ISO 27005: هر آنچه که باید بدانید
ISO 27005 یک استاندارد بین المللی حیاتی در ارتباط با مدیریت ریسک در فناوری اطلاعات است. این استاندارد به سازمان ها یاری می کند تا حفاظت از داده های حساس را پوشش داده و پیامدهای حملات سایبری و جرایم سایبری را از قبل پیش بینی نمایند. به عنوان یک گواهینامه بین المللی شناخته شده، ISO 27005 در سال 2021 به صورت خوبی مورد استفاده قرار گرفت، سالی که در آن شرکت ها مجبور بودند با خطرات سایبری پیچیده تر دست و پنجه نرم کنند.
ISO 27005 درباره چیست؟
عنوان دقیق ISO 27005 همانطور که در وب سایت ISO آمده است “فناوری اطلاعات – تکنیک های امنیتی – مدیریت ریسک امنیت اطلاعات” می باشد. به این صورت، این استاندارد به شرکت ها یاری می کند تا ریسک های مربوط به امنیت اطلاعات را مدیریت نمایند.
تعریف استاندارد ایزو 27005
همانطور که از نام آن مشخص می باشد، ISO/IEC 27005 یک استاندارد بین المللی می باشد که توسط سازمان بین المللی استاندارد (ISO) و کمیسیون بین المللی الکتروتکنیکی (IEC) منتشر گردیده است. به طور مشخص، از امنیت اطلاعات بر اساس رویکرد مدیریت ریسک پشتیبانی می نماید. برعکس شیوه هایی مانند چارچوب امنیت سایبری NIST، این استاندارد مشمول صدور گواهی می شود.
ISO 27005 همچنین بر اساس دستورالعمل های مشخص شده در ISO/IEC 27001 و ISO/IEC 27002 است. نسخه ابتدایی در ژوئن 2008 با نام مخفف ISO/IEC 27005:2008 ارائه شد، در سال 2011 مجدداً منتشر گردید و دوباره در سال 2018 منتشر گردید.
در اینجا خلاصه ای از مفاهیم ذکر شده در ISO 27005 آمده است: فصل ششم تا دوازدهم یک رویکرد مدیریت ریسک سیستم های اطلاعاتی را تحویل می دهد. فصل هفتم به طور مشخص به تجزیه و تحلیل ریسک می پردازد، که ستون فقرات یک استراتژی مناسب امنیت سایبری باقی می ماند. فصل هشتم بر ارزیابی ریسک متمرکز است. و فصل نهم تا دوازدهم نحوه اجرای استراتژی و برطرف کردن خطر و نحوه پیگیری آن را توضیح می دهد.
این استاندارد ISO برای کیست؟
سازمان بین المللی استاندارد گواهینامه ISO 27005 را به شرکت ها و همچنین به مؤسسات عمومی مانند “سازمان های دولتی” و NPO ها (سازمان های غیرانتفاعی) توصیه می نماید.
در واقع، این استاندارد امنیت اطلاعات برای اطمینان از محرمانه بودن داده ها و در دسترس بودن و یکپارچگی دارایی های اطلاعاتی کلیدی یک سازمان استفاده می گردد. این استاندارد برای تمام ساختارهایی طراحی گردیده است که تحت تأثیر خطرات سایبری و افزایش مداوم داده ها در خدمات هستند.
هدف دقیق استاندارد ISO/IEC 27005 چیست؟
برای حمایت از اجرای رضایت بخش امنیت اطلاعات بر اساس رویکرد مدیریت ریسک طراحی گردیده است. به طور کلی آموزش کارمندان به هدف یاری به آنها برای توسعه مهارت ها برای انجام فرآیندهای مدیریت ریسک امنیت اطلاعات موثر لازم است. افرادی که در ISO 27005 آموزش دریافت کرده اند از نظر تئوری قادر به شناسایی، تجزیه و تحلیل، اندازه گیری و برطرف کردن خطرات هستند.
یکی از هدف های این استاندارد یاری به شرکت شما در راه اندازی ISMS (سیستم مدیریت امنیت اطلاعات) نیز می باشد. ISMS نیازمند ایجاد فرآیندها و سیاستهای امنیت سایبری می باشد و همزمان به طور مداوم مدیریت ریسک را بهبود میبخشد و عوامل انسانی و فنی را در طول فرآیند مورد بررسی قرار می دهد.
برای این منظور، استاندارد ISO 27005 منطقی را دنبال می کند که یادآور شیوه PDCA (طرح، انجام، بررسی، عمل) برای بهبود مستمر است:
- برنامه ریزی: خطرات سایبری را شناسایی و ارزیابی نمایید، سپس به طور استراتژیک در مورد اقدامات کاهش ریسک مربوطه تفکر نمایید.
- آیا این اقدامات اجرا و انجام شده است.
- بررسی نمایید: بررسی عملکرد را انجام دهید.
- قانون: از نظارت و بهبود استراتژی برطرف نمودن خطر اطمینان حاصل نمایید.
دوره های آموزشی ISO 27005 چیست؟
چندین دوره صدور گواهینامه برای ISO 27005 موجود است:
- بنیاد ISO 27005، که به گواهینامه بنیاد ISO/CEI 27005 دارای گواهی PECB دسترسی دارد.
- مدیر ریسک گواهی ISO 27005 با EBIOS. این آموزش مدیریت ریسک را از منظر روش EBIOS بررسی می نماید و در دو آزمون به اوج خود میرسد: مدیریت ریسک ISO/CEI 27005 گواهی PECB و EBIOS دارای گواهی PECB.
- مدیر ریسک گواهی ISO 27005 با MEHARI، “روش هماهنگ تجزیه و تحلیل ریسک”، توسعه یافته توسط CLUSIF در فرانسه.
- مدیریت ریسک ISO 27005 ANSSI (آژانس ملی امنیت سیستم های اطلاعاتی فرانسه).
مطالب بسیار آموزنده و کاملی بود ممنون از اطلاعاتی که در اختیار قرار میدید