آيزو/آي إي سي 27001 هو معيار لأمن المعلومات، وهو جزء من عائلة معايير آيزو / آي إي سي 27000 ، والذي تم نشر الإصدار الأخير منه في عام 2013، مع القليل من التحديثات البسيطة منذ ذلك الحين. والذي تم نشره من قبل المنظمة الدولية للمعايير (ISO) واللجنة الكهرتقنية الدولية (IEC) في إطار اللجنة الفرعية المشتركة بين المنظمة الدولية للمعايير ISO ولجنة الكهرتقنية الدولية IEC ، ISO / IEC JTC 1 / SC 27.
تحدد آيزو/آي إي سي 27001 نظام إدارة يرمي إلى جعل أمن المعلومات تحت سيطرة الإدارة وإعطاءه متطلبات خاصة. قد يتم إعطاء شهادات معتمدة للمنظمات التي تفي بالمتطلبات من قبل جهة إصدار شهادات معتمدة بعد إتمام التدقيق بنجاح.
تمتلك معظم المنظمات عددًا من ضوابط أمن المعلومات. ومع ذلك، مع عدم وجود نظام لإدارة أمن المعلومات (ISMS)، يغلب على الضوابط إلى أن تكون غير منظمة وغير مترابطة إلى حد ما، حيث يتم تطبيقها في كثير من الأحيان كنقاط حلول لمواقف محددة أو ببساطة كمسألة اصطلاحية. عادة ما تعالج ضوابط الأمن في الجانب العملي نواحي معينة من تقنية المعلومات أو أمن البيانات على وجه التحديد؛ مما يترك أصول المعلومات غير المتعلقة بتقنية المعلومات (مثل الأوراق وحقوق الملكية الفكرية) على درجة أقل من الحماية على وجه العموم. علاوة على ذلك، قد تتم إدارة خطة استمرارية العمل والأمن المادي الفيزيائي بشكل مستقل تمامًا عن أمن تقنية المعلومات أو أمن المعلومات، في حين أن ممارسات الموارد البشرية قد لا تشير إلا إلى الحاجة إلى تحديد وتعيين أدوار ومسؤوليات أمن المعلومات في جميع أنحاء المنظمة.
يتطلب المعيار آيزو/آي إي سي 27001 من الإدارة:
يجب ملاحظة أن آيزو/آي إي سي 27001 مصمم لتغطية الجوانب الأمنية بشكل عام أكثر بكثير من مجرد أمن تقنية المعلومات والذي من الممكن أن يتمد إلى أمن المعلومات الورقية أو المكتوبة أو المنطوقة.
تعتمد عناصر التحكم التي سيتم اختبارها كجزء من الحصول على شهادة آيزو/آي إي سي 27001 على مدقق الشهادات. يمكن أن يشمل ذلك أي ضوابط تحكم تعتبرها المنظمة ضمن نطاق نظام إدارة أمن المعلومات ISMS ويمكن أن يذهب هذا الاختبار إلى أي عمق أو أي مدى بحسب تقييمه من قبل المدقق حسب الحاجة لاختبار أن الضابط الآمني قد تم تنفيذه وأنه يعمل بشكل فعال.
تقوم الإدارة العليات بتحديد نطاق نظام إدارة أمن المعلومات ISMS من أجل إصدار الشهادة ومن الممكن أن يتم أيضًا تقييدها وحصرها، على سبيل المثال حصرهى ضمن وحدة أعمال واحدة أو موقع واحد. لا تعني شهادة آيزو/آي إي سي 27001 بالضرورة أن ما تبقى من المنظمة، والواقع خارج النطاق المحدد، يمتلك نهج مناسب لإدارة أمن المعلومات.
توفر المعايير الأخرى ضمن عائلة المعايير آيزو/آي إي سي 27000 المزيد من الإرشادات حول نواحي معينة من تصميم وتنفيذ وتشغيل نظام إدارة أمن المعلومات ISMS، على سبيل المثال في إدارة مخاطر أمن المعلومات (آيزو/آي إي سي 27005).
قدم الإصدار في العام 2002 من النسخة BS 7799-2 حلقة خطط نفذ تحقق صحح (PDCA) للتوائم مع معايير الجودة مثل أيزو 9000. وقد طبق الإصدار 27001:2005 هذا على جميع العمليات في نظام إدارة أمن المعلومات ISMS.
