کتاب کنترل‌های ایزو 27001: سیستم مدیریت امنیت اطلاعات، راهنمای پیاده سازی و حسابرسی

معرفی کتاب کنترل‌های ایزو 27001: سیستم مدیریت امنیت اطلاعات، راهنمای پیاده سازی و حسابرسی

برای پیاده‌سازی چارچوب‌های مدیریت اطلاعات باید بر اساس متن استاندارد ایزو 27001 پیش بروید. کتاب کنترل‌های ایزو 27001، متن این استاندارد و شیوه‌های پیاده‌سازی آن را تشریح داده است. بریجیت کنیون، با تکیه بر سال‌ها تجربه در حوزه‌ی امنیت اطلاعات، استانداردهای لازم را با زبانی ساده و توضیحاتی کاربردی مطرح کرده است. شیوه‌های طبقه‌بندی اطلاعات، مدیریت هویت، حقوق مالکیت فکری و امنیت شبکه، از مفاهیم مهمی است که در این کتاب ایزو 27001 قرار دارد.

درباره‌ی کتاب کنترل‌های ایزو 27001

اجرای ضوابط بین‌المللی مدیریت اطلاعات، نیازمند راهنمایی جامع است. این راهنما در کتاب کنترل‌های ایزو 27001 (ISO 27001 Controls: A Guide to Implementing and Auditing, Second edition) با توضیحات کامل مطرح شده است. بریجیت کنیون (Bridget Kenyon)، متخصص برجسته‌ی حوزه‌ی امنیت اطلاعات، تمامی کنترل‌های استاندارد ایزو 27001 را به همراه شیوه‌ی پیاده‌سازی آن‌ها با روشی گام‌به‌گام آموزش داده است.

استانداردهای ایزو، بین‌المللی و به‌روز هستند. در نتیجه کتاب کنترلهای ایزو 27001، بر اساس جدیدترین معیارهای این استاندارد نگاشته شده تا با اطمینان از به‌روز بودنِ محتوا، استانداردهای مطرح شده را در سازمان خود به کار بندید. ضوابط اجرایی و استانداردها با هدف طراحی پیاده‌سازی یا نگهداری سیستم مدیریت امنیت اطلاعات مطرح شده‌اند. این ویژگی به شما کمک می‌کند تا در کنار پیاده‌سازی، با شیوه‌های حسابرسی و ارزیابی‌های داخلیِ ایزو 27001 آشنا شوید.

آموزش گام‌به‌گام کنترل‌های ایزو 27001 به روایت بریجیت کنیون

استاندارد بین‌المللی امنیت اطلاعات در 2 بخش اصلی طبقه شده است. این دو بخش در قالب الزامات فرایند‌ها و فهرستی از کنترل‌های سیستم مدیریت اطلاعات با جزئیات کامل توضیح داده شده است. منظور از الزامات فرایند در کتاب کنترل‌های ایزو 27001، نحوه‌ی ایجاد و نگهداریِ سازوکار مدیریت امنیت اطلاعات است. سازمان‌های درخواست‌دهنده‌ی گواهینامه‌ی ایزو 27001، باید تمامی الزامات مطرح شده را رعایت نمایند.

در کنار الزامات که رعایت آن‌ها برای دریافت ایزو 27001‌ ضروری است، اجباری به انجام کنترل‌های مطرح شده در این کتاب ایزو 27001 وجود ندارد. فهرست این کنترل‌ها با هدف ایجاد برنامه‌ی مقابله با ریسک مطرح شده است. با فراگیری این اطلاعات، می‌توانید بر اساس فعالیت، اندازه و سطحِ ریسکِ سازمان خود، کنترل‌های مناسب را اعمال نمایید.

حسابرسی ایزو 27001 از تئوری تا عمل

بریجیت کنیون، آموزه‌ها را با هدف آموزشِ تدوین سیاست‌های امنیت اطلاعات و پیاده‌سازی آن‌ها نگاشته شده است. بر اساس این آموزش‌ها، سیاست‌های سازمانی باید ساده و مختصر باشند. برای تدوین راحت‌تر این سیاست‌ها، فرم‌های بررسی سیاست‌های سازمانی در کتاب کنترل‌های ایزو 27001 قرار دارد. تکمیل این فرم‌ها، مسیر را برای تشخیص نقطه‌های قوت و ضعف سیاست‌های سازمانیِ موجود همواره می‌سازد تا این سیاست‌ها با الزامات استاندارد ایزو 27001 هماهنگ شود.

