كاربرد استاندارد ISO 27001 در صنايع

كاربرد استاندارد ISO 27001 در صنايع

مردم، اغلب استاندارد ISO 27001 را به‌عنوان استاندارد اختصاصي فناوري اطلاعات اشتباه مي‌گيرند؛ استانداردي كه فقط در صنعت خدمات شبكه فناوري اطلاعات قابل اعمال است. البته ايشان تا اندازه‌اي صحيح فكر مي‌كنند. با فرض مزاياي استاندارد ISO 27001 در كسب و كارها، بسياري از شركت‌هاي فناوري اطلاعات تلاش مي‌كنند تا اين استاندارد را دريافت نمايند. 

با اين وجود، آنچه كه گفته شد فقط بخشي از حقيقت ماجراست. اغلب شركت‌هايي كه كانديدهايي نه چندان مناسب براي استاندارد ISO 27001 به نظر مي‌رسند نيز اقدام به پياده‌سازي آن مي‌نمايند؛ براي مثال، شركت‌هاي دارويي، سازمان‌هاي بهداشت و درمان، ارگان‌هاي دولتي و غيره. 

استاندارد ISO 27001 در واقع هدف حفاظت از اطلاعات و نه فناوري اطلاعات را دنبال مي‌كند.
چرا بسياري از شركت‌هاي غير فناوري اطلاعات به استاندارد ISO 27001 علاقه نشان داده‌اند؟ در بيشتر موارد، شركت‌ها از قبل، كليه فناوري‌هاي لازم مانند فايروال‌ها، آنتي‌ويروس‌ها، نسخه‌هاي پشتيبان و غيره را پياده‌سازي كرده‌اند. با اين وجود، آنها هنوز شاهد موارد نفوذ و سوء استفاده از داده‌هاي خويش هستند؛ زيرا اين فناوري‌ها شرط كافي براي حل مسئله نيستند. از طرفي، كارمندان نمي‌دانند كه چگونه بايد از اين فناوري‌ها به شيوه‌اي امن استفاده كنند. به‌علاوه، عملكرد فناوري نصب شبكه در ارتباط با جلوگيري از حملاتي كه از داخل سازمان منشاء گرفته‌اند، بسيار محدود است. از اينرو، مسلما رويكردي ديگر بايد مدنظر قرار گيرد. 

در اينجاست كه استاندارد ISO 27001 وارد عمل مي‌گردد: اين استاندارد راهكاري را به شركت‌ها ارائه مي‌كند كه بر پايه آن كشف رويدادهاي بالقوه (يعني ريسك‌ها) و سپس، تعريف دستورالعمل‌هايي براي نحوه تغيير رفتار كارمندي با هدف پيشگيري از وقوع چنين رويدادهايي ممكن مي‌گردد. 

از اين نقطه‌نظر، هر سازماني كه داراي اطلاعات حساس است و بدون توجه به اين‌كه يك نهاد انتفاعي يا غير انتفاعي، كسب و كار كوچك يا شركت بزرگ، دولتي يا خصوصي است، مي‌تواند از مزاياي پياده‌سازي استاندارد ISO 27001 سود ببرد. 

كدام صنايع معمولا اين استاندارد را پياده‌سازي مي‌كنند؟
شركت‌هاي فناوري اطلاعات
شركت‌هاي توسعه نرم‌افزار، شركت‌هاي ارائه‌كننده خدمات ابر و شركت‌هاي پشتيباني فناوري اطلاعات فقط تعدادي از شركت‌هايي را تشكيل مي‌دهند كه استاندارد ISO 27001 را پياده‌سازي مي‌نمايند. در كل، اين نهادها استاندارد ISO 27001 را با اين هدف پياده‌سازي مي‌نمايند تا به مشتريان جديد اثبات نمايند كه گواهينامه لازم را براي تضمين توانايي خود در حفاظت از اطلاعات ايشان به بهترين شيوه ممكن در اختيار دارند. برخي از شركت‌هاي فناوري اطلاعات، استاندارد ISO 27001 را با هدف برآوردن الزامات امنيتي پشتيباني شبكه مندرج قرارداد با مشتريان اصلي خويش يا توافقنامه‌هاي سطح خدمات (SLA) پياده‌سازي مي‌نمايند. در برخي موارد، شركت‌هايي كه نرخ رشد سريعي را تجربه كرده اين استاندارد را به‌عنوان شيوه‌اي براي حل مسائل موجود در عمليات خويش پياده‌سازي مي‌كنند. زيرا بر پايه استاندارد ISO 27001، شركت‌ها ملزم خواهند بود تا افراد مسئول، مسئوليت‌ها و اقداماتي كه بايد در فرآيندهاي مهم اتخاذ گردند را تعريف نمايند؛ مسئله‌اي كه اغلب در شركت‌هايي كه نرخ رشد بسيار سريع را تجربه كرده تعريف نشده باقي مي‌ماند. 