تمت إزالة جميع الإشارات المرجعية إلى حلقة خطط نفذ تحقق صحح PDCA في أيزو/أي إي سي 27001: 2013. لم يعد استخدامه إلزاميًا في سياق أيزو / أي إي سي 27001 .
لقد تم نشر المعيار BS 7799 في الأصل من قبل المعهد البريطاني للمعايير BSI في عام 1995. وقد تمت كتابته من قبل وزارة التجارة والصناعة (DTI) في حكومة المملكة المتحدة، وقد كان مكون من عدة أجزاء.
الجزء الأول، والذي يتضمن أفضل الممارسات في إدارة أمن المعلومات، وقد جرى تنقيحه في العام 1998؛ بعد نقاش مطول بين هيئات المعايير العالمية، تم اعتماده في النهاية من قبل أيزو باسم أيزو / أي إي سي 17799، «تقنية المعلومات - قواعد الممارسة لإدارة أمن المعلومات.» في العام 2000. تمت مراجعة أيزو / أي إي سي 17799 في حزيران/يونيو 2005 وتم دمجها أخيرًا ضمن عائلة معايير أيزو 27000 مثل أيزو / أي إي سي 27002 في تموز/يوليو 2007.
تم نشر الجزء الثاني من BS7799 لأول مرة من قبل المعهد البريطاني للمعايير BSI في عام 1999، والمعروفة باسم الجزء الثاني من BS 7799، بعنوان «نظم إدارة أمن المعلومات - تعريف وإرشاد للاستخدام». ركز BS 7799-2 على كيفية تطبيق نظام إدارة أمن المعلومات (ISMS)، مع الإشارة إلى هيكلية إدارة أمن المعلومات والضوابط المعرفة في BS 7799-2. والذي أصبح فيما بعد أيزو / أي إي سي 27001: 2005. تم اعتماد الجزء الثاني من BS 7799 من قبل أيزو كـ أيزو / أي إي سي 27001 في تشرين الثاني/نوفمبر 2005.
تم نشر الجزء الثالث من المعيار BS 7799 في العام 2005، الذي يغطي تحليل وإدارة المخاطر. والذي ينسجم مع أيزو / أي إي سي 27001: 2005.
فيما يتعلق بالمعايير البريطانية BS فقد تم استخدام القليل منها أو الإشارة إليه ضمن معيار أمن المعلومات أيزو / أي إي سي 27001. ومع ذلك فهي تعتبر السلف الخاص عائلة المعيار أيزو / أي إي سي 27000.
قد يكون نظام إدارة أمن المعلومات ISMS متوافقة مع شهادة أيزو/ أي إي سي27001 من قبل عدد من هيئات الشهادات المعتمدة حول العالم. شهادة على أي من المتغيرات العامة المعترف بها في أيزو/ أي إي سي 27001 (على سبيل المثال جي أي إس كيو 27001، النسخة اليابانية) من قبل هيئة شهادات معتمدة مكافئة وظيفيًا للشهادة أيزو / أي إي سي 27001 نفسها.
تسمى الهيئات التي تتحقق من امتثال ومطابقة أنظمة الإدارة بالمعايير المعرفة، في بعض البلدان، «هيئات إصدار الشهادات»، بينما في بلدان أخرى يشار إليها باسم «هيئات التسجيل»، «هيئات التقييم والتسجيل»، «هيئات إصدار الشهادات / التسجيل»، وأحيانا «المسجلون».
تتضمن شهادة أيزو/ أي سي إي27001 ، مثل باقي شهادات نظام إدارة المنظمة الدولية للمعايير الأخرى، ثلاث مراحل من عمليات التدقيق الخارجية تحددها معايير أيزو / أي إي سي 17021 وأيزو / أي إي سي 27006:
يجب ملاحظة أن إصدار العام 2005 من معيار أيزو / أي إي سي 27001 قديم ولم يعد قيد الاستخدام حاليًا.
