معرفی خانواده استانداردهای سیستم مدیریت امنیت اطلاعات (سری ISO 27000)

  • نویسنده: میلاد یداللهی
  • تاریخ انتشار: چهارشنبه ، ۰۳ آبان ماه ۹۶
  • تعداد بازدید: 4794
  • تعداد نظرها: 2
  • دسته بندی: سیستم مدیریت امنیت اطلاعات

با توجه به اهمیت موضوع امنیت اطلاعات بویژه نگاه سیستماتیک به آن و همچنین ایجاد چارچوبها و مکانیزم های قابل قبول برای این حوزه، تهیه و تدوین استانداردهای مختلف از سالیان گذشته در دستور کار مجامع بین المللی و سازمان های ذیربط قرار گرفته است. به صورت خاص در حوزه سیستم مدیریت امنیت اطلاعات (ISMS) استانداردهای خانواده 27000 سازمان جهانی استاندارد (ISO) در حال حاضر به عنوان معتبرترین استانداردها و چارچوب ها در دنیا شناخته می شوند که بسیاری از شرکت ها و سازمان ها در سراسر جهان از آنها استفاده می کنند.

در این مطلب سعی می شود تا با بهره گیری از استاندارد ISO 27000 ضمن معرفی استانداردهای موجود و در دست انتشار این خانواده، ویژگی ها، هدف از انتشار و آخرین وضعیت هر یک از این استانداردها بیان می شود. (این مقاله در تاریخ 98/03/26 توسط نویسنده به روزرسانی شده است.)

 مقدمه

خانواده استانداردهای 27000 شامل مجموعه ای از استانداردهای مرتبط با یکدیگر است که منتشر شده و یا در حال تدوین می باشند. به طور کلی این خانواده دارای 3 استاندارد الزام آوار است که شرکت ها می توانند در صورت اجرای بندها و الزامات موجود در آنها و طی مراحل ممیزی شخص ثالث، گواهینامه آن استاندارد را دریافت نمایند (برای کسب اطلاعات بیشتر به مقاله چگونه گواهینامه ISMS دریافت کنیم رجوع شود). باید توجه داشت که سازمانها به منظور پیاده سازی الزامات استاندارد مذکور می توانند از رویکردهای مختلفی بهره گیری نمایند (برای کسب اطلاعات بیشتر به مقاله رویکردهای استراتژیک سازمان برای پیاده سازی ISMS – تمرکز بر روی توان داخلی یا استفاده از مشاور؟ رجوع شود)، حتی ممکن است در این خصوص با استفاده از روش ها و مدل ها مختلف، اقدام به اولویت بندی الزامات استانداردی در مجموعه خود کرده و از این طریق فرآیند پیاده سازی و استقرار را مدیریت نمایند(برای کسب اطلاعات بیشتر به مقاله اولویت‌بندی پیاده سازی دامنه های کنترلی استاندارد ISO27001:2013 با استفاده از مدل وابستگی رجوع شود). اولین و معروفترین استاندارد الزام آور ISO/IEC 27001 است که به بیان الزامات سیستم مدیریت امنیت اطلاعات اختصاص دارد، ISO/IEC 27006 الزامات مربوط به شرکت های ممیزی کننده یا ارائه دهنده گواهی (CB) را تبیین می کند و استاندارد ISO/IEC 27009 که الزامات پیاده سازی ISMS برای حوزه های کسب و کاری خاص را تدوین نموده است. سایر استانداردهای این خانواده به عنوان مکمل و راهنمایی برای جنبه های مختلف پیاده سازی یک سیستم مدیریت امنیت اطلاعات به صورت عمومی و اختصاصی کسب و کارها موجود هستند. بنابراین ذکر این نکته ضروری است که به غیر از سه استاندارد مذکور، سایر استانداردها نظیر ISO/IEC 27005 یا ISO/IEC 27002 قابلیت دریافت گواهینامه از سوی سازمان ها و شرکت های مختلف را ندارند.

