خانواده استانداردهای ISO/IEC 27000

خانواده استانداردهای ISO/IEC 27000 (که همچنین به عنوان «خانواده استانداردهای ISMS»، «ISO27K» یا «سری ISO 27000» شناخته می‌شود) شامل استانداردهای امنیت اطلاعات است که به‌صورت مشترک توسط سازمان بین‌المللی استانداردسازی (ISO) و کمیسیون بین‌المللی الکتروتکنیک (IEC) منتشر می‌شوند.

این سری استانداردها توصیه‌های بهترین روش‌ها در زمینه مدیریت امنیت اطلاعات را ارائه می‌دهد؛ یعنی مدیریت ریسک‌های اطلاعاتی از طریق کنترل‌های امنیت اطلاعات، در چارچوب یک سیستم جامع مدیریت امنیت اطلاعات (ISMS)، که طراحی آن مشابه سیستم‌های مدیریتی برای تضمین کیفیت (سری ISO 9000)، حفاظت محیط زیست (سری ISO 14000) و سایر سیستم‌های مدیریتی است.

دامنه این سری عمدتاً گسترده است و تنها به مسائل حریم خصوصی، محرمانگی و امنیت فناوری اطلاعات محدود نمی‌شود. این استانداردها برای سازمان‌هایی با اندازه‌ها و ساختارهای مختلف قابل استفاده هستند. به همه سازمان‌ها توصیه می‌شود که ابتدا ریسک‌های اطلاعاتی خود را ارزیابی کرده و سپس بر اساس نیازهای خود آن‌ها را مدیریت کنند، معمولاً با استفاده از کنترل‌های امنیت اطلاعات و بهره‌گیری از راهنمایی‌ها و پیشنهادات ارائه‌شده. با توجه به ماهیت پویا و متغیر ریسک و امنیت اطلاعات، مفهوم ISMS شامل فعالیت‌های بازخورد و بهبود مستمر است تا بتواند به تغییرات تهدیدها، آسیب‌پذیری‌ها یا اثرات رخدادها پاسخ دهد.

این استانداردها محصول کمیته فنی مشترک ISO/IEC JTC 1 زیرکمیته 27 (SC 27) هستند، نهادی بین‌المللی که دو بار در سال به‌صورت حضوری یا مجازی جلسات خود را برگزار می‌کند.

دامنه فعالیت ISO/IEC JTC 1/SC 27

دامنه فعالیت کمیته فرعی ISO/IEC JTC 1/SC 27 شامل توسعه استانداردها برای حفاظت از اطلاعات و فناوری‌های ارتباطات و اطلاعات (ICT) است. این دامنه، ارائه روش‌ها، تکنیک‌ها و دستورالعمل‌های عمومی برای پوشش جنبه‌های امنیت و حریم خصوصی را در بر می‌گیرد، از جمله:

• روش‌های شناسایی و ثبت الزامات امنیتی؛

• مدیریت امنیت اطلاعات و ICT، به‌ویژه سیستم‌های مدیریت امنیت اطلاعات (ISMS)، فرآیندهای امنیتی، کنترل‌ها و خدمات امنیتی؛

• مکانیزم‌های رمزنگاری و سایر مکانیزم‌های امنیتی برای حفاظت از قابلیت اطمینان، دسترسی، یکپارچگی و محرمانگی اطلاعات؛

• مستندات ایزو 27001 – پشتیبانی مدیریت امنیت شامل اصطلاحات، دستورالعمل‌ها و روش‌های ثبت اجزای امنیتی؛

• جنبه‌های امنیتی مدیریت هویت، بیومتریک و حریم خصوصی؛

• ارزیابی انطباق، اعتبارسنجی و الزامات ممیزی در حوزه سیستم‌های مدیریت امنیت اطلاعات؛

• معیارها و روش‌های ارزیابی امنیتی.

کمیته فرعی SC 27000 همچنین با سازمان‌ها و نهادهای مرتبط همکاری و ارتباط فعال دارد تا توسعه و اجرای استانداردها و گزارش‌های فنی SC 27 در حوزه‌های مرتبط به‌طور صحیح و کارآمد انجام شود.

