امروزه امنیت اطلاعات یکی از چالش های اصلی در عصر فناوری اطلاعات محسوب می شود و حفاظت از اطلاعات در برابر دسترسی غیرمجاز، تغییرات، خرابکاری و افشا، امری ضروری و اجتناب ناپذیر به شمار می رود. از اینرو، امنیت دارایی های اطلاعاتی،برای تمامی سازمان ها امری حیاتی بوده و مستلزم یک مدیریت تاثیر گذار می باشد .
این موضوع در سال های اخیر با بالا رفتن تهدیدات و حملات سایبری به سازمان ها و روند رو به گسترش آن مورد توجه جدی قرار گرفته است .
از سوی دیگر، در دو دهه اخیر با ایجاد نگرش استانداردی به امنیت اطلاعات، استانداردهای مفیدی در این حوزه تدوین شده است . استاندارد ISO/IEC 27001 که مهمترین و پرمراجعه ترین استاندارد در این خصوص است، زمینه مناسبی را برای طراحی و استقرار سیستم مدیریت امنیت اطلاعات و ارزیابی آن در سازمان ها و همچنین بهره گیری از منافع این رویکرد فراهم آورده است.
ISO (سازمان بین المللی استاندارد سازی) و IEC (کمیسیون بین المللی الکتروتکنیک) درکنار هم سیستم تخصصی استاندارد سازی جهانی را تشکیل می دهند. از اینرو آن دسته از موسسات بین المللی که از اعضای ISO یا IEC به شمار می روند، از طریق کمیته های فنی که توسط سازمان های ذی ربط تشکیل شده اند در تدوین استانداردهای بین المللی مشارکت نموده و فیلدهای خاص فعالیت های فنی را مورد بررسی قرار می دهند. کمیته های فنی در فیلدهایی که مورد علاقه طرفین می باشد با یکدیگر همکاری می نمایند. در این میان سایر سازمان های بین المللی ، سازمان های دولتی و غیر دولتی در کنار ISO و IEC در این گونه فعالیت ها شرکت می نمایند . IEC و ISO در زمینه فناوری اطلاعات ، یک کمیته فنی مشترک را تأسیس نموده اند که اصطلاحًا ISO/IEC JTC1 گفته می شود.
تهیه استانداردهای بین المللی از مهمترین وظیفه کمیته فنی مشترک به شمار می آید.پیش نویس استانداردهای بین المللی که توسط کمیته فنی مشترک برگزیده شده است،جهت رأی گیری به هیأت ها و مجامع ملی بخشنامه می شود. انتشار استاندارد به صورت استاندارد بین المللی مستلزم تایید از سوی حداقل ۷۵ % از آراء هیأت ها و سازمان های ملی می باشد.
ISO/IEC 27001:2013 توسط کمیته فرعی SC 27 فنون امنیتی فناوری اطلاعات، زیرمجموعه کمیته فنی مشترک ISO/IEC JTC1 فناوری اطلاعات، تهیه شده است. این ویرایش دوم، جایگزین و باطل کننده ویرایش اول ISO/IEC 27001:2005 است که از نظر فنی مورد بازنگری قرار گرفته است .
در سال ۱۹۹۵ میلادی اولین استاندارد سیستم مدیریت امنیت اطلاعات توسط مؤسسه استاندارد انگلیس با عنوان BS7799:1 ارائه گردید .
از سال های ۱۹۹۶ تاکنون ISO نسخه های مختلف یک گزارش فنی را نه به عنوان استاندارد بلکه به عنوان Technical Report با نام ISO/IEC TR 13335 ارائه نموده است که تکنیک های مورد نیاز مراحل ایمن سازی اطلاعات و ارتباطات و کنترل های مورد نیاز برای حفاظت فیزیکی و لاجیکی را با دقت تشریح کرده است .
نسخه دوم استاندارد BS7799:1 با عنوان BS7799:2 در سال ۱۹۹۹ در دوبخش ارائه شد .
در سال ۲۰۰۲ نسخه به روز شده BS7799:2 با عنوان BS7799:2002 ذر دو بخش منتشز گردید ودر همین سال اول بخش اول استاندارد BS7799:2 بدون هیچگونه تغییری توسط موسسه بین المللی استاندارد با عنوان ISO/IEC 17799 منتشر شد.
در سال ۲۰۰۵ یکی از جامع ترین استانداردهای سیستم مدیریت اطلاعات با عنوان ISO/IEC 27001:2005توسط کمیته فنی مشترم ISO و IEC به نام ISO/IEC JTC1 تدوین گردید .
در سال ۲۰۰۷ کامل ترین و جامع ترین استادندارد سیستم مدیریت اطلاعات با عنوان BS ISO/IEC 27002 ارائه شد که در فاصله سال های ۲۰۰۵ تا ۲۰۰۷ تکمیل شده بود .
آخرین نسخه این استاندار در سال ۲۰۱۳ با عنوان ISO/IEC 27001:2013 ارائه گردید .
هدف از تهیه این استاندارد بین المللی، ارائه مدلی است که بر اساس آن بتوان یک سیستم مدیریت امنیت اطلاعات یا همان ISMS را ایجاد ، اجرا ، بهره برداری ، پایش ، بازنگری نگهداری و بهبود و ارتقا بخشید . بادر نظر گرفتن مفهوم ریسک های کلان کسب و کار سازمان است .
استقرار و پیاده سازی سیستم مدیریت امنیت اطلاعات در یک سازمان، تحت تأثیر نیازها و اهداف سازمان، الزامات امنیتی، فرایندهای سازمانی به کار گرفته شده و اندازه و ساختار سازمان قرار دارد. انتظار می رود تمامی این عوامل اثرگذار، در طول زمان دچار تغییر شوند.
سیستم مدیریت امنیت اطلاعات، با به کارگیری یک فرایند مدیریت مخاطرات، از محرمانگی، صحت و دسترس پذیری اطلاعات محافظت می کند و به طرف های ذی نفع این اطمینان را می دهد که مخاطرات، به میزان کافی مدیریت می شوند.
توجه داشته باشید که سیستم مدیریت امنیت اطلاعات، با فرایندهای سازمان و ساختار مدیریتی کلان، یکپارچه بوده و بخشی از آنها است و همچنین امنیت اطلاعات در طراحی، فرایندها، سیستم های اطلاعاتی و کنترل ها لحاظ می شود. انتظار می رود که پیاده سازی یک سیستم مدیریت امنیت اطلاعات، منطبق با نیازهای سازمان باشد.
استاندارد ISO/IEC 27000 نمای کلی و واژگان سیستم های مدیریت امنیت اطلاعات را توصیف نموده و مرجع خانواده استاندارد سیستم مدیریت امنیت اطلاعات ( شامل ISO/IEC 27003 ، ISO/IEC 27004 ، ISO/IEC 27005 ) به همراه اصطلاحات و تعاریف مرتبط با آن است.
این استاندارد بین المللی، شامل الزاماتی برای ارزیابی و برطرف سازی مخاطرات امنیت اطلاعات، متناسب با نیازهای سازمان است. الزامات تعیین شده در این استاندارد بین المللی، عمومی بوده و در تمام سازمان ها، صرف نظر از نوع، اندازه یا ماهیت آنها، قابل اعمال است.
.
ا