در ادامه هریک از استانداردهای خانواده سیستم مدیریت امنیت اطلاعات، بر اساس نوع (یا نقش) و شماره شرح داده شده اند. بر این اساس می توان چهار دسته ذیل را برای این استانداردها تعریف نمود:

  • استانداردهای مرور کلی و اصطلاحات (واژگان)
  • استانداردهای مربوط به تبیین الزامات
  • استانداردهای توصیف کننده راهنمایی های کلی
  • استانداردهای توصیف کننده راهنمایی های مرتبط به یک حوزه خاص

 استانداردهای مرور کلی و اصطلاحات

استاندارد ISO/IEC 27000

 فناوری اطلاعات – تکنیک های امنیتی – سیستم های مدیریت امنیت اطلاعات - مرور کلی و واژگان

این استاندارد بین المللی برای سازمان ها و افراد مختلف موارد ذیل را فراهم می آورد:

  • مرور کلی خانواده استانداردهای سیستم مدیریت امنیت اطلاعات
  • معرفی سیستم های مدیریت امنیت اطلاعات
  • اصطلاحات و واژگان بکاربرده شده در خانواده استانداردهای سیستم مدیریت امنیت اطلاعات

این استاندارد بین المللی اصول سیستم های مدیریت امنیت اطلاعات را شرح می دهد که موضوع استاندارد خانواده ISMS است و شرایط مرتبط را تعریف می کند. آخرین تغییرات نسخه این استاندارد که در فوریه 2018 منتشر شده است، در این مقاله مورد بررسی و تشریح قرار گرفته است.

استانداردهای مربوط به تبیین الزامات – اعطای گواهینامه

استاندارد ISO/IEC 27001

فناوری اطلاعات – تکنیک های امنیتی – سیستم های مدیریت امنیت اطلاعات – الزامات

این استاندارد بین المللی الزامات ایجاد، پیاده سازی، نگهداری و بهبود مستمر یک سیستم مدیریت امنیت اطلاعات در سازمان مشخص می کند. این استاندارد بین المللی همچنین شامل الزاماتی برای ارزیابی و مقابله با مخاطرات امنیتی سازمان متناسب با نیازهای آن می باشد. تمامی الزامات این استاندارد عمومی بوده و قابلیت اعمال در کلیه سازمان ها، صرف نظر از نوع، انداره و ماهیت فعالیت آن ها را دارا است.

استاندارد ISO/IEC 27001 تمامی نیازمندی های ضروری را جهت ایجاد و عملیات یک سیستم مدیریت امنیت اطلاعات ایجاد می کند که شامل مجموعه ای از اقدامات برای کنترل و کاهش ریسک های مرتبط با دارایی های اطلاعاتی است. این ریسک های امنیتی مواردی هستند که مورد قبول مجموعه نمی باشند و سازمان می خواهد از طریق سیتم مدیریت امنیت اطلاعات از آنها اجتناب نماید. سازمان هایی که سیستم مدیریت امنیت اطلاعات را اجرا می کنند می توانند بر اساس اسن استاندارد ممیزی شده و گواهینامه آن را دریافت نمایند.

آخرین نسخه/وضعیت: اولین نسخه این استاندارد در خانواده 27000 در سال 2005 منتشر شد و در حال حاضر نسخه سال 2013 در 23 صفحه به عنوان آخرین نسخه معتبر محسوب می شود. البته در سال های 2014 و 2015 دو اصلاحیه مختصر بر روی این استاندارد اعمال گردید. (برای کسب اطلاعات بیشتر در خصوص تاریخچه و آخرین تغییرات استاندارد ISO 27001 به این مقاله رجوع شود.)

 

استاندارد ISO/IEC 27006

فناوری اطلاعات – تکنیک های امنیتی – الزامات برای سازمان هایی که ممیزی و صدور گواهینامه سیستم های مدیریت امنیت اطلاعات را انجام می دهند

این استاندارد بین المللی شامل الزامات و راهنمایی برای شرکت هایی که ممیزی و صدور گواهینامه ی سیستم مدیریت امنیت اطلاعات مطابق با استاندارد ISO/IEC 27001 انجام می دهند، می باشد. بدین ترتیب مخاطب این استاندارد شرکت های ممیزی کننده یا ارائه دهنده گواهی (CB) در حوزه ISMS هستند.

استاندارد ISO/IEC 27006 مکمل استاندارد ISO/IEC 17021 در ارائه الزاماتی است که توسط آن ها، سازمان های گواهی دهنده به رسمیت شناخته می شوند. بنابراین این شرکت ها (CB) در صورت اجرای صحیح الزامات مندرج در استاندارد مذکور، اجازه دارند که با بررسی الزامات استاندارد ISO/IEC 27001، گواهینامه مربوطه را برای شرکت های دیگر صادر کنند.