استانداردهای ISO/IEC عمدتاً توسط ارگان رسمی ISO به فروش می‌رسند و بیشتر به زبان‌های انگلیسی، فرانسوی و چینی عرضه می‌شوند. همچنین مراکز فروش وابسته به سازمان‌های استاندارد ملی، نسخه‌های ترجمه‌شده معتبر را در چندین زبان ارائه می‌دهند.

تاریخچه اولیه

افراد و سازمان‌های متعددی در توسعه و نگهداری استانداردهای ISO27K مشارکت داشته‌اند. اولین استاندارد این سری، ISO/IEC 17799:2000 بود که بر اساس استاندارد بریتانیایی موجود BS 7799 قسمت 1:1999 سریع‌ترسازی شده بود. انتشار اولیه BS 7799 تا حدی بر اساس یک راهنمای سیاست امنیت اطلاعات بود که در اواخر دهه ۱۹۸۰ و اوایل دهه ۱۹۹۰ توسط یک گروه صنعتی تدوین شده بود.

در سال ۱۹۹۳، سازمان تجارت و صنعت بریتانیا تیمی را برای بررسی عملکرد موجود در حوزه امنیت اطلاعات تشکیل داد تا هدف تولید یک سند استاندارد را دنبال کند. در سال ۱۹۹۵، نسخه اول BS 7799 منتشر شد. یکی از نویسندگان اصلی این استاندارد یادآور شد که در اوایل سال ۱۹۹۳ گروهی از نمایندگان صنایع مختلف برای تدوین کنترل‌های امنیت اطلاعات گرد هم آمدند. ایده ایجاد مجموعه‌ای از کنترل‌های پایه امنیت اطلاعات در اواخر دهه ۱۹۸۰ مطرح شد و سندی حاوی حدوداً صد کنترل پایه برای حلقه امنیت اطلاعات تدوین شد.

خانواده استانداردهای ISO/IEC 27000

استانداردهای سری ایزو 2700

استانداردهای منتشرشده ISO27K مرتبط با «امنیت اطلاعات، امنیت سایبری و حفاظت از حریم خصوصی» عبارتند از:

• ISO/IEC 27000 — سیستم‌های مدیریت امنیت اطلاعات — مروری بر مفاهیم و واژگان: ارائه تعاریف کلیدی و اصول پایه در مدیریت امنیت اطلاعات.

• ISO/IEC 27001 — امنیت اطلاعات، امنیت سایبری و حفاظت از حریم خصوصی — سیستم‌های مدیریت امنیت اطلاعات — الزامات: مشخصات رسمی برای طراحی و پیاده‌سازی یک سیستم مدیریت امنیت اطلاعات (ISMS) با ساختار منظم و استاندارد، مشابه سایر استانداردهای مدیریتی ISO برای تضمین کیفیت و محیط زیست.

• ISO/IEC 27002 — امنیت اطلاعات، امنیت سایبری و حفاظت از حریم خصوصی — کنترل‌های امنیت اطلاعات: فهرستی ساختاریافته و جامع از کنترل‌های امنیت اطلاعات که می‌توانند از طریق ISMS مدیریت شوند.

• ISO/IEC 27003 — راهنمای سیستم مدیریت امنیت اطلاعات: ارائه مشاوره ایزو – پیاده سازی و استقرار برای استفاده از ISO/IEC 27001 و استانداردهای مرتبط جهت ساخت و پیاده‌سازی ISMS.

• ISO/IEC 27004 — مدیریت امنیت اطلاعات — پایش، اندازه‌گیری، تحلیل و ارزیابی: تمرکز بر استفاده از شاخص‌ها و معیارهای امنیت اطلاعات (Metrics) برای مدیریت اثربخش ISMS.

• ISO/IEC 27005 — راهنمای مدیریت ریسک‌های امنیت اطلاعات: شناسایی، تحلیل، ارزیابی و مدیریت ریسک‌های مرتبط با امنیت اطلاعات.

• ISO/IEC 27006-1 — الزامات برای نهادهای صادرکننده گواهینامه ISMS: استاندارد اعتبارسنجی برای بررسی انطباق ISMS با ISO/IEC 27001.

