مجموعه ایزو/آیایسی ۲۷۰۰۰
مجموعه ایزو/آیایسی ۲۷۰۰۰ (که تحت عنوان “خانواده استاندارد “ISMS یا به اختصار “ISO27k" شناخته شدهاست)، شامل استانداردهای امنیت اطلاعات بهطور مشترک توسط سازمان بینالمللی استانداردسازی (ISO) و کمیسیون علوم الکترونیکی بینالمللی (IEC) منتشر شدهاست.
این مجموعه بهترین توصیهها را بر پایه تجربیات عملی در مدیریت امنیت اطلاعات، ریسک و کنترل را در کلیه ابعاد سیستم مدیریت امنیت اطلاعات(ISMS) بیان میکند. به علاوه توصیههای مشابهی نیز در طراحی سیستمهای مدیریت تضمین کیفیت (سری (ISO9000 و حفاظت از محیط زیست (سری ISO14000).
این سری بهطور عمدی در حوزه کاری گسترده است؛ بدین دلیل که زمینههای دیگری غیر از حریم خصوصی، محرمانه بودن و مسائل امنیتی فنی و/یا IT را پوشش دهد. این استاندارد قابلیت اعمال به تمام سازمان با اندازهها و اشکال مختلف را داراست. بسیاری از سازمانها بر آن هستند که به ارزیابی خطرات امنیتی اطلاعات خود بپردازند، و سپس به پیادهسازی کنترل مناسب جهت تأمین امنیت اطلاعات با توجه به نیاز خود میپردازند، که با استفاده از راهنماییها و پیشنهادها در زمینههای مربوطه انجام میپذیرد. با توجه به ماهیت پویای امنیت اطلاعات، ISMS روشهای بازخورد و بهبود مستمر را (که بهطور خلاصه رویکرد "طرح، اجرا، بررسی، اعمال” دمینگ خوانده میشود) به کار میبرد، که تغییرات در تهدید، آسیبپذیری یا اثرات حوادث امنیت اطلاعات را هدف میگیرد.
این استانداردها محصولISO/IEC JTC1 (کمیته فنی الحاقی 1)، SC27 (زیر کمیته ۲۷)، و یک نهاد بینالمللی است که دو بار در سال نشست خواهند داشت میشود. در حال حاضر، یازده استاندارد از این مجموعه منتشر شده و قابل دسترس است. این در حالی است که تعداد بیشتری نیز در حال توسعه و آمادهسازی است. استانداردهای اصلی ISO/IEC بهطور مستقیم توسط ISO به فروش میرسد. در عین حال این مجموعه توسط نهادهای مختلف ارائه دهنده استانداردها (حتی با زبانهای غیر انگلیسی) قابل دستیابی است.
استانداردهای منتشر شده
[ویرایش]- ایزو ۲۷۰۰۰ سیستمهای مدیریت امنیت اطلاعات - مرور و لغتنامه [۱]
- ایزو ۲۷۰۰۱ سیستمهای مدیریت امنیت اطلاعات - نیازمندیها
- ایزو ۲۷۰۰۲ راهنمای عملی مدیریت امنیت اطلاعات
- ایزو ۲۷۰۰۳ راهنمای پیادهسازی سیستمهای مدیریت امنیت اطلاعات
- ایزو ۲۷۰۰۴ سیستمهای مدیریت امنیت اطلاعات - اندازهگیری
- ایزو ۲۷۰۰۵ مدیریت خطر امنیت اطلاعات
- ایزو ۲۷۰۰۶ نیازمندیهای اشخاص بازرس و صادرکنندگان گواهی سیستمهای مدیریت امنیت اطلاعات
- ایزو ۲۷۰۱۱ خط مشیهای مدیریت امنیت اطلاعات برای سازمانهای مخابراتی بر اساس ایزو ۲۷۰۰۲
- ایزو ۲۷۰۳۱ خط مشی آمادهسازی تکنولوژی اطلاعات و مخابرات برای ادامه کسب و کار
- ایزو ۲۷۰۳۱-۱ مقدمه و مفاهیم امنیت شبکه
- ایزو ۲۷۰۳۵ مدیریت حوادث امنیتی
- ایزو ۲۷۷۹۹ مدیریت امنیت اطلاعات در سلامت با استفاده از ایزو ۲۷۰۰۲
استانداردهای در حال آمادهسازی
[ویرایش]- مجموعه ایزو ۲۷۰۰۰ راهنمای بازرسی سیستمهای مدیریت امنیت اطلاعات (با تأکید بر سیستمهای مدیریت)
- ISO/IEC 27008 راهنمای کنترلهای ISMS برای بازرسان (با تأکید بر کنترلهای امنیت اطلاعات)
- ISO/IEC 27013 راهنمای پیادهسازی ترکیبی ایزو ۲۰۰۰۰-۱ و ایزو 27001
- ISO/IEC 27014 چهارچوب اعمال امنیت اطلاعات
- ISO/IEC 27015 راهنمای مدیریت امنیت اطلاعات برای بخشهای بیمهای و مالی
- ISO/IEC 27032 راهنمای امنیت سایبری
- ISO/IEC 27033 امنیت شبکه IT، سک استاندارد چند بخشی بر پایه ایزو ۱۸۰۲۸:۲۰۰۶ (قسمت اول این استاندارد منتظر شدهاست)
- ISO/IEC 27034 راهنمای امنیت کاربردی
- ISO/IEC 27036 راهنمای امنیت روشهای برون سپاری
- ISO/IEC 27037 راهنمای تشخیص، جمعآوری و/یا کسب و نمایش مدارک دیجیتال