آخرین نسخه/وضعیت: اولین نسخه این استاندارد در سال 2011 منتشر شد و در حال حاضر نسخه سال 2015 در 35 صفحه به عنوان آخرین نسخه معتبر محسوب می شود.

  

استاندارد ISO/IEC 27009

فناوری اطلاعات – تکنیک های امنیتی – نمود ISO/IEC 27001 در حوزه های کسب و کاری خاص – الزامات

این استاندارد بین المللی شامل الزامات استفاده از استاندارد ISO/IEC 27001 در حوزه های مختلف خاص منظوره نظیر صنایع یا بازارهای اختصاصی می باشد

با استفاده از این استاندارد می توان چگونگی اضافه کردن الزامات امنیتی علاوه بر موارد مندرج در ISO/IEC 27001، اصلاح و تغییر الزامات و همچنین بازنگری کنترل های امنیتی موجود در پیوست الف استاندارد ISO/IEC 27001 را تبیین نمود.

آخرین نسخه/وضعیت: اولین نسخه این استاندارد در سال 2016 در 9 صفحه منتشر شد و در حال حاضر این نسخه معتبر است. البته این استاندارد در دست بازنگری بوده و به زودی نسخه جدید آن منتشر خواهد شد.

استانداردهای توصیف کننده راهنمایی های کلی

استاندارد ISO/IEC 27002

فناوری اطلاعات – تکنیک های امنیتی – آیین کار برای کنترل های امنیت اطلاعات

این استاندارد بین المللی فهرستی از اهداف کنترلی پذیرفته شده و بهترین روش های کاربردی را جهت ارائه راهنمای پیاده سازی در هنگام انتخاب و پیاده سازی کنترل های موجود در پیوست الف استاندارد ISO/IEC 27001، ایجاد می کند.

استاندارد ISO/IEC 27002 راهنمای پیاده سازی کنترل های امنیت اطلاعات می باشد. خصوصا بخش های 5 تا 18 این استاندارد، مشاوره و راهنمایی در خصوص اجرای عملی کنترل های مشخص شده در A5 تا A18 استاندارد ISO/IEC 27001 را ارائه می نماید.

آخرین نسخه/وضعیت: اولین نسخه این استاندارد در خانواده 27000 در سال 2005 منتشر شد و در حال حاضر نسخه سال 2013 در 80 صفحه به عنوان آخرین نسخه معتبر محسوب می شود. البته همانند استاندارد ISO 27001 در سال های 2014 و 2015 دو اصلاحیه مختصر بر روی این استاندارد اعمال گردید.

 

استاندارد ISO/IEC 27003

فناوری اطلاعات – تکنیک های امنیتی – راهنمای پیاده سازی سیستم مدیریت امنیت اطلاعات

این استاندارد بین المللی مطابق با استاندارد ISO/IEC 27001 راهنمای پیاده سازی عملی و اطلاعات تکمیلی جهت ایجاد، پیاده سازی، اجرا، نظارت، بازبینی، نگهداری و بهبود یک سیستم مدیریت امنیت اطلاعات را ارائه می کند.

استاندارد ISO/IEC 27003 یک رویکرد فرآیندگرا جهت پیاده سازی موفق سیستم مدیریت امنیت اطلاعات مطابق با استاندارد ISO/IEC 27001 ارائه می نماید.

آخرین نسخه/وضعیت: اولین نسخه این استاندارد در سال 2010 منتشر شد و در حال حاضر نسخه سال 2017 در 45 صفحه به عنوان آخرین نسخه معتبر محسوب می شود.

 

 استاندارد ISO/IEC 27004

فناوری اطلاعات – تکنیک های امنیتی – مدیریت امنیت اطلاعات – سنجش

این استاندارد بین المللی، راهنمایی و مشاوره در زمینه ی ایجاد و استفاده از سنجه های مناسب به منظور ارزیابی اثربخشی سیستم های مدیریت امنیت اطلاعات، اهداف کنترلی و کنترل مورد استفاده جهت پیاده سازی و مدیریت امنیت اطلاعات مطابق با استاندارد ISO/IEC 27001 ارائه می دهد.

استاندارد ISO/IEC 27004 یک چارچوب سنجش برای ارزیابی اثربخشی سیستم مدیریت امنیت اطلاعات مطابق با استاندارد ISO/IEC 27001 ارائه می نماید.

