اغلب شرکتهایی که کاندیدهایی نه چندان مناسب برای استاندارد ISO 27001 به نظر میرسند نیز اقدام به پیادهسازی آن مینمایند؛ برای مثال، شرکتهای دارویی، سازمانهای بهداشت و درمان، ارگانهای دولتی و غیره.
استاندارد ISO 27001 در واقع هدف حفاظت از اطلاعات و نه فناوری اطلاعات را دنبال میکند.
چرا بسیاری از شرکتهای غیر فناوری اطلاعات به استاندارد ISO 27001 علاقه نشان دادهاند؟ در بیشتر موارد، شرکتها از قبل، کلیه فناوریهای لازم مانند فایروالها، آنتیویروسها، نسخههای پشتیبان و غیره را پیادهسازی کردهاند.
با این وجود، آنها هنوز شاهد موارد نفوذ و سوء استفاده از دادههای خویش هستند؛ زیرا این فناوریها شرط کافی برای حل مسئله نیستند. از طرفی، کارمندان نمیدانند که چگونه باید از این فناوریها به شیوهای امن استفاده کنند.
بهعلاوه، عملکرد فناوری در ارتباط با جلوگیری از حملاتی که از داخل سازمان منشاء گرفتهاند، بسیار محدود است. از اینرو، مسلما رویکردی دیگر باید مدنظر قرار گیرد.
در اینجاست که استاندارد ISO 27001 وارد عمل میگردد: این استاندارد راهکاری را به شرکتها ارائه میکند که بر پایه نصب شبکه آن کشف رویدادهای بالقوه (یعنی ریسکها) و سپس، تعریف دستورالعملهایی برای نحوه تغییر رفتار کارمندی با هدف پیشگیری از وقوع چنین رویدادهایی ممکن میگردد.
از این نقطهنظر، هر سازمانی که دارای اطلاعات حساس است و بدون توجه به اینکه یک نهاد انتفاعی یا غیر انتفاعی، کسب و کار کوچک یا شرکت بزرگ، دولتی یا خصوصی است، میتواند از مزایای پیادهسازی استاندارد ISO 27001 سود ببرد.
کدام صنایع معمولا این استاندارد را پیادهسازی میکنند؟
شرکتهای فناوری اطلاعات
شرکتهای توسعه نرمافزار، شرکتهای ارائهکننده خدمات ابر و شرکتهای پشتیبانی فناوری اطلاعات فقط تعدادی از شرکتهایی را تشکیل میدهند که استاندارد ISO 27001 را پیادهسازی مینمایند. در کل،
این نهادها استاندارد ISO 27001 را با این هدف پیادهسازی مینمایند تا به مشتریان جدید اثبات نمایند که گواهینامه پشتیبانی شبکه لازم را برای تضمین توانایی خود در حفاظت از اطلاعات ایشان به بهترین شیوه ممکن در اختیار دارند. ب
رخی از شرکتهای فناوری اطلاعات، استاندارد ISO 27001 را با هدف برآوردن الزامات امنیتی مندرج قرارداد با مشتریان اصلی خویش یا توافقنامههای سطح خدمات (SLA) پیادهسازی مینمایند. در برخی موارد، شرکتهایی
که نرخ رشد سریعی را تجربه کرده این استاندارد را بهعنوان شیوهای برای حل مسائل موجود در عملیات خویش پیادهسازی میکنند. زیرا بر پایه استاندارد ISO 27001، شرکتها ملزم خواهند بود تا افراد مسئول، مسئولیتها و
اقداماتی که باید در فرآیندهای مهم اتخاذ گردند را تعریف نمایند؛ مسئلهای که اغلب در شرکتهایی که نرخ رشد بسیار سریع را تجربه کرده تعریف نشده باقی میماند.
موسسات مالی
بانکها، شرکتهای بیمه، شرکتهای کارگزاری و سایر موسسات مالی، عموما استاندارد ISO 27001 را با هدف رعایت قوانین و مقررات اجباری پیادهسازی مینمایند. مقررات حفاظت از دادهها، سختگیرانهترین الزام در صنعت امور
مالی است و خوشبختانه قانونگذاران، این مقررات را اصولا بر اساس استاندارد ISO 27001 پایهریزی کردهاند. به عبارت دیگر، استاندارد ISO 27001 متدولوژی کاملی برای رعایت و انطباق با قوانین و مقررات حاکم در صنعت است، که ارائه چنین پروژهای را به مدیران اجرایی بسیار سادهتر میسازد.
