گواهینامه ISO 27001 چیست و چرا به آن نیاز داریم؟

30 بهمن 1398 گواهینامه ISO 27001 چیست و چرا به آن نیاز داریم؟

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ چند روز پیش بود که خبر کسب گواهینامه‌ی ISO 27001  توسط کسپرسکی را گزارش دادیم. اخیراً شرکت TÜV AUSTRIA تأیید کرده است که سیستم مدیریت امنیت اطلاعاتی که با استفاده از زیرساخت KSN[1] به کار می‌بریم با استاندارد ISO/IEC 27001:2013 (در تحویل فایل‌های مخرب و مشکوک) مطابقت دارد. TÜV همچنین ذخیره و دسترسی امن به این فایل‌ها در KLDFS[2] را نیز تصدیق نمود. حال که کمی از ماجرا خبردار شدید بد نیست در این خبر نیز کمی بیشتر در مورد خودِ این گواهی‌نامه و الزامِ داشتن آن بدانید. پس با ما همراه باشید.

ISO 27001 چیست؟

ISO 2700 یک استاندارد بین‌المللی است با الزاماتی برای ساخت، حفظ و توسعه‌ی سیستم‌های مدیریت امنیت اطلاعات. در اصل می‌شود گفت مجموعه‌ایست از بهترین روش‌های مدیریت امنیت برای حفاظت داده و نیز تضمین محافظت از اطلاعات‌ به مشتری. برای انجام صدور گواهینامه، یک نهاد مستقل (در این مورد منظور TÜV AUSTRIA است) اقدام به ارسال یک سری ممیزی می‌کند که هدفشان بررسی میزان انطباق فرآیندهای امنیت سایبری با بهترین راهکارهاست. در طی این ممیزی، آن‌ها در دپارتمان‌های مختلف (از جمله منابع انسانی، آی‌تی، توسعه و تحقیق و امنیت) این فرآیندها را مورد ارزیابی قرار داده و گزارشی جامع تهیه می‌کنند؛ گزارشی که سایر متخصصین مستقل سپس آن را تحلیل می‌کنند تا انصاف حسابرس‌ها تأیید گردد. در نهایت این سازمان مستقل، گواهی را صادر می‌کند. در مورد شرکت ما اینطور بود که گواهی شد سیستم مدیریت امنیت اطلاعات با بهترین روش‌ها مطابقت دارد.

چه چیزی «گواهی» می‌شود؟

مشتریان ما در درجه‌ی اول علاقه دارند بدانند آیا ما برای تحلیل دستی و اتوماتیکِ بیشتر (توسط متخصصین‌مان) بالاترین میزان ممکنِ امنیت را برای فرآیندهای ارسال فایل‌های مشکوک و مخرب ارائه می‌دهیم و اینکه آیا بعدش به طرز مطمئنی آن‌ها را ذخیره می‌کنیم یا نه. این بخش برای هر شرکتی که کارش ارائه‌ی آنتی‌ویروس است بخش مهم و حیاتی محسوب می‌شود. بنابراین، ما با استفاده از زیرساخت KSN و ذخیره امن آن‌ها در KLDFS گواهی مکانیزم‌های ارسال برای فایل‌های مخرب و مشکوک را دنبال نمودیم. با این حال، ممیزی فقط به این بخش محدود نمی‌شد. بسیاری از خدمات این شرکت نیز به طرز مشابهی ترتیب داده شده بود. عوامل بسیاری بر امنیت هر فرآیند تأثیر می‌گذارد و سیستم‌های مدیریت امنیت اطلاعات می‌توانند در تعریف این عوامل یاری رسانده و محافظت به موقعی ارائه دهند. خیلی از سوالات در حوزه مدیریت امنیت سایبری می‌تواند اصولی تلقی شود. چه کسی به سیستم‌های اطلاعاتی و اطلاعات مهم دسترسی دارد؟ فرآیند درخواست شغل‌شان چطور پیش رفته است؟ چطور کارمندان با داکیومنت‌ها و سیستم‌های اطلاعات کار می‌کنند؟ تیم امنیتی چطور از پسِ باطل کردن حقوق دسترسی بعد از اینکه کارمند از شرکت می‌رود برمی‌آید؟ کارمندان تا چه میزان می‌بایست نسبت به تهدیدهای سایبری و ابزار محافظتی برای مقابله با آن‌ها آگاه باشند؟ ادمین‌ها چطور با کامپیوترهایی که عملیات‌های حساس انجام می‌دهند کار می‌کنند؟