آخرین نسخه/وضعیت: اولین نسخه این استاندارد در سال 2009 منتشر شد و در حال حاضر نسخه سال 2016 در 58 صفحه به عنوان آخرین نسخه معتبر محسوب می شود.

 

 استاندارد ISO/IEC 27005

فناوری اطلاعات – تکنیک های امنیتی – مدیریت ریسک امنیت اطلاعات

این استاندارد بین المللی راهنمای مدیریت ریسک امنیت اطلاعات می باشد. رویکرد مطرح شده در این استاندارد بین المللی، مفاهیم عمومی مشخص شده در استاندارد ISO/IEC 27001 را پشتیبانی می کند.

استاندارد ISO/IEC 27005 راهنمای دستیابی به رویکرد مدیریت ریسک فرآیندگرا را برای کمک به اجرای رضایت بخش و انطباق با الزامات مدیریت ریسک امنیت اطلاعات در استاندارد ISO/IEC 27001 فراهم می کند.

آخرین نسخه/وضعیت: اولین نسخه این استاندارد در سال 2008 منتشر شد،  نسخه دوم در سال 2011 به چاپ رسید و در حال حاضر نسخه 2018 این استاندارد در 56 صفحه به عنوان آخرین نسخه معتبر محسوب می شود. این استاندارد جز موارد محوری و مهم در این خانواده استانداردی محسوب می شود.

 

 استاندارد ISO/IEC 27007

فناوری اطلاعات – تکنیک های امنیت – راهنمای ممیزی سیستم های مدیریت امنیت اطلاعات

این استاندارد بین المللی، راهنمایی در مورد انجام ممیزی سیستم مدیریت امنیت اطلاعات و همچنین راهنمایی در مورد صلاحیت ممیزان سیستم مدیریت امنیت اطلاعات، علاوه بر راهنمایی موجود در استاندارد ISO 19011، که در مورد تمامی سیستم های مدیریتی به طور کلی قابل استفاده است، فراهم می کند.

استاندارد ISO/IEC 27007 راهنمای سازمان هایی است که نیاز به برگزاری ممیزی های داخلی یا خارجی سیستم مدیریت امنیت اطلاعات و یا مدیریت برنامه ممیزی سیستم مدیریت امنیت اطلاعات مطابق با الزامات مشخص شده در استاندارد ISO/IEC 27001 دارند.

آخرین نسخه/وضعیت: اولین نسخه این استاندارد در سال 2011 منتشر شد و در حال حاضر نسخه سال 2017 در 41 صفحه به عنوان آخرین نسخه معتبر محسوب می شود.

 

 استاندارد ISO/IEC TS 27008

فناوری اطلاعات – تکنیک های امنیتی - راهنمای ممیزان در  خصوص کنترل های امنیت اطلاعات

این مستند مربوط به شرایط فنی (Technical Specification) حاوی راهنمایی در خصوص مرور پیاده سازی و اجرای کنترل ها، شامل نظارت بر انطباق فنی کنترل های سیستم اطلاعاتی، مطابق با استانداردهای امنیتی سازمان می باشد.

این استاندارد، تمرکز بر بررسی کنترل های امنیت اطلاعات است. مواردی همچون بررسی انطباق فنی در برابر استانداردها و دستورالعمل های پیاده سازی امنیت اطلاعاتی که توسط خود سازمان ایجاد شده اند نیز مدنظر می باشد. در واقع این استاندارد، قصد ندارد قواعد خاصی را برای بررسی انطباق سنجی در مورد سنجش اثربخشی، ارزیابی ریسک یا ممیزی سیستم مدیریت امنیت اطلاعات مطابق استاندارد ISO/IEC 27004، ISO/IEC 27005 یا ISO/IEC 27007 ارائه کند. باید تاکید شود که این استاندارد یک الزام برای ممیزان سیستم های مدیریت محسوب نمی شود.

آخرین نسخه/وضعیت: اولین نسخه این استاندارد در سال 2011 در 36 صفحه به صورت گزارش فنی (Technical Report) منتشر شد و در حال حاضر نسخه 2019 این استاندارد به صورت شرایط فنی (Technical Specification) در 91 صفحه معتبر است.

