حفاظت قوی تر از اطلاعات با به روز رسانی استاندارد ایزو ۲۷۰۰۸
حفاظت قوی تر از اطلاعات با به روز رسانی اخیر ISO یعنی ایزو ۲۷۰۰۸ در زمینه ی استانداردهای حاکم بر ارزیابی کنترل های امنیتی اطلاعات ایجاد شده است.
حملات نرم افزاری، سرقت مالکیت معنوی و خرابکاری فقط بعضی از خطرات امنیت اطلاعاتی هستند که سازمان ها با آن مواجه می شوند. در نظر داشته باشید که عواقب چنین حملاتی می تواند بسیار بزرگ تر از وقوع اولیه ی آن ها باشد. اکثر سازمان ها برای حفاظت از داده ها و اطلاعات خود سیستم های کنترلی به خصوصی دارند، اما چگونه می توانیم اطمینان حاصل کنیم که این کنترل ها کافی هستند؟ دستورالعمل های مرجع بین المللی از جمله استانداردهای ایزو در این حوزه برای ارزیابی کنترل های امنیتی اطلاعات به روز شده و به حرفه ای تر شدن آن ها کمک می کنند.
برای هر سازمان، اطلاعات یکی از ارزشمندترین دارایی ها و نقض داده ها می تواند به شدت از نظر کسب و کار به ضرردهی سنگین منجر شود، همین طور تمیز کردن آثار حملات سایبری بسیار هزینه بردار می گردد. بنابراین، کنترل در محل باید به اندازه کافی دقیق به منظور محافظت در سطح بالا بوده، و به طور منظم با سیر امکان حملات سایبری به روز رسانی شود. به این معنا که نباید توقع داشته باشیم فرمول های حفاظتی ۱۰ سال قبل، امروز در مقابل ریسک حملات سایبری دوام بیاورد.
استاندارد ایزو ۲۷۰۰۸
استاندارد ایزو ۲۷۰۰۸ توسط ایزو و کمیسیون بین المللی الکتروشویی (IEC)، ISO / IEC TS ۲۷۰۰۸ طراحی شده است. این استاندارد فن آوری اطلاعات – تکنیک های امنیتی – دستورالعمل های ارزیابی کنترل های امنیتی اطلاعات را ارائه می دهد. همین طور چیزی که در دستور العمل این ایزو نهفته است؛ ارائه راهنمایی در مورد ارزیابی کنترل ها در محل برای اطمینان از آنها مناسب برای هدف، موثر و کارآمد و مطابق با اهداف شرکت است.
مشخصات فنی (TS) به تازگی به روز شده است با نسخه های جدید دیگر استانداردهای تکمیلی در مدیریت امنیت اطلاعات، یعنی ISO / IEC ۲۷۰۰۰ مرور و واژگان، ISO / IEC ۲۷۰۰۱ الزامات و ISO / IEC ۲۷۰۰۲ کد تمرین برای کنترل های امنیتی اطلاعات، همخوانی و سازگاری دارد.
پروفسور ادوارد هافریز، رهبر گروه کاری که استاندارد را توسعه داد، گفته است: ISO / IEC TS ۲۷۰۰۸ به سازمان ها کمک می کند تا ارزیابی و بررسی کنترل های فعلی خود را که از طریق اجرای ISO / IEC ۲۷۰۰۱ مدیریت می شوند، بررسی کنند.
“در یک جهان که حملات سایبری نه تنها مکرر است، بلکه به طور فزاینده ای رخ می دهد؛ برای شناسایی و جلوگیری از آن، ارزیابی و بازنگری کنترل های امنیتی به طور منظم ضروری می نماید. این فرایند باید در شمار ساختارهای ضروری و غیرقابل چشم پوشی هر سازمان جای بگیرد”
ISO / IEC TS ۲۷۰۰۸ “می تواند به سازمان ها اطمینان بخشد که کنترل آن ها موثر و مناسب برای کاهش خطرات اطلاعاتی است که سازمان می تواند با آن مواجه شود.”
ISO / IEC TS ۲۷۰۰۸ برای سازمان هایی از انواع و اندازه ها، به صورت عمومی، خصوصی، سودآور مستقیم یا غیره تعریف شده است و مکمل سیستم مدیریت امنیت اطلاعات تعریف شده در ISO / IEC ۲۷۰۰۱ می باشد.