حسابرسی، مفهوم مهمی در کتاب کنترل‌های ایزو 27001 است. مطالعه‌ی این مفهوم، تعریفی قابل درک از امنیت اطلاعات، دامنه‌ی کلی و اهداف آن پیش روی شما قرار می‌دهد و شما را با نحوه‌ی برخورد با عدم تطبیق‌ها و استثناها آشنا می‌کند. برای تکمیل این مفاهیم، آموزه‌های کاملی درباره‌ی نقش‌ها و مسئولیت‌های امنیت اطلاعات مطرح شده است.

با مطالعه‌ی این راهنمای جامع، نه‌تنها در جریان سرفصل‌های دوره‌ی ایزو 27001 قرار می‌گیرید، بلکه شیوه‌ی پیاده‌سازی گام‌به‌‌گام و ممیزی هر کدام از کنترل‌های استاندارد مدیریت امنیت اطلاعات را فرا می‌گیرد. پس، اگر می‌خواهید سازمان خود را برای اخذ گواهینامه‌ی ایزو 27001 آماده کنید، خرید کتاب کنترل‌های ایزو 27001، بهترین سرمایه‌گذاری برای شما است.

با دانلود کتاب کنترل‌های ایزو 27001 و مطالعه‌ی سرفصل‌های آن، دیگر نگران پیچیدگی‌های کنترل‌ها، فرم‌ها و شیوه‌های حسابرسی در حوزه‌ی امنیت اطلاعاتِ سازمانی نخواهید بود. انتشارات اشجع، با چاپ این کتاب مرجعی علمی و به‌روز در اختیار متخصصان و مدیران حوزه‌ی امنیت اطلاعات قرار داده تا مسیر پیاده‌سازی استاندارد ایزو 27001 را هموارتر سازد. سید نعمت اله حسینی اصیل و امیر علیپور، ترجمه‌ای مطابق با استاندارد ISO 27001 انجام داده‌اند.

کتاب کنترل‌های ایزو 27001 برای شما مناسب است اگر

• مدیر امنیت اطلاعات هستید و می‌خواهید مرجعی جامع برای پیاده‌سازی استاندارد ایزو 27001 در اختیار داشته باشید.
• سازمان شما قصد اخذ گواهینامه‌ی ایزو 27001 را دارد و باید با سرفصل‌های این دوره آشنا شوید.
• در حوزه‌های طراحی، پیاده‌سازی، نگهداری یا ممیزیِ سیستم‌های مدیریت امنیت اطلاعات فعالیت می‌کنید.

در بخشی از کتاب کنترل‌های ایزو 27001: سیستم مدیریت امنیت اطلاعات، راهنمای پیاده سازی و حسابرسی می‌خوانیم

کنترل دقیق «اطلاعات قابل شناسایی شخصی» برای رعایت قوانین و مقررات قابل اجرا که ممکن است اعمال شود، ضروری است. بسیاری از کشورها، به‌عنوان‌مثال در اروپا، دارای قوانین توسعه‌یافته خوبی در حفاظت از داده‌ها هستند. این قوانین همچنین ممکن است سازمان را ملزم به ثبت استفاده از «اطلاعات قابل شناسایی شخصی» کند.

حسابرس باید تأیید کند که سازمان می‌داند «اطلاعات قابل شناسایی شخصی» را که اداره می‌کند در کجا قرار دارد، کلیه الزامات قانونی یا نظارتی مرتبط را شناسایی کرده است و سیاست‌ها، رویه‌ها و کنترل‌هایی را برای رعایت آن‌ها اجرا کرده است. حسابرس همچنین باید به نوع داده‌های نگهداری شده نگاه کند. آیا ضروری است؟ آیا اعتبارسنجی شده است؟ آیا منتقل یا به روش دیگری خارج از سازمان منتقل می‌شود؟ چه کسی به این داده‌ها دسترسی دارد و آیا برای عملکرد شغلی آن‌ها ضروری است؟ نمونه‌ای از نقش‌های که به «اطلاعات قابل شناسایی شخصی» رسیدگی می‌کنند، باید مصاحبه شوند تا اطمینان حاصل شود که آن‌ها آموزش‌های اضافی داشته‌اند و از مسئولیت‌های خود و هرگونه کنترل خاص که باید بر «اطلاعات قابل شناسایی شخصی» اعمال شود، به‌وضوح آگاه هستند.

