ISO 27002 – شیوه‌های مدیریت امنیت اطلاعات

ISO/IEC 27002 یک استاندارد بین المللی است که دستورالعمل ها و بهترین شیوه ها را برای مدیریت کنترل های امنیت اطلاعات در یک سازمان ارائه می دهد.

این بخشی از خانواده گسترده‌تر ISO/IEC 27000 است که بر سیستم‌های مدیریت امنیت اطلاعات (ISMS) تمرکز دارد.

در حالی که ISO/IEC 27001 الزامات ایجاد، پیاده سازی و نگهداری یک ISMS را مشخص می کند، ISO/IEC 27002 با ارائه مجموعه ای دقیق از کنترل های امنیتی برای

محافظت از اطلاعات سازمانی، آن را تکمیل می کند.

ISO/IEC 27002 طیف گسترده ای از حوزه های امنیت اطلاعات را پوشش می دهد، مانند:

۱. حاکمیت امنیت اطلاعات: تعیین خط مشی ها، نقش ها و مسئولیت ها برای مدیریت امنیت اطلاعات.

2. مدیریت دارایی: اطمینان از اینکه تمام دارایی های اطلاعاتی (داده ها، سخت افزار، نرم افزار و غیره) به درستی شناسایی، طبقه بندی و محافظت می شوند.

3. امنیت منابع انسانی: رسیدگی به امنیت در طول فرآیند استخدام، آموزش کارکنان و خاتمه استخدام.

4. کنترل دسترسی: اجرای سیاست های مدیریت دسترسی مناسب برای اطمینان از اینکه فقط کاربران مجاز به اطلاعات حساس دسترسی دارند.

5. رمزنگاری: حفاظت از اطلاعات از طریق رمزگذاری، اطمینان از ایمن بودن داده ها هم در حین انتقال و هم در حالت استراحت.

6. امنیت فیزیکی و محیطی: حفاظت از زیرساخت ها و تجهیزات فیزیکی از دسترسی، آسیب یا سرقت غیرمجاز.

7. مدیریت حوادث: توسعه رویه هایی برای شناسایی، گزارش و پاسخ به حوادث امنیت اطلاعات.

8. تداوم کسب و کار: اطمینان از اینکه خطرات امنیت اطلاعات مربوط به تداوم کسب و کار و بازیابی فاجعه به درستی مورد توجه قرار می گیرند.