A.5 سياسة الأمن
6.A تنظيم أمن المعلومات
A.7 إدارة الأصول
A.8 الموارد البشرية
أ. الأمن المادي والبيئي المحيطة
أ.10 إدارة الاتصالات والعمليات
A.11 ضبط الوصول
12.A الاستحواذ على أنظمة المعلومات وتطويرها وصيانتها
A.13 إدارة حوادث أمن المعلومات
A.14 إدارة استمرارية الأعمال
A.15 الامتثال
الاسم الرسمي للمعيار هو «تقنية المعلومات - تقنيات الأمن - أنظمة إدارة أمن المعلومات - المتطلبات»
يحتوي أيزو/ أي إي سي27001: 2013 على عشرة بنود قصيرة، بالإضافة إلى ملحق طويل، والذي يغطي:
تطابق هذه الهيكلية معايير الإدارة الأخرى مثل أيزو 22301 (إدارة استمرارية الأعمال) وهذا يساعد المؤسسات على أن تون متوافقة مع العديد من معايير من أنظمة الإدارة إذا رغبت في ذلك. تم حذف الملحقين B و C من 27001: 2005.
يمتلك المعيار 2013 هيكلية مختلفة تمامًا عن المعيار 2005 الذي يحتوي على خمس فقرات. يركز المعيار 2013 على قياس وتقييم مدى جودة أداء نظام إدارة أمن المعلومات ISMS للمؤسسة، ويحتوي على قسم جديد خاص بالاستعانة بمصادر خارجية، وهو ما يعكس حقيقة أن العديد من المنظمات تعتمد على أطراف ثالثة لتوفير بعض جوانب تقنية المعلومات. إنه لا يؤكد على حلقة «خطط نفذ تحقق صحح» التي عمل بها 27001: 2005. يمكن تطبيق عمليات التحسين المستمر الأخرى مثل أسلوب حيود سداسي أو DMAIC. تم إيلاء المزيد من الاهتمام للسياق التنظيمي لأمن المعلومات، وقد تم تغيير تقييم المخاطر. بشكل عام، تم تصميم 27001: 2013 لتتلائم بشكل أفضل جنبًا إلى جنب مع معايير الإدارة الأخرى مثل أيزو 9000 وأيزو / أي إي سي 20000، ويكون لديها المزيد من القواسم المشتركة معهم.
ضوابط جديدة:
توصف الفقرة 6.1.3 كيف يمكن أن تقوم لمنظمة ما بالاستجابة للمخاطر من خلال خطة علاج المخاطر؛ جزء مهم من هذه الاستجابة هو اختيار الضوابط المناسبة. تغيير مهم للغاية حصل في أيزو/ أي إي سي 27001: 2013 هو أنه لا يوجد الآن أي ضرورة لاستخدام عناصر التحكم في الملحق «أ» لإدارة مخاطر أمن المعلومات. أكد الإصدار السابق («يجب») على أن الضوابط المحددة في تقييم المخاطر لإدارة المخاطر يجب أن تكون قد تم اختيارها من الملحق «أ». ولذلك فإن كل تقييم للمخاطر تقريبًا على الإطلاق تم استكماله وفقًا للنسخة القديمة من أيزو / أي إي سي 27001 المستخدمة في عناصر تحكم الملحق «أ» ولكن حاليًا فإن العديد من تقييمات المخاطر في الإصدار الجديد وبشكل متزايد لا تستخدم الملحق «أ» كمجموعة ضوابط. يمكّن هذا تقييم المخاطر من أن يكون أكثر بساطة وأكثر فائدة للمؤسسة ويساعد إلى حد كبير في إنشاء شعور بالمعنى الصحيح بامتلاك كل من المخاطر والضوابط. هذا هو السبب الرئيسي لهذا التغيير في الإصدار الجديد.
يوجد الآن 114 ضابط تحكم في 14 فقرة و35 تصنيف للضوابط؛ فيما كان المعيار 2005 يمتلك 133 ضابط تحكم ضمن 11 مجموعة.
تعكس الضوابط الجديدة والمحدثة التغييرات التي طرأت على تقنية المعلومات والتي لها تأثير على العديد من المؤسسات - على سبيل المثال الحوسبة السحابية - ولكن كما هو موضح أعلاه، من الممكن استخدام أيزو / أي إي سي 27001: 2013 والحصول على شهادة فيه وعدم استخدام أي من هذه الضوابط.
{{استشهاد ويب}}
: الوسيط |archivedate=
و|تاريخ أرشيف=
تكرر أكثر من مرة (مساعدة) والوسيط |archiveurl=
و|مسار أرشيف=
تكرر أكثر من مرة (مساعدة)
{{استشهاد ويب}}
: الوسيط |archivedate=
و|تاريخ أرشيف=
تكرر أكثر من مرة (مساعدة) والوسيط |archiveurl=
و|مسار أرشيف=
تكرر أكثر من مرة (مساعدة)