حسابرس باید بررسی کند که سازمان تغییرات در الزامات در این حوزه را نظارت می‌کند. محدودیت‌های جدید و سخت‌گیرانه‌تر می‌توانند با دوره‌های مشخصی برای تطبیق معرفی شوند. آیا آگاهی کافی در سازمان وجود دارد؟ آیا برنامه‌هایی برای معرفی تطبیق در بازه زمانی وجود دارد؟ حسابرسان باید اطمینان حاصل کنند که خودشان نیز کاملاً با این حوزه از قوانین به‌روز هستند.

فهرست مطالب کتاب

پیشگفتار
فصل اول: دامنه این راهنما
فصل دوم: زمینه کاربرد
کاربرد
تطبیق
فصل سوم: برآوردن الزامات ایزو 27001
فصل چهارم: استفاده از ویژگی‌های کنترل
فصل پنجم: کنترل‌های سازمانی (ایزو 27001، پیوست الف.5)
سیاست‌هایی برای امنیت اطلاعات (ایزو 27001، پیوست الف.1-5)
نقش‌ها و مسئولیت‌های امنیت اطلاعات (ایزو 27001، الف.2-5)
تفکیک وظایف (ایزو 27001، الف.3-5)
مسئولیت‌های مدیریت (ایزو 27001، الف.4-5)
ارتباط با مقامات (ایزو 27001، الف.5-5)
تماس با گروه‌های ذی‌نفع ویژه (ایزو 27001، الف.6-5)
اطلاعات تهدید (ایزو 27001، الف.7-5)
امنیت اطلاعات در مدیریت پروژه (ایزو 27001، الف.8-5)
فهرست اطلاعات و سایر دارایی‌های مرتبط (ایزو 27001، الف.9-5)
استفاده قابل قبول از اطلاعات و سایر دارایی‌های مرتبط (ایزو 27001، الف.10-5)
بازگشت دارایی‌ها (ایزو 27001، الف 11-5)
طبقه‌بندی اطلاعات (ایزو 27001، الف.12-5)
برچسب‌گذاری اطلاعات (ایزو 27001، الف.13-5)
انتقال اطلاعات (ایزو 27001، الف.14-5)
کنترل دسترسی (ایزو 27001، الف.15-5)
مدیریت هویت (ایزو 27001، الف.16-5)
اطلاعات احراز هویت (ایزو 27001، الف.17-5)
حق دسترسی (ایزو 27001، الف 18-5)
امنیت اطلاعات در روابط با تامین‌کنندگان (ایزو 27001، الف.19-5)
رسیدگی به امنیت اطلاعات در توافقات با تامین‌کنندگان (ایزو 27001، الف 20-5)
مدیریت امنیت اطلاعات در زنجیره تامین فناوری اطلاعات و ارتباطات (ایزو 27001، الف 21-5)
پایش، بررسی و مدیریت تغییر خدمات تامین‌کنندگان (ایزو 27001، الف.22-5)
امنیت اطلاعات برای استفاده از خدمات ابری (ایزو 27001، الف.23-5)
برنامه‌ریزی و آمادگی مدیریت حادثه امنیت اطلاعات(ایزو 27001، الف.24-5)
ارزیابی و تصمیم‌گیری در مورد حوادث امنیت اطلاعات (ایزو 27001، الف.25-5)
پاسخ به حوادث امنیت اطلاعات (ایزو 27001، الف.26-5)
یادگیری از حوادث امنیت اطلاعات (ایزو 27001، الف.27-5)
جمع‌آوری شواهد (ایزو 27001، الف.28-5)
امنیت اطلاعات در طول اختلال (ایزو 27001، الف.29-5)
آمادگی فناوری اطلاعات و ارتباطات برای تداوم کسب‌وکار (ایزو 27001، الف.30-5)
الزامات قانونی، قانون موضوعی، نظارتی و قراردادی (ایزو 27001، الف.31-5)
حقوق مالکیت فکری (ایزو 27001، الف.32-5)
حفاظت از سوابق (ایزو 27001، الف.33-5)
حفظ حریم خصوصی و حفاظت از اطلاعات قابل شناسایی شخصی (ایزو 27001 الف.34-5)
بررسی استقلال امنیت اطلاعات (ایزو 27001، الف.35-5)
تطبیق با سیاست‌ها، قوانین و استانداردهای امنیت اطلاعات (ایزو 27001، الف.36-5)
رویه‌های عملیاتی مستند (ایزو 27001،الف.37-5)
فصل ششم:کنترل‌های افراد (ایزو 27001، پیوست الف.6)