 

 استاندارد ISO/IEC 27013

فناوری اطلاعات – تکنیک های امنیتی - راهنمای پیاده سازی یکپارچه استانداردهای ISO/IEC 27001 و ISO/IEC 20000-1

این استاندارد بین المللی، راهنمایی هایی را جهت پیاده سازی یکپارچه استانداردهای ISO/IEC 27001 و ISO/IEC 20000-1 (استاندارد حوزه مدیریت خدمات فناوری اطلاعات ITIL-ITSM) برای سازمان هایی ارائه می دهد که قصد دارند:

  • استاندارد ISO/IEC 27001 را هنگامی که استاندارد ISO/IEC 20000-1 در حال اجرا است، پیاده سازی کنند، یا برعکس.
  • هر دو استاندارد ISO/IEC 27001 و ISO/IEC 20000-1 را همزمان با بکدیگر پیاده سازی کنند.
  • سیستم های موجود ISO/IEC 27001 و ISO/IEC 20000-1 را با یکدیگر ادغام یا یکپارچه نمایند.

این استاندارد بین المللی به طور خاص بر اجرای یکپارچه سیستم مدیریت امنیت اطلاعات (ISMS) مطابق با استاندارد ISO/IEC 27001 و سیستم مدیریت خدمات (SMS) مطابق با ISO/IEC 20000-1 متمرکز است.

ارائه راهنمایی به سازمان ها و ایجاد درک بهتر از ویژگی ها، شباهت ها و تفاوت های ISO/IEC 27001 و ISO/IEC 20000-1 به منظور کمک به برنامه ریزی یک سیستم مدیریت یکپارچه که مطابق با هر دو استاندارد بین المللی.

آخرین نسخه/وضعیت: اولین نسخه این استاندارد در سال 2012 منتشر شد و در حال حاضر نسخه سال 2015 در 39 صفحه به عنوان آخرین نسخه معتبر محسوب می شود.

  

استاندارد ISO/IEC 27014

فناوری اطلاعات – تکنیک های امنیتی – حکمرانی امنیت اطلاعات

این استاندارد بین المللی راهنمایی در مورد اصول و فرآیندهای حاکمیت امنیت اطلاعات را فراهم می کند که توسط آن سازمان می تواند مدیریت امنیت اطلاعات را ارزیابی، هدایت و نظارت نماید.

امنیت اطلاعات تبدیل به یک موضوع کلیدی برای سازمان ها شده است. نه تنها افزایش الزامات قانونی، بلکه شکست اقدامات امنیت اطلاعات سازمان می تواند تاثیر مستقیمی بر شهرت سازمان داشته باشد. بنابراین، سازمان های حاکم به عنوان بخشی از مسئولیت های حکمرانی خود، به طور فزاینده ای نیاز به نظارت بر امنیت اطلاعات برای اطمینان از حصول اهداف سازمان دارند.

آخرین نسخه/وضعیت: اولین نسخه این استاندارد در سال 2013 در 11 صفحه منتشر شد و در حال حاضر این نسخه معتبر است. البته این استاندارد در دست بازنگری بوده و به زودی نسخه جدید آن منتشر خواهد شد.

  

استاندارد ISO/IEC TR 27016

فناوری اطلاعات – تکنیک های امنیت – مدیریت امنیت اطلاعات – اقتصاد سازمانی

این گزارش فنی، یک روش مناسب ارائه می نماید که از طریق آن به سازمان ها اجازه می دهد تا از لحاظ اقتصادی و مالی  بدانند چگونه ارزش دارایی های اطلاعاتی خود را دقیق تر ارزیابی کنند، میزان ریسک های بالقوه را برای آن دارایی های اطلاعاتی ارزش گذاری کنند، ارزش کنترل های امنیتی را که برای این دارایی های اطلاعاتی بکار گرفته شده اند بررسی نمایند و سطح مطلوب از منابع مورد نیاز برای تأمین امنیت این دارایی های اطلاعاتی لحاظ نمایند.

این گزارش فنی، خانواده ی استانداردهای سیستم مدیریت امنیت اطلاعات را با ایجاد یک چشم انداز اقتصادی مالی در حفاظت از دارایی های اطلاعاتی سازمان در یک زمینه ی محیطی وسیع تر که سازمان در آن در حال فعالیت است، تکمیل می نماید. همچنین راهنمایی های لازم را در مورد چگونگی استفاده از اقتصاد سازمانی امنیت اطلاعات، با استفاده از مدل ها و نمونه ها ارائه می کند.

