منو

راهنمای تکنیک‌های امنیت اطلاعات در استاندارد سیستم مدیریت امنیت اطلاعات ISO IEC 27003 : 2017

راهنمای تکنیک‌های امنیت اطلاعات در استاندارد سیستم مدیریت امنیت اطلاعات ISO IEC 27003 : 2017

۱۳۹۹/۰۸/۳۰

راهنمای تکنیک‌های امنیت اطلاعات در استاندارد سیستم مدیریت امنیت اطلاعات ISO IEC 27003 : 2017

این استاندارد راهنمایی در مورد الزامات سیستم مدیریت امنیت اطلاعات (ISMS) را که در ISO / IEC 27001 مشخص شده ارائه می دهد و توصیه هایی ("باید") ، امکانات ("می تواند") و مجوزها ("ممکن") را در رابطه با آنها ارائه می دهد. کما اینکه هدف این استاندارد ارائه راهنمایی کلی در مورد همه جنبه های امنیت اطلاعات نیست.

بندهای 4 تا 10 این سند تکراری بر ساختار ISO / IEC 27001: 2013 است. این سند هیچ الزام جدیدی برای ISMS و اصطلاحات و تعاریف مربوط به آن اضافه نمی کند بلکه مرجع سازمانها برای الزامات و تعاریف ISO / IEC 27001 و ISO / IEC 27000 است. این سند یک راهنما و به‌روش در اجرای بهتر تکنیک‌ها و استقرار ISMS در سازمان است اما مجریان هیچ تعهدو الزامی برای رعایت رهنمودهای این سند ندارند.

به طور کل ISMS  بر اهمیت مراحل زیر تأکید می کند:

  • درک نیازهای سازمان و ضرورت ایجاد سیاست امنیت اطلاعات و اهداف امنیت اطلاعات؛
  • ارزیابی خطرات سازمان مربوط به امنیت اطلاعات؛
  • اجرای و بهره برداری از فرآیندهای امنیت اطلاعات، کنترل ها و سایر اقدامات برای رفع ریسک‌ها؛
  •  نظارت و بررسی عملکرد و اثربخشی ISMS ؛
  •  اقدام برای بهبود مستمر.

ISMS ، مشابه هر نوع سیستم مدیریتی ، شامل اجزای اصلی زیر است:

الف) سیاست و خط مشی؛

ب) افراد با مسئولیت های مشخص شده؛

ج) فرآیندهای مدیریت مربوط به:

۱) ایجاد سیاست

۲) آگاهی و شایستگی

۳) برنامه ریزی

۴) اجرا و عملیاتی شدن فرایندها

۵) ارزیابی عملکرد؛

۶) بررسی مدیریت نواقص و مشکلات؛

۷) بهبود مستمر؛

د) مستندسازی اطلاعات و اقدامات.

ISMS  دارای اجزای اصلی دیگری مانند:

ه) ارزیابی ریسک‌های امنیت اطلاعات ؛

و) رفع ریسک امنیت اطلاعات با استفاده از تعیین و اجرای کنترل ها

نیز است. یکی از راه‌های استقرار و اجرای امنیت اطلاعات در سازمان استاندارد ISO/IEC 27001:2013 است. این استادارد قابل تعمیم به همه سازمان‌ها صرف نظر از نوع، اندازه و ماهیت آن‌ها، است.

بندهای 4 تا 10 به شرح زیر است:

  • Required activity: فعالیتهای اصلی مورد نیاز در زیر بند مربوط به ISO / IEC 27001 را ارائه می دهد.
  •  Explanation: توضیح می دهد که الزامات ISO / IEC 27001 چه معنایی دارد.
  • Guidance: اطلاعات دقیق تر یا حمایتی را برای اجرای "فعالیت مورد نیاز" از جمله مثالهایی برای اجرا فراهم می کند.
  • Other information: اطلاعات بیشتری را خصوص تکنیک‌های امنیت اطلاعات ارائه می‌دهد.

ISO / IEC 27003 ، ISO / IEC 27004 و ISO / IEC 27005 مجموعه ای از استانداردها را تشکیل می دهند که در واقعه راهنماهایی برای ISO / IEC 27001: 2013 هستند.

 در میان این استانداردها، ISO / IEC 27003 یک سند اساسی و جامع است که راهنمایی هایی را برای کلیه الزامات ISO / IEC 27001 ارائه می دهد ، اما شرح مفصلی در مورد "نظارت ، اندازه گیری ، تجزیه و تحلیل و ارزیابی" و مدیریت ریسک امنیت اطلاعات ندارد. جهت دستیابی به این سند روی عبارت ISO/IEC 27003 : 2017 کلیک نمایید.

نویسنده: بهاره جلائی یزدنژاد

مقالات مرتبط

الزامات اجرایی ITIL4 در سازمان

۱۴۰۱/۰۸/۲۲

مراحل پیاده سازی سیستم مدیریت امنیت اطلاعات منطبق با ISO 27001:2013

۱۳۹۷/۰۵/۰۹

ارتباط Agile، DevOps و ITIL 4 (بخش اول)

۱۴۰۱/۰۸/۱۵

بررسی استانداردهای خانواده ISO 27000 (بخش سوم)

۱۴۰۱/۰۷/۱۴

ارتباط Agile، DevOps و ITIL 4 (بخش دوم)

۱۴۰۱/۰۸/۱۷

بررسی استانداردهای خانواده ISO 27000 (بخش دوم)

۱۴۰۱/۰۷/۱۴

نحوه شناسایی و تعیین محدوده پیاده سازی ISMS

۱۳۹۷/۰۲/۰۵

آسیب پذیری Print Spooler با نام PrintNightmare

۱۴۰۰/۰۵/۰۵

چرا به مشاوره امنیت اطلاعات نیاز داریم ؟

۱۳۹۷/۰۱/۲۰

داستانی از مدیریت خدمات فناوری اطلاعات مبتنی بر ITIL4 (قسمت سوم)

۱۴۰۱/۰۹/۱۰

اشتراک در :

کلیه حقوق مادی و معنوی این سایت برای شرکت امن افزار: شرکت امنیت اطلاعات و شبکه[ شرکت تخصصی امنیت اطلاعات ] محفوظ است.

طراحی سایت و سئو ره وب

طراحی سایت و توسعه ره وب