غربالگری (ایزو 27001، الف.1-6)
شرایط و ضوابط استخدام (ایزو 27001، الف.2-6)
آگاهی، آموزش و مهارت امنیت اطلاعات (ایزو 27001، الف.6.3)
فرآیند انضباطی (ایزو 27001، الف.4-6)
مسئولیت‌ها پس از خاتمه یا تغییر شغل (ایزو 27001، الف.5-6)
توافق‌نامه محرمانگی یا عدم افشاء (ایزو 27001، الف.6-6)
کار از راه دور (ایزو 27001، الف.7-6)
گزارشگری رویدادهای امنیت اطلاعات (ایزو 27001، الف. 8-6)
فصل هفتم: کنترل فیزیکی
محیط‌های امنیتی فیزیکی (ایزو 27001، الف.1-7)
ورود فیزیکی (ایزو 27001، الف.2-7)
امنیت فیزیکی دفاتر، اتاق‌ها و امکانات (ایزو 27001، الف.3-7)
پایش (نظارت) فیزیکی امنیت (ایزو 27001، الف.4-7)
محافظت در برابر تهدیدات فیزیکی و محیطی (ایزو 27001، الف.5-7)
کار در مناطق ایمن (ایزو 27001، الف.6-7)
میز تمیز و صفحه نمایش خالی (ایزو 27001، الف.7-7)
مکان‌یابی و محافظت از تجهیزات (ایزو 27001، الف.8-7)
امنیت دارایی‌های خارج از محل (ایزو 27001، الف. 9-7)
رسانه‌های ذخیره سازی (ایزو 27001، الف.10-7)
ابزارهای پشتیبانی (ایزو 27001، الف.11-7)
امنیت کابل‌کشی (ایزو 27001، الف.12-7)
نگهداری تجهیزات (ایزو 27001، الف.13-7)
دفع یا استفاده مجدد ایمن از تجهیزات (ایزو 27001، الف.14-7)
فصل هشتم: کنترل‌های تکنولوژیکی
دستگاه‌های کاربران (ایزو 27001، الف.1-8)
حقوق دسترسی ممتاز (ایزو 27001، الف.2-8)
محدودیت دسترسی به اطلاعات (ایزو 27001، الف.3-8)
دسترسی به کد منبع (ایزو 27001، الف.4-8)
احراز هویت امن (ایزو 27001، الف. 5-8)
مدیریت ظرفیت (ایزو 27001، الف.6-8)
حفاظت در برابر بدافزارها (ایزو 27001، الف.7-8)
مدیریت آسیب‌پذیری‌های فنی (ایزو 27001، الف.8-8)
مدیریت پیکربندی (ایزو 27001، الف. 9-8)
حذف اطلاعات (ایزو 27001، الف.10-8)
پوشش‌دهی داده‌ها (ایزو 27001، الف.11-8)
پیشگیری از نشت داده (ایزو 27001، الف.12-8)
پشتیبان‌گیری از اطلاعات (ایزو 27001، الف.13-8)
افزونگی امکانات پردازش اطلاعات (ایزو 27001، الف. 14-8)
ثبت وقایع (ایزو 27001، الف.15-8)
فعالیت‌های نظارت (ایزو 27001، الف.16-8)
همگام‌سازی ساعت‌ها (ایزو 27001، الف.17-8)
استفاده از برنامه‌های کاربردی ممتاز (ایزو 27001، الف. 18-8)
نصب نرم‌افزار بر روی سیستم‌های عملیاتی (ایزو 27001، الف.19-8)
امنیت شبکه‌ها (ایزو 27001، الف.20-8)
امنیت خدمات شبکه (ایزو 27001، الف. 21-8)
جداسازی شبکه‌ها (ایزو 27001، الف، 22-8)
فیلترینگ وب (ایزو 27001، الف.23-8)
استفاده از رمزنگاری (ایزو 27001، الف.24-8)
چرخه حیات توسعه امن (ایزو 27001، الف.25-8)
الزامات امنیتی برنامه (ایزو 27001، الف.26-8)
اصول معماری و مهندسی امن سیستم‌ها (ایزو 27001، الف.27-8)
کدنویسی امن (ایزو 27001، الف. 28-8)
آزمایش امنیتی در توسعه و پذیرش (ایزو 27001، الف.29-8)
توسعه برون‌سپاری شده (ایزو 27001، الف.30-8)
جداسازی محیط‌های توسعه،آزمایش و تولید (ایزو 27001، الف.31-8)
مدیریت تغییر (ایزو 27001، الف. 32-8)
اطلاعات آزمایش (ایزو 27001، الف.33-8)
محافظت از سیستم‌های اطلاعاتی در طول آزمایش‌های حسابرسی (ایزو 27001، الف.34-8)