«هزینه» دومین دلیل زیربنایی است که چرا سازمانهای گوناگون استاندارد ISO 27001 را پیادهسازی مینمایند. در واقع، شرکتها پسیو شبکه تلاش مینمایند تا از وقوع رویدادهای امنیت اطلاعات پیشگیری نمایند که البته بسیار ارزانتر از برطرف
ساختن پیامدهای آنها خواهد بود. این رویکرد در صنعت امور مالی تبدیل به روندی رایج گردیده است. در صنعت امور مالی، مدیریت ریسک با پیشرفتهترین ابزار ممکن حرف اول میزند.
مخابرات و ارتباطات
شرکتهای مخابرات و ارتباطات (شامل ارائهدهندگان خدمات اینترنت) تمام تلاش خویش را مینمایند تا از حجم انبوه دادههایی که مدیریت کرده حفاظت نمایند و تعداد موارد قطع اتصال را کاهش دهند؛ از اینرو، طبیعتا آنها استاندارد ISO 27001
را به عنوان چارچوبی برای تسهیل برآوردن اهداف فوق پیادهسازی مینمایند. بهعلاوه همانطور که در ارتباط با موسسات مالی اشاره شد، هم اکنون صنعت مخابرات و ارتباطات، شاهد وضع قوانین و مقررات سختگیرانهتر است و لذا پیادهسازی
استاندارد ISO 27001 میتواند ابزاری سودمند در این راستا باشد.
ارگانهای دولتی
ارگانهای دولتی، اطلاعات و دادههای بسیار حساسی را مدیریت مینمایند؛ برای مثال، این دادهها در برخی ارگانها محرمانه تلقی میگردند. البته در کلیه ارگانها، حفاظت و حفظ یکپارچگی و دسترسپذیری دادهها از اهمیت فوقالعادهای
برخوردار هستند. این حقیقت که استاندارد ISO 27001 با هدف برآوردن سه مفهوم (مثلث معروف C-I-A) طراحی شده است، این استاندارد را تبدیل به متدولوژی کاملی برای کاهش تعداد رویدادهای امنیت اطلاعات به حداقل میسازد.
و درحالیکه ISO 27001 بهعنوان استاندارد بینالمللی توسط ارگانهای استانداردسازی میکروتیک در کشورها به رسمیت شناخته شده است، لذا این استاندارد چارچوبی کامل با تایید رسمی دولتی محسوب میگردد.
و هر سازمان دیگر با اطلاعات حساس...
تعداد سازمانهایی که میتوانند از مزایای پیادهسازی استاندارد ISO 27001 سود ببرند، بیشمار هستند؛ برای مثال، سازمانهای بهداشت و درمان که قصد دارند تا از اطلاعات بیماران خویش محافظت نمایند، شرکتهای دارویی که میخواهند
از اطلاعات بخش تحقیق و توسعه و همچنین، اطلاعات فرمولهای دارویی خود حفاظت کنند، شرکتهای مواد غذایی که تلاش مینمایند از دستورپختهای ویژه خود حفاظت نمایند، شرکتهای تولیدی که میخواهند از دانش فنی تولید قطعات خویش محافظت کنند.
اساسا، هر شرکتی با اطلاعات حساس، استاندارد ISO 27001 را سودمند میدانند.
و در آخر ...
به جای اینکه استاندارد ISO 27001 یک پروژه فناوری اطلاعات محض تلقی گردد، این استاندارد را باید بهعنوان ابزاری برای دستیافتن به مزایای تجاری فوق مدنظر قرار داد. در این صورت، شما خواهید
دید که دامنه پوشش آن وسیعتری از چیزی است که تاکنون تصور میشد و میتواند شما را به طرق گوناگون که تاکنون انتظار آنها را نداشتید یاری کند