آخرین نسخه/وضعیت: اولین نسخه این استاندارد در سال 2014 در 31 صفحه منتشر شد و در حال حاضر این نسخه معتبر است.

  

استانداردهای توصیف کننده راهنمایی های مرتبط به یک حوزه خاص

استاندارد ISO/IEC 27010

فناوری اطلاعات – تکنیک های امنیتیمدیریت امنیت اطلاعات برای ارتباطات درون بخشی و درون سازمانی

این استاندارد بین المللی، علاوه بر راهنمایی ارائه شده در خانواده استانداردهای ISO/IEC 27000، در راستای پیاده سازی مدیریت امنیت اطلاعات، کنترل ها و راهنمایی هایی را به طور خاص در ارتباط با شروع، پیاده سازی، نگهداری و بهبود امنیت اطلاعات در ارتباطات درون سازمانی و درون بخشی ارائه می دهد.

این استاندارد بین المللی، برای همه ی مدل های تبادل و اشتراک گذاری اطلاعات حساس، هم در بخش عمومی و هم در بخش خصوصی، چه در سطح ملی و چه در سطح بین المللی، در یک صنعت خاص یا بین بخش های یک سازمان، قابل اجرا است. به طور خاص، این استاندارد ممکن است برای تبادل اطلاعات و به اشتراک گذاری مربوط به ارائه، نگهداری و حفاظت از زیرساخت های مهم یک سازمان و یا حتی در سطح ملی و کشور بکار گرفته شود.

آخرین نسخه/وضعیت: اولین نسخه این استاندارد در سال 2012 منتشر شد و در حال حاضر نسخه سال 2015 در 32 صفحه به عنوان آخرین نسخه معتبر محسوب می شود.

  

استاندارد ISO/IEC 27011

فناوری اطلاعات – تکنیک های امنیتی –  راهنماهای مدیریت امنیت اطلاعات برای سازمان های ارتباط از راه دور مبتنی بر استاندارد ISO/IEC 27002

این استاندارد بین المللی دستورالعمل هایی را جهت حمایت از اجرای کنترل های امنیتی اطلاعات در سازمان های ارتباط از راه دور فراهم می کند.

استاندارد ISO/IEC 27011 به سازمان های ارتباطات راه دور اجازه می دهد تا از نیازمندیهای محرمانگی، یکپارچگی، قابلیت دسترسی و سایر ویژگی های امنیتی مربوطه اطمینان حاصل نمایند.

آخرین نسخه/وضعیت: اولین نسخه این استاندارد در سال 2008 منتشر شد و در حال حاضر نسخه سال 2016 در 31 صفحه به عنوان آخرین نسخه معتبر محسوب می شود. همچنین یک اصلاحیه یک صفحه ای در سال 2018 برای این استاندارد ارائه گردید.

 

 استاندارد ISO/IEC TR 27015

فناوری اطلاعات – تکنیک های امنیتی –  راهنماهای مدیریت امنیت اطلاعات برای خدمات مالی

این گزارش فنی علاوه بر راهنمایی هایی که در خانواده ی استانداردهای ISO/IEC 27000 برای شروع، پیاده سازی، نگهداری و بهبود امنیت اطلاعات وجود دارد، مواردی خاص را برای سازمان های ارائه کننده خدمات مالی نظیر بانک ها معرفی می نماید..

این گزارش فنی یک مکمل تخصصی برای استانداردهای ISO/IEC 27001 و ISO/IEC 27002 برای استفاده سازمان های ارائه دهنده خدمات مالی برای حمایت از آنها در:

  • راه اندازی، پیاده سازی، نگهداری و بهبود سیستم مدیریت امنیت اطلاعات بر مبنای استاندارد ISO/IEC 27001 است.
  • طراحی و اجرای کنترل های تعریف شده در استاندارد ISO/IEC 27002 یا در این استاندارد بین المللی است.

آخرین نسخه/وضعیت: این گزارش فنی در اواخر سال 2012 منتشر شد و در حال حاضر منسوخ است. همچنین سازمان جهانی استاندارد بازنگری آن را در دستور کار ندارد.