موسسات مالي
بانك‌ها، شركت‌هاي بيمه، شركت‌هاي كارگزاري و ساير موسسات مالي، عموما استاندارد ISO 27001 را با هدف رعايت قوانين و مقررات اجباري پياده‌سازي مي‌نمايند. مقررات حفاظت از داده‌ها، سخت‌گيرانه‌ترين الزام در صنعت امور مالي است و خوشبختانه قانون‌گذاران، اين مقررات را اصولا بر اساس استاندارد ISO 27001 پايه‌ريزي كرده‌اند. به عبارت ديگر، استاندارد ISO 27001 متدولوژي كاملي براي رعايت و انطباق با قوانين و مقررات حاكم در صنعت است، كه ارائه چنين پروژه‌اي را به مديران اجرايي بسيار ساده‌تر مي‌سازد. 

«هزينه» دومين دليل زيربنايي است كه چرا سازمان‌هاي گوناگون استاندارد ISO 27001 را پياده‌سازي مي‌نمايند. در واقع، شركت‌ها تلاش مي‌نمايند تا از وقوع رويدادهاي امنيت اطلاعات پيشگيري نمايند كه البته بسيار ارزان‌تر از برطرف ساختن پيامدهاي آنها خواهد بود. اين رويكرد در صنعت پسيو شبكه امور مالي تبديل به روندي رايج گرديده است. در صنعت امور مالي، مديريت ريسك با پيشرفته‌ترين ابزار ممكن حرف اول مي‌زند. 

مخابرات و ارتباطات
شركت‌هاي مخابرات و ارتباطات‌ (شامل ارائه‌دهندگان خدمات اينترنت) تمام تلاش خويش را مي‌نمايند تا از حجم انبوه داده‌هايي كه مديريت كرده حفاظت نمايند و تعداد موارد قطع اتصال را كاهش دهند؛ از اينرو، طبيعتا آنها استاندارد ISO 27001 را به عنوان چارچوبي براي تسهيل برآوردن اهداف فوق پياده‌سازي مي‌نمايند. به‌علاوه همانطور كه در ارتباط با موسسات مالي اشاره شد، هم اكنون صنعت مخابرات و ارتباطات، شاهد وضع قوانين و مقررات سخت‌گيرانه‌تر است و لذا پياده‌سازي استاندارد ISO 27001 مي‌تواند ابزاري سودمند در اين راستا باشد. 

ارگان‌هاي دولتي 
ارگان‌هاي دولتي، اطلاعات و داده‌هاي بسيار حساسي را مديريت مي‌نمايند؛ براي مثال، اين داده‌ها در برخي ارگان‌ها محرمانه تلقي مي‌گردند. البته در كليه ارگان‌ها، حفاظت و حفظ يكپارچگي و دسترس‌پذيري داده‌ها از اهميت فوق‌العاده‌اي برخوردار هستند. اين حقيقت كه استاندارد ISO 27001 با هدف برآوردن سه مفهوم (مثلث معروف C-I-A) طراحي شده است، اين استاندارد را تبديل به متدولوژي كاملي براي كاهش تعداد رويدادهاي امنيت اطلاعات به حداقل مي‌سازد. 

و درحالي‌كه ISO 27001 به‌عنوان استاندارد بين‌المللي توسط ارگان‌هاي استانداردسازي در كشورها به رسميت شناخته شده است، لذا اين استاندارد چارچوبي كامل با تاييد رسمي دولتي محسوب مي‌گردد. 

و هر سازمان ديگر با اطلاعات حساس...
تعداد سازمان‌هايي كه مي‌توانند از مزاياي پياده‌سازي استاندارد ISO 27001 سود ببرند، بيشمار هستند؛ براي مثال، سازمان‌هاي بهداشت و درمان كه قصد دارند تا از اطلاعات بيماران خويش محافظت نمايند، شركت‌هاي دارويي كه مي‌خواهند از اطلاعات ميكروتيك بخش تحقيق و توسعه و همچنين، اطلاعات فرمول‌هاي دارويي خود حفاظت كنند، شركت‌هاي مواد غذايي كه تلاش مي‌نمايند از دستورپخت‌هاي ويژه خود حفاظت نمايند، شركت‌هاي توليدي كه مي‌خواهند از دانش فني توليد قطعات خويش محافظت كنند. 
اساسا، هر شركتي با اطلاعات حساس، استاندارد ISO 27001 را سودمند مي‌دانند. 
و در آخر ...
به جاي اين‌كه استاندارد ISO 27001 يك پروژه فناوري اطلاعات محض تلقي گردد، اين استاندارد را بايد به‌عنوان ابزاري براي دست‌يافتن به مزاياي تجاري فوق مدنظر قرار داد. در اين صورت، شما خواهيد ديد كه دامنه‌ پوشش آن وسيع‌تري از چيزي است كه تاكنون تصور مي‌شد و مي‌تواند شما را به طرق گوناگون كه تاكنون انتظار آنها را نداشتيد ياري كند