• ISO/IEC 27006-2 — الزامات برای نهادهای صادرکننده گواهینامه ISMS — سیستم‌های مدیریت اطلاعات خصوصی (PIMS): استاندارد اعتبارسنجی انطباق PIMS با ISO/IEC 27701.

• ISO/IEC 27007 — راهنمای ممیزی سیستم‌های مدیریت امنیت اطلاعات: تمرکز بر ممیزی اجزای مدیریتی ISMS.

• ISO/IEC TS 27008 — راهنمای ارزیابی کنترل‌های امنیت اطلاعات: تمرکز بر بررسی‌های فنی کنترل‌های امنیتی تحت مدیریت ISMS.

• ISO/IEC 27009 — کاربرد ویژه ISO/IEC 27001 برای صنایع و حوزه‌های خاص: راهنمای توسعه استانداردهای متناسب با بخش‌های مختلف بازار یا حوزه‌های تخصصی.

• ISO/IEC 27010 — مدیریت امنیت اطلاعات در ارتباطات بین‌صنعتی و بین‌سازمانی: راهنمای اشتراک اطلاعات ریسک و کنترل‌های امنیتی در سطح صنایع و کشورها.

• ISO/IEC 27011 — کنترل‌های امنیت اطلاعات مبتنی بر ISO/IEC 27002 برای سازمان‌های مخابراتی: راهنمای پیاده‌سازی ISMS در صنعت مخابرات.

• ISO/IEC 27013 — راهنمای اجرای یکپارچه ISO/IEC 27001 و ISO/IEC 20000-1: ادغام سیستم‌های مدیریت امنیت اطلاعات و خدمات فناوری اطلاعات.

• ISO/IEC 27014 — حاکمیت امنیت اطلاعات: چارچوب مدیریت و کنترل امنیت اطلاعات در سازمان.

• ISO/IEC 27016 — اقتصاد سازمانی: بررسی جنبه‌های مالی و منابع برای مدیریت ریسک و کنترل‌های امنیتی اطلاعات.

• ISO/IEC 27017 — کد عملیاتی کنترل‌های امنیت اطلاعات برای خدمات ابری: راهنمای امنیت اطلاعات در سرویس‌های ابری.

• ISO/IEC 27018 — کد عملیاتی حفاظت از اطلاعات شخصی در ابرهای عمومی: ارائه کنترل‌های امنیتی برای حفاظت از حریم خصوصی کاربران.

• ISO/IEC 27019 — کنترل‌های امنیت اطلاعات برای صنعت انرژی: راهنمای شرکت‌های برق و صنایع مشابه برای امن‌سازی سیستم‌های فناوری عملیاتی و کنترل صنعتی.

• ISO/IEC 27021 — الزامات صلاحیت حرفه‌ای برای کارشناسان ISMS: تشریح دانش و مهارت‌های لازم متخصصان امنیت اطلاعات.

• ISO/IEC TS 27022 — راهنمای فرآیندهای ISMS: مدل مرجع فرآیندی برای مدیریت یکپارچه امنیت اطلاعات.

• ISO/IEC TR 27024 — استفاده دولتی و نظارتی از استانداردهای ISO27K: شناسایی قوانین و مقرراتی که به استانداردهای امنیت اطلاعات اشاره دارند.

• ISO/IEC TS 27028 — راهنمای ویژگی‌های ISO/IEC 27002: دسته‌بندی کنترل‌های امنیت اطلاعات به انواع پیشگیرانه، کشف‌کننده و اصلاحی.

• ISO/IEC 27031 — آماده‌سازی فناوری اطلاعات و ارتباطات برای تداوم کسب‌وکار: استفاده از ICT برای تضمین تداوم عملیات.

• ISO/IEC 27032 — راهنمای امنیت اینترنت: پیاده‌سازی کنترل‌های امنیت شبکه برای محافظت از خدمات و سیستم‌های اینترنتی.

• ISO/IEC 27033-1 — امنیت شبکه – بخش ۱: مروری بر مفاهیم و اصول.