  

استاندارد ISO/IEC 27017

فناوری اطلاعات – تکنیک های امنیتی – آیین نامه کار برای کنترل های امنیت اطلاعات بر مبنای استاندارد ISO/IEC 27002 یرای سرویس های ابری

استاندارد ISO/IEC 27017 دستورالعمل هایی را برای کنترل های کاربردپذیر امنیت اطلاعات جهت ارائه و استفاده سرویس های ابری فراهم می نماید که عبارتند از:

  • دستورالعمل اجرایی اضافی برای کنترل های مربوطه که در استاندارد ISO/IEC 27002 مشخص شده است.
  • کنترل های اضافی با راهنمایی پیاده سازی که به طور خاص مربوط به سرویس های ابری است.

این استاندارد بین المللی، کنترل و دستورالعمل اجرایی را برای هر دو طرف ارائه دهندگان خدمات ابری و مشتریان خدمات ابری فراهم می کند.

آخرین نسخه/وضعیت: اولین نسخه این استاندارد در سال 2015 در 30 صفحه منتشر شد و در حال حاضر این نسخه معتبر است.

 

 استاندارد ISO/IEC 27018

فناوری اطلاعات – تکنیک های امنیتی –  آیین نامه کار برای محافظت از اطلاعات قابل شناسایی شخصی (PII-Personally Identifiable Information) در ابرهای عمومی که به عنوان پردازنده های PII عمل می کنند.

استاندارد ISO/IEC 27018 اهداف کنترلی پذیرفته شده، کنترل ها و راهنمایی هایی را جهت پیاده سازی مقیاس هایی برای حفاظت از اطلاعات شخصي قابل شناسايي (PII) مطابق با اصول حفظ حريم خصوصي در استاندارد ISO/IEC 29100 براي محيط محاسبات ابری عمومي فراهم مي كند.

این استاندارد بین المللی برای سازمان ها، از جمله شرکت های دولتی و خصوصی، موسسات دولتی و سازمان های غیرانتفاعی، که خدمات پردازش اطلاعات را به عنوان پردازنده های PII از طریق رایانه های ابر تحت قرارداد به سایر سازمان ها ارائه می دهند، قابل اجرا است. دستورالعمل های این استاندارد بین المللی نیز ممکن است مربوط به سازمان هایی باشند که به عنوان کنترل کننده های PII عمل می کنند؛ با این وجود، کنترل کننده های PII ممکن است قوانین، مقررات و وظایف حفاظت از PII را تحت پوشش قرار دهند، که به پردازنده های PII اعمال نمی شوند، و در این استاندارد بین المللی پوشش داده نمی شوند.

آخرین نسخه/وضعیت: اولین نسخه این استاندارد در سال 2014 در 23 صفحه منتشر شد و در حال حاضر نسخه سال 2019 این استاندارد در 23 صفحه معتبر است.

 

استاندارد ISO/IEC TR 27019

فناوری اطلاعات – تکنیک های امنیتیراهنماهای مدیریت امنیت اطلاعات بر مبنای استاندارد ISO/IEC 27002 برای سیستم های کنترل فرایند خاص مربوط به صنعت انرژی

استاندارد ISO/IEC TR 27019 دستورالعمل هایی را برای کنترل های امنیت اطلاعات در سیستم های کنترل فرآیند مورد استفاده توسط صنعت انرژی برای کنترل و نظارت بر تولید، انتقال، ذخیره و توزیع برق، گاز و گرما در کنار کنترل فرآیندهای پشتیبانی، که شامل سیستم ها، برنامه ها و اجزای مختلف می باشند، ارائه می نماید.

علاوه بر اهداف امنیتی و اقداماتی که در استاندارد ISO/IEC 27002 مطرح شده است، این گزارش فنی، دستورالعمل هایی را برای سیستم های مورد استفاده توسط تامین کنندگان انرژی در کنترل های امنیت اطلاعات ارائه می دهد.

آخرین نسخه/وضعیت: اولین نسخه این استاندارد در سال 2013 در 37 صفحه منتشر شد و در حال حاضر این نسخه معتبر است. البته این استاندارد در دست بازنگری بوده و به زودی نسخه جدید آن منتشر خواهد شد.

 

استاندارد ISO 27799

فناوری اطلاعات – تکنیک های امنیتیبهداشت و درمان - مدیریت امنیت اطلاعات در صنعت سلامت با استفاده از استاندارد ISO/IEC 27002

این استاندارد بین المللی دستورالعمل هایی را برای اجرای مدیریت امنیت اطلاعات در سازمان های درمانی و بهداشتی فراهم می کند.