این سیستم محافظتی همچنین انواع جدیدی از تهدیدها و مقابله با آن‌ها را مد نظر قرار می‌دهد. بعنوان مثال محافظت در برابر حملات APT، مقابله با خطرات احتمالی استفاده از فناوری‌های جدید از جمله استفاده از الگوریتم‌های فناوری یادگیری ماشین. با این تفاسیر، ممیزی‌ها مستندات را مورد تحلیل و بررسی قرار دادند، با کارمندان دپارتمان‌های مختلف صحبت کردند و جوانب فنی و سازمانی حفاظت اطلاعاتی را بازبینی و موشکافی نمودند (از جمله فرآیندهای استخدام، اخراج و آموزش). آن‌ها بررسی کردند چطور سرویس آی‌تی، شبکه‌ی سازمانی را حفظ می‌کند. همچنین از مراکز اطلاعاتی ما نیز دیدن کردند. افزون بر این دیدند کارمندان چطور کار می‌کنند، چک کردند ببینند آیا داکیومنت پرینت‌شده‌ای جا گذاشته‌اند و یا نکند فایل رسانه‌ای‌ای در دفتر جامانده باشد. چک کردند ببینند کارمندان وقتی از پشت میزشان می‌روند آیا کامپیوتر خود را قفل می‌کنند یا نه و یا مانیتورها و داشبوردهایشان چه چیزی را نمایش می‌دهد. اینکه کارمندان به استفاده از چه نوع برنامه‌ای عادت کرده بودند نیز مورد بررسی قرار گرفت. به بیانی دیگر ممیزی‌ها در حقیقت کل عادات شرکت را موشکافی کردند و خصوصاً توجهشان به تأیید فرآیندهای سیستم مدیریت امنیت اطلاعات بود: تحلیل امنیت با مدیریت، مدیریت ریسک، مدیریت رخداد، اقدامات اصلاحی، ممیزی، اطمینان از آگاهی امنیت سایبری کارمندان و حفظ تداوم کسب و کار.

بعدش چه؟

اکنون، مشتریان مربوطه می‌توانند با این گواهی که بازتابی از نظرات متخصصین مستقل است خود را آشنا کنند. سوالات پیرامون گواهی ISO 2700 تقریباً مکرراً پرسیده می‌شود؛ خصوصاً وقتی یک شرکت سازمانی در حال انتخاب ارائه‌دهنده‌ی امنیت است؛ زیرا بیشتر خدمات معتبر را می‌توان در راهکارهای ما جست. اما کار به اینجا ختم نمی‌شود. ما هر سال یک بار تجدید اعتبار می‌کنیم و این یعنی ممیزی‌های بیشتر برای تصدیق مالکیت گواهی. افزون بر این، ممیزی‌ها سالانه بررسی‌ها را لحاظ نمی‌کنند.

 برای اطلاعات بیشتر در مورد این گواهی به وبسایت زیر مراجعه نمایید. 

https://www.kaspersky.com/about/iso-27001

 

[1] Kaspersky Security Network

[2] Kaspersky Lab Distributed File System

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    هنگام خرید آنلاین و یا انجام تراکنش‌های بانکی از طریق اینترنت، از اطلاعات حساب بانکی و پولتان مراقبت می‌کنیم. وقتی در فضای سایبری مشغول معاشرت هستید از هویت‌تان حراست می‌کنیم... وقتی در اینترنت ...

    7,557,600 ریال
    خرید
  • Kaspersky Internet Security for Android

    تلفن هوشمند و تبلت شما نیز به اندازه ی کامپیوترتان در برابر حمله های دیجیتالی آسیب پذیرند. به همین خاطر هنگام وب گردی یا استفاده از شبکه های اجتماعی، باید از آنها مراقبت کنید. ...

    2,517,600 ریال
    خرید
  • Kaspersky Total Security

    خانواده، نهادی ارزشمند است؛ پس بالاترین سطح امنیتی خود را به آن اختصاص داده‌ایم. توتال سکیوریتی کسپرسکی به خانواده‌ی شما کمک می‌کند: وقتی دارند در اینترنت گشت می‌زنند، خرید ...

    10,077,600 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    3,777,600 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    3,777,600 ریال
    خرید
  • Kaspersky Antivirus

    ایجاد فضای امن سایبری ابتدا با محافظت از دستگاه پی‌سی‌تان شروع می‌شود. از همین رو آنتی‌ویروس کسپرسکی دستگاه پی‌سی شما را در برابر ویروس‌ها، باج‌افزارها، عملیات‌های فیشینگ، جاسوس‌افزار، وبسایت‌ها ...

    5,037,600 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 25 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    9,072,000 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد