کاربرد استاندارد ISO 27001 در صنایع

مردم، اغلب استاندارد ISO 27001 را به‌عنوان استاندارد اختصاصی فناوری اطلاعات اشتباه می‌گیرند؛ استانداردی که فقط در صنعت فناوری اطلاعات قابل اعمال است. البته ایشان تا اندازه‌ای صحیح فکر می‌کنند.
با فرض مزایای استاندارد ISO 27001 در کسب و کارها، بسیاری از شرکت‌های فناوری خدمات شبکه اطلاعات تلاش می‌کنند تا این استاندارد را دریافت نمایند.

با این وجود، آنچه که گفته شد فقط بخشی از حقیقت ماجراست. اغلب شرکت‌هایی که کاندیدهایی نه چندان مناسب برای استاندارد ISO 27001 به نظر می‌رسند نیز اقدام به پیاده‌سازی آن می‌نمایند؛ برای مثال، شرکت‌های دارویی، سازمان‌های بهداشت و درمان، ارگان‌های دولتی و غیره.

استاندارد ISO 27001 در واقع هدف حفاظت از اطلاعات و نه فناوری اطلاعات را دنبال می‌کند.
چرا بسیاری از شرکت‌های غیر فناوری اطلاعات به استاندارد ISO 27001 علاقه نشان داده‌اند؟ در بیشتر موارد، شرکت‌ها از قبل، کلیه فناوری‌های لازم مانند فایروال‌ها، آنتی‌ویروس‌ها، نسخه‌های پشتیبان و غیره را پیاده‌سازی کرده‌اند.
با این وجود، آنها هنوز شاهد موارد نفوذ و سوء استفاده از داده‌های خویش هستند؛ زیرا این فناوری‌ها شرط کافی برای حل مسئله نیستند. از طرفی، کارمندان نمی‌دانند که چگونه باید از این فناوری‌ها به شیوه‌ای امن استفاده کنند.
به‌علاوه، عملکرد فناوری در ارتباط با جلوگیری از حملاتی که از داخل سازمان منشاء گرفته‌اند، بسیار محدود است. از اینرو، مسلما رویکردی دیگر باید مدنظر قرار گیرد.

در اینجاست که استاندارد ISO 27001 وارد عمل می‌گردد: این استاندارد راهکاری را به شرکت‌ها ارائه می‌کند که بر پایه نصب شبکه آن کشف رویدادهای بالقوه (یعنی ریسک‌ها) و سپس، تعریف دستورالعمل‌هایی برای نحوه تغییر رفتار کارمندی با هدف پیشگیری از وقوع چنین رویدادهایی ممکن می‌گردد.

از این نقطه‌نظر، هر سازمانی که دارای اطلاعات حساس است و بدون توجه به این‌که یک نهاد انتفاعی یا غیر انتفاعی، کسب و کار کوچک یا شرکت بزرگ، دولتی یا خصوصی است، می‌تواند از مزایای پیاده‌سازی استاندارد ISO 27001 سود ببرد.

کدام صنایع معمولا این استاندارد را پیاده‌سازی می‌کنند؟
شرکت‌های فناوری اطلاعات
شرکت‌های توسعه نرم‌افزار، شرکت‌های ارائه‌کننده خدمات ابر و شرکت‌های پشتیبانی فناوری اطلاعات فقط تعدادی از شرکت‌هایی را تشکیل می‌دهند که استاندارد ISO 27001 را پیاده‌سازی می‌نمایند. در کل،
این نهادها استاندارد ISO 27001 را با این هدف پیاده‌سازی می‌نمایند تا به مشتریان جدید اثبات نمایند که گواهینامه پشتیبانی شبکه لازم را برای تضمین توانایی خود در حفاظت از اطلاعات ایشان به بهترین شیوه ممکن در اختیار دارند. ب
رخی از شرکت‌های فناوری اطلاعات، استاندارد ISO 27001 را با هدف برآوردن الزامات امنیتی مندرج قرارداد با مشتریان اصلی خویش یا توافقنامه‌های سطح خدمات (SLA) پیاده‌سازی می‌نمایند. در برخی موارد، شرکت‌هایی
که نرخ رشد سریعی را تجربه کرده این استاندارد را به‌عنوان شیوه‌ای برای حل مسائل موجود در عملیات خویش پیاده‌سازی می‌کنند. زیرا بر پایه استاندارد ISO 27001، شرکت‌ها ملزم خواهند بود تا افراد مسئول، مسئولیت‌ها و
اقداماتی که باید در فرآیندهای مهم اتخاذ گردند را تعریف نمایند؛ مسئله‌ای که اغلب در شرکت‌هایی که نرخ رشد بسیار سریع را تجربه کرده تعریف نشده باقی می‌ماند.