استاندارد ISO 27799 کنترل های امنیتی مورد نیاز در سازمان های بهداشتی درمانی را با اقتباس از دستورالعمل استاندارد ISO/IEC 27002 منحصر به بخش صنعت خود فراهم می کند.

آخرین نسخه/وضعیت: اولین نسخه این استاندارد در سال 2008 منتشر شد و در حال حاضر نسخه سال 2016 در 99 صفحه به عنوان آخرین نسخه معتبر محسوب می شود.

سایر استانداردهای خانواده 27000

با توجه به تعدد استانداردهای این خانواده در این قسمت تنها به ذکر شماره و عنوان سایر استانداردها اکتفا می شود.

ISO/IEC 27021 [در حال تدوین]

فناوری اطلاعات – تکنیک های امنیتی – الزامات شایستگی برای متخصصین سیستم های مدیریت امنیت اطلاعات

 

ISO/IEC TR 27023:2015

فناوری اطلاعات – تکنیک های امنیتی – نگاشت نسخه های بازنگری شده استانداردهای ISO/IEC 27001 و ISO/IEC 27002

 

ISO/IEC 27031:2011

فناوری اطلاعات – تکنیک های امنیتی – راهنماهایی برای آمادگی فناوری اطلاعات و ارتباطات برای تداوم کسب و کار

 

ISO/IEC 27032:2012

فناوری اطلاعات – تکنیک های امنیتی – راهنماهایی برای امنیت سایبری

 

ISO/IEC 27033 [در قالب 6 قسمت]

فناوری اطلاعات – تکنیک های امنیتی – امنیت شبکه

 

ISO/IEC 27034  [در قالب 8 قسمت]

فناوری اطلاعات – تکنیک های امنیتی – امنیت نرم افزار

 

ISO/IEC 27035 [در قالب 2 قسمت]

فناوری اطلاعات – تکنیک های امنیتی – مدیریت حوادث امنیت اطلاعات

 

ISO/IEC 27036 [در قالب 4 قسمت]

فناوری اطلاعات – تکنیک های امنیتی – امنیت اطلاعات برای ارتباط با تامین کنندگان

 

ISO/IEC 27037:2012

فناوری اطلاعات – تکنیک های امنیتی – راهنماهایی برای شناسایی، جمع آوری، کسب و نگهداری شواهد دیجیتال

 

ISO/IEC 27038:2014

فناوری اطلاعات – تکنیک های امنیتی – مشخصات اصلاح دیجیتال

 

ISO/IEC 27039:2015

فناوری اطلاعات – تکنیک های امنیتی – انتخاب، ایجاد و اجرای سیستم های تشخیص و جلوگیری از نفوذ

 

ISO/IEC 27040:2015

فناوری اطلاعات – تکنیک های امنیتی – امنیت ذخیره سازی

 

 ISO/IEC 27041:2015

فناوری اطلاعات – تکنیک های امنیتی – راهنمایی در خصوص تناسب و کفایت متد پیگیری حوادث

 

ISO/IEC 27042:2015

فناوری اطلاعات – تکنیک های امنیتی – راهنمایی در خصوص تحلیل و ترجمان شواهد دیجیتال

 

ISO/IEC 27043:2015

فناوری اطلاعات – تکنیک های امنیتی – فرآیندها و اصول پیگیری حوادث

 

ISO/IEC 27050  [در قالب 3 قسمت]

فناوری اطلاعات – تکنیک های امنیتی – اکتشاف الکترونیک

 

ISO/IEC PDTR 27103 [در حال تدوین]

فناوری اطلاعات – تکنیک های امنیتی – امنیت سایبری و استانداردهای ISO وIEC

 

نظرات کاربران

امیر خوانی

چهارشنبه ، ۰۳ آبان ماه ۹۶

با تشکر از مقاله ارائه شده. از مجموعه استانداردهای این خانواده کدام استانداردها قابلیت اخذ گواهی را دارند؟

میلاد یداللهی

چهارشنبه ، ۰۳ آبان ماه ۹۶

همان طور که بیان شد، دسته دوم استانداردهای این خانواده به "استانداردهای مربوط به تبیین الزامات – اعطای گواهینامه" اختصاص دارد که شامل 3 استاندارد ذیل است:

استاندارد ISO/IEC 27001

استاندارد ISO/IEC 27006

استاندارد ISO/IEC 27009