• ISO/IEC 27033-2 — امنیت شبکه – بخش ۲: راهنمای طراحی و پیاده‌سازی امنیت شبکه.

• ISO/IEC 27033-3 — امنیت شبکه – بخش ۳: سناریوهای مرجع شبکه — تهدیدات، تکنیک‌های طراحی و مسائل کنترل.

• ISO/IEC 27033-4 — امنیت شبکه – بخش ۴: تأمین امنیت ارتباط بین شبکه‌ها با استفاده از دروازه‌های امنیتی (Security Gateways).

• ISO/IEC 27033-5 — امنیت شبکه – بخش ۵: تأمین امنیت ارتباط بین شبکه‌ها با استفاده از شبکه‌های خصوصی مجازی (VPN).

• ISO/IEC 27033-6 — امنیت شبکه – بخش ۶: تأمین امنیت دسترسی به شبکه‌های IP بی‌سیم.

• ISO/IEC 27033-7 — امنیت شبکه – بخش ۷: راهنمای امنیت مجازی‌سازی شبکه.

• ISO/IEC 27034-1 — امنیت برنامه‌های کاربردی – بخش ۱: مروری بر مفاهیم و اصول.

• ISO/IEC 27034-2 — امنیت برنامه‌های کاربردی – بخش ۲: چارچوب سازمانی و الزامات نرمال.

• ISO/IEC 27034-3 — امنیت برنامه‌های کاربردی – بخش ۳: فرآیند مدیریت امنیت برنامه‌های کاربردی.

• ISO/IEC 27034-5 — امنیت برنامه‌های کاربردی – بخش ۵: پروتکل‌ها و ساختار داده‌های کنترل امنیت برنامه.

• ISO/IEC 27034-5-1 — امنیت برنامه‌های کاربردی – بخش ۵-۱: پروتکل‌ها و داده‌های کنترل امنیت برنامه‌ها، شامل XML Schema.

• ISO/IEC 27034-6 — امنیت برنامه‌های کاربردی – بخش ۶: مطالعات موردی.

• ISO/IEC 27034-7 — امنیت برنامه‌های کاربردی – بخش ۷: چارچوب پیش‌بینی اطمینان.

• ISO/IEC 27035-1 — مدیریت رخدادهای امنیت اطلاعات – بخش ۱: اصول و فرآیندها.

• ISO/IEC 27035-2 — مدیریت رخدادهای امنیت اطلاعات – بخش ۲: راهنمای برنامه‌ریزی و آماده‌سازی پاسخ به رخدادها.

• ISO/IEC 27035-3 — مدیریت رخدادهای امنیت اطلاعات – بخش ۳: راهنمای عملیات پاسخ به رخدادهای ICT.

• ISO/IEC 27035-4 — مدیریت رخدادهای امنیت اطلاعات – بخش ۴: هماهنگی و مدیریت رخداد.

• ISO/IEC 27036-1 — امنیت اطلاعات در روابط با تأمین‌کنندگان – بخش ۱: مروری بر مفاهیم و اصول (پوشش‌دهنده جنبه‌های فناوری اطلاعات در زنجیره تأمین).

• ISO/IEC 27036-2 — امنیت اطلاعات در روابط با تأمین‌کنندگان – بخش ۲: الزامات.

• ISO/IEC 27036-3 — امنیت اطلاعات در روابط با تأمین‌کنندگان – بخش ۳: راهنمای امنیت سخت‌افزار، نرم‌افزار و خدمات زنجیره تأمین.

• ISO/IEC 27036-4 — امنیت اطلاعات در روابط با تأمین‌کنندگان – بخش ۴: راهنمای امنیت خدمات ابری.

• ISO/IEC 27037 — راهنمای شناسایی، جمع‌آوری، دریافت و نگهداری شواهد دیجیتال (استاندارد جرم‌شناسی دیجیتال).

• ISO/IEC 27038 — مشخصات حذف اطلاعات حساس از اسناد دیجیتال (Redaction).

• ISO/IEC 27039 — انتخاب، پیاده‌سازی و بهره‌برداری از سیستم‌های تشخیص و پیشگیری نفوذ (IDPS).

