كاربرد استاندارد ISO 27001 در صنايع
مردم، اغلب استاندارد ISO 27001 را بهعنوان استاندارد اختصاصي فناوري اطلاعات اشتباه ميگيرند؛ استانداردي كه فقط در صنعت خدمات شبكه فناوري اطلاعات قابل اعمال است. البته ايشان تا اندازهاي صحيح فكر ميكنند. با فرض مزاياي استاندارد ISO 27001 در كسب و كارها، بسياري از شركتهاي فناوري اطلاعات تلاش ميكنند تا اين استاندارد را دريافت نمايند.
با اين وجود، آنچه كه گفته شد فقط بخشي از حقيقت ماجراست. اغلب شركتهايي كه كانديدهايي نه چندان مناسب براي استاندارد ISO 27001 به نظر ميرسند نيز اقدام به پيادهسازي آن مينمايند؛ براي مثال، شركتهاي دارويي، سازمانهاي بهداشت و درمان، ارگانهاي دولتي و غيره.
استاندارد ISO 27001 در واقع هدف حفاظت از اطلاعات و نه فناوري اطلاعات را دنبال ميكند.
چرا بسياري از شركتهاي غير فناوري اطلاعات به استاندارد ISO 27001 علاقه نشان دادهاند؟ در بيشتر موارد، شركتها از قبل، كليه فناوريهاي لازم مانند فايروالها، آنتيويروسها، نسخههاي پشتيبان و غيره را پيادهسازي كردهاند. با اين وجود، آنها هنوز شاهد موارد نفوذ و سوء استفاده از دادههاي خويش هستند؛ زيرا اين فناوريها شرط كافي براي حل مسئله نيستند. از طرفي، كارمندان نميدانند كه چگونه بايد از اين فناوريها به شيوهاي امن استفاده كنند. بهعلاوه، عملكرد فناوري نصب شبكه در ارتباط با جلوگيري از حملاتي كه از داخل سازمان منشاء گرفتهاند، بسيار محدود است. از اينرو، مسلما رويكردي ديگر بايد مدنظر قرار گيرد.
در اينجاست كه استاندارد ISO 27001 وارد عمل ميگردد: اين استاندارد راهكاري را به شركتها ارائه ميكند كه بر پايه آن كشف رويدادهاي بالقوه (يعني ريسكها) و سپس، تعريف دستورالعملهايي براي نحوه تغيير رفتار كارمندي با هدف پيشگيري از وقوع چنين رويدادهايي ممكن ميگردد.
از اين نقطهنظر، هر سازماني كه داراي اطلاعات حساس است و بدون توجه به اينكه يك نهاد انتفاعي يا غير انتفاعي، كسب و كار كوچك يا شركت بزرگ، دولتي يا خصوصي است، ميتواند از مزاياي پيادهسازي استاندارد ISO 27001 سود ببرد.
كدام صنايع معمولا اين استاندارد را پيادهسازي ميكنند؟
شركتهاي فناوري اطلاعات
شركتهاي توسعه نرمافزار، شركتهاي ارائهكننده خدمات ابر و شركتهاي پشتيباني فناوري اطلاعات فقط تعدادي از شركتهايي را تشكيل ميدهند كه استاندارد ISO 27001 را پيادهسازي مينمايند. در كل، اين نهادها استاندارد ISO 27001 را با اين هدف پيادهسازي مينمايند تا به مشتريان جديد اثبات نمايند كه گواهينامه لازم را براي تضمين توانايي خود در حفاظت از اطلاعات ايشان به بهترين شيوه ممكن در اختيار دارند. برخي از شركتهاي فناوري اطلاعات، استاندارد ISO 27001 را با هدف برآوردن الزامات امنيتي پشتيباني شبكه مندرج قرارداد با مشتريان اصلي خويش يا توافقنامههاي سطح خدمات (SLA) پيادهسازي مينمايند. در برخي موارد، شركتهايي كه نرخ رشد سريعي را تجربه كرده اين استاندارد را بهعنوان شيوهاي براي حل مسائل موجود در عمليات خويش پيادهسازي ميكنند. زيرا بر پايه استاندارد ISO 27001، شركتها ملزم خواهند بود تا افراد مسئول، مسئوليتها و اقداماتي كه بايد در فرآيندهاي مهم اتخاذ گردند را تعريف نمايند؛ مسئلهاي كه اغلب در شركتهايي كه نرخ رشد بسيار سريع را تجربه كرده تعريف نشده باقي ميماند.
موسسات مالي
بانكها، شركتهاي بيمه، شركتهاي كارگزاري و ساير موسسات مالي، عموما استاندارد ISO 27001 را با هدف رعايت قوانين و مقررات اجباري پيادهسازي مينمايند. مقررات حفاظت از دادهها، سختگيرانهترين الزام در صنعت امور مالي است و خوشبختانه قانونگذاران، اين مقررات را اصولا بر اساس استاندارد ISO 27001 پايهريزي كردهاند. به عبارت ديگر، استاندارد ISO 27001 متدولوژي كاملي براي رعايت و انطباق با قوانين و مقررات حاكم در صنعت است، كه ارائه چنين پروژهاي را به مديران اجرايي بسيار سادهتر ميسازد.
«هزينه» دومين دليل زيربنايي است كه چرا سازمانهاي گوناگون استاندارد ISO 27001 را پيادهسازي مينمايند. در واقع، شركتها تلاش مينمايند تا از وقوع رويدادهاي امنيت اطلاعات پيشگيري نمايند كه البته بسيار ارزانتر از برطرف ساختن پيامدهاي آنها خواهد بود. اين رويكرد در صنعت پسيو شبكه امور مالي تبديل به روندي رايج گرديده است. در صنعت امور مالي، مديريت ريسك با پيشرفتهترين ابزار ممكن حرف اول ميزند.
مخابرات و ارتباطات
شركتهاي مخابرات و ارتباطات (شامل ارائهدهندگان خدمات اينترنت) تمام تلاش خويش را مينمايند تا از حجم انبوه دادههايي كه مديريت كرده حفاظت نمايند و تعداد موارد قطع اتصال را كاهش دهند؛ از اينرو، طبيعتا آنها استاندارد ISO 27001 را به عنوان چارچوبي براي تسهيل برآوردن اهداف فوق پيادهسازي مينمايند. بهعلاوه همانطور كه در ارتباط با موسسات مالي اشاره شد، هم اكنون صنعت مخابرات و ارتباطات، شاهد وضع قوانين و مقررات سختگيرانهتر است و لذا پيادهسازي استاندارد ISO 27001 ميتواند ابزاري سودمند در اين راستا باشد.
ارگانهاي دولتي
ارگانهاي دولتي، اطلاعات و دادههاي بسيار حساسي را مديريت مينمايند؛ براي مثال، اين دادهها در برخي ارگانها محرمانه تلقي ميگردند. البته در كليه ارگانها، حفاظت و حفظ يكپارچگي و دسترسپذيري دادهها از اهميت فوقالعادهاي برخوردار هستند. اين حقيقت كه استاندارد ISO 27001 با هدف برآوردن سه مفهوم (مثلث معروف C-I-A) طراحي شده است، اين استاندارد را تبديل به متدولوژي كاملي براي كاهش تعداد رويدادهاي امنيت اطلاعات به حداقل ميسازد.
و درحاليكه ISO 27001 بهعنوان استاندارد بينالمللي توسط ارگانهاي استانداردسازي در كشورها به رسميت شناخته شده است، لذا اين استاندارد چارچوبي كامل با تاييد رسمي دولتي محسوب ميگردد.
و هر سازمان ديگر با اطلاعات حساس...
تعداد سازمانهايي كه ميتوانند از مزاياي پيادهسازي استاندارد ISO 27001 سود ببرند، بيشمار هستند؛ براي مثال، سازمانهاي بهداشت و درمان كه قصد دارند تا از اطلاعات بيماران خويش محافظت نمايند، شركتهاي دارويي كه ميخواهند از اطلاعات ميكروتيك بخش تحقيق و توسعه و همچنين، اطلاعات فرمولهاي دارويي خود حفاظت كنند، شركتهاي مواد غذايي كه تلاش مينمايند از دستورپختهاي ويژه خود حفاظت نمايند، شركتهاي توليدي كه ميخواهند از دانش فني توليد قطعات خويش محافظت كنند.
اساسا، هر شركتي با اطلاعات حساس، استاندارد ISO 27001 را سودمند ميدانند.
و در آخر ...
به جاي اينكه استاندارد ISO 27001 يك پروژه فناوري اطلاعات محض تلقي گردد، اين استاندارد را بايد بهعنوان ابزاري براي دستيافتن به مزاياي تجاري فوق مدنظر قرار داد. در اين صورت، شما خواهيد ديد كه دامنه پوشش آن وسيعتري از چيزي است كه تاكنون تصور ميشد و ميتواند شما را به طرق گوناگون كه تاكنون انتظار آنها را نداشتيد ياري كند
- یکشنبه ۰۲ اردیبهشت ۹۷ ۰۸:۵۰ ۸ بازديد
- ۰ نظر