موسسات مالی
بانک‌ها، شرکت‌های بیمه، شرکت‌های کارگزاری و سایر موسسات مالی، عموما استاندارد ISO 27001 را با هدف رعایت قوانین و مقررات اجباری پیاده‌سازی می‌نمایند. مقررات حفاظت از داده‌ها، سخت‌گیرانه‌ترین الزام در صنعت امور
مالی است و خوشبختانه قانون‌گذاران، این مقررات را اصولا بر اساس استاندارد ISO 27001 پایه‌ریزی کرده‌اند. به عبارت دیگر، استاندارد ISO 27001 متدولوژی کاملی برای رعایت و انطباق با قوانین و مقررات حاکم در صنعت است، که ارائه چنین پروژه‌ای را به مدیران اجرایی بسیار ساده‌تر می‌سازد.

«هزینه» دومین دلیل زیربنایی است که چرا سازمان‌های گوناگون استاندارد ISO 27001 را پیاده‌سازی می‌نمایند. در واقع، شرکت‌ها پسیو شبکه تلاش می‌نمایند تا از وقوع رویدادهای امنیت اطلاعات پیشگیری نمایند که البته بسیار ارزان‌تر از برطرف
ساختن پیامدهای آنها خواهد بود. این رویکرد در صنعت امور مالی تبدیل به روندی رایج گردیده است. در صنعت امور مالی، مدیریت ریسک با پیشرفته‌ترین ابزار ممکن حرف اول می‌زند.

مخابرات و ارتباطات
شرکت‌های مخابرات و ارتباطات‌ (شامل ارائه‌دهندگان خدمات اینترنت) تمام تلاش خویش را می‌نمایند تا از حجم انبوه داده‌هایی که مدیریت کرده حفاظت نمایند و تعداد موارد قطع اتصال را کاهش دهند؛ از اینرو، طبیعتا آنها استاندارد ISO 27001
را به عنوان چارچوبی برای تسهیل برآوردن اهداف فوق پیاده‌سازی می‌نمایند. به‌علاوه همانطور که در ارتباط با موسسات مالی اشاره شد، هم اکنون صنعت مخابرات و ارتباطات، شاهد وضع قوانین و مقررات سخت‌گیرانه‌تر است و لذا پیاده‌سازی
استاندارد ISO 27001 می‌تواند ابزاری سودمند در این راستا باشد.

ارگان‌های دولتی
ارگان‌های دولتی، اطلاعات و داده‌های بسیار حساسی را مدیریت می‌نمایند؛ برای مثال، این داده‌ها در برخی ارگان‌ها محرمانه تلقی می‌گردند. البته در کلیه ارگان‌ها، حفاظت و حفظ یکپارچگی و دسترس‌پذیری داده‌ها از اهمیت فوق‌العاده‌ای
برخوردار هستند. این حقیقت که استاندارد ISO 27001 با هدف برآوردن سه مفهوم (مثلث معروف C-I-A) طراحی شده است، این استاندارد را تبدیل به متدولوژی کاملی برای کاهش تعداد رویدادهای امنیت اطلاعات به حداقل می‌سازد.

و درحالی‌که ISO 27001 به‌عنوان استاندارد بین‌المللی توسط ارگان‌های استانداردسازی میکروتیک در کشورها به رسمیت شناخته شده است، لذا این استاندارد چارچوبی کامل با تایید رسمی دولتی محسوب می‌گردد.

و هر سازمان دیگر با اطلاعات حساس...
تعداد سازمان‌هایی که می‌توانند از مزایای پیاده‌سازی استاندارد ISO 27001 سود ببرند، بیشمار هستند؛ برای مثال، سازمان‌های بهداشت و درمان که قصد دارند تا از اطلاعات بیماران خویش محافظت نمایند، شرکت‌های دارویی که می‌خواهند
از اطلاعات بخش تحقیق و توسعه و همچنین، اطلاعات فرمول‌های دارویی خود حفاظت کنند، شرکت‌های مواد غذایی که تلاش می‌نمایند از دستورپخت‌های ویژه خود حفاظت نمایند، شرکت‌های تولیدی که می‌خواهند از دانش فنی تولید قطعات خویش محافظت کنند.
اساسا، هر شرکتی با اطلاعات حساس، استاندارد ISO 27001 را سودمند می‌دانند.
و در آخر ...
به جای این‌که استاندارد ISO 27001 یک پروژه فناوری اطلاعات محض تلقی گردد، این استاندارد را باید به‌عنوان ابزاری برای دست‌یافتن به مزایای تجاری فوق مدنظر قرار داد. در این صورت، شما خواهید
دید که دامنه‌ پوشش آن وسیع‌تری از چیزی است که تاکنون تصور می‌شد و می‌تواند شما را به طرق گوناگون که تاکنون انتظار آنها را نداشتید یاری کند