• ISO/IEC 27040 — امنیت ذخیره‌سازی داده‌ها.

• ISO/IEC 27041 — راهنمای تضمین مناسب بودن و کفایت روش‌های تحقیق رخدادها.

• ISO/IEC 27042 — راهنمای تحلیل و تفسیر شواهد دیجیتال (استاندارد e-Forensics).

• ISO/IEC 27043 — اصول و فرآیندهای تحقیق رخدادها (استاندارد e-Forensics).

• ISO/IEC 27045 — داده‌های بزرگ و حریم خصوصی — فرآیندها.

• ISO/IEC 27046 — امنیت و حریم خصوصی داده‌های بزرگ — راهنمای پیاده‌سازی.

• ISO/IEC 27050-1 تا 27050-4 — کشف الکترونیکی (Electronic Discovery) — استانداردهای جرم‌شناسی دیجیتال برای حاکمیت، مدیریت، آماده‌سازی فنی و شیوه‌های عملیاتی.

• ISO/IEC 27070 — الزامات ایجاد ریشه‌های اعتماد مجازی.

• ISO/IEC 27071 — توصیه‌های امنیتی برای ایجاد اتصالات مورد اعتماد بین دستگاه‌ها و سرویس‌ها.

• ISO/IEC 27090 — راهنمای مقابله با تهدیدات امنیتی سیستم‌های هوش مصنوعی.

• ISO/IEC 27091 — هوش مصنوعی — حفاظت از حریم خصوصی.

• ISO/IEC 27099 — زیرساخت کلید عمومی (PKI) — چارچوب سیاست‌ها و شیوه‌ها.

• ISO/IEC 27100 — امنیت سایبری — مروری بر مفاهیم و اصول.

• ISO/IEC 27102 — راهنمای بیمه سایبری.

• ISO/IEC TR 27103 — امنیت سایبری و استانداردهای ISO و IEC.

• ISO/IEC TR 27109 — آموزش و تربیت امنیت سایبری.

• ISO/IEC TS 27110 — فناوری اطلاعات، امنیت سایبری و حفاظت از حریم خصوصی — راهنمای توسعه چارچوب امنیت سایبری.

• ISO/IEC TS 27115 — ارزیابی امنیت سایبری سیستم‌های پیچیده — معرفی و چارچوب پیشنهادی ISO27k.

• ISO/IEC 27400 تا 27404 — امنیت و حریم خصوصی اینترنت اشیا (IoT) — شامل دستورالعمل‌ها، الزامات پایه دستگاه‌ها، راهنمای خانه هوشمند و برچسب‌گذاری امنیتی.

• ISO/IEC 27550 تا 27570 — مهندسی حریم خصوصی، احراز هویت، امنیت بیومتریک موبایل، مدیریت ریسک حریم خصوصی، حفظ حریم خصوصی مبتنی بر اثبات بدون دانش، سیستم‌های اطمینان سن، راهنمای شهرهای هوشمند و مدل‌ها و چارچوب‌های مربوط به حریم خصوصی.

• ISO/IEC 27701 — توسعه استانداردهای ISO/IEC 27001 و 27002 برای مدیریت اطلاعات خصوصی — الزامات و دستورالعمل‌ها.

• ISO 27799 — مدیریت امنیت اطلاعات در حوزه سلامت با استفاده از ISO/IEC 27002 — راهنمای محافظت از اطلاعات سلامت شخصی.

استانداردهای ISO/IEC 27000 و مجموعه‌ای گسترده از استانداردهای دیگر این خانواده، شامل: امنیت شبکه (ISO/IEC 27033)، امنیت برنامه‌های کاربردی (ISO/IEC 27034)، مدیریت رخداد امنیت اطلاعات (ISO/IEC 27035)، امنیت زنجیره تأمین (ISO/IEC 27036)، جرم‌شناسی دیجیتال (ISO/IEC 27037 تا 27050)، امنیت داده‌های بزرگ و حریم خصوصی (ISO/IEC 27045 تا 27046)، هوش مصنوعی و امنیت سایبری (ISO/IEC 27090 تا 27091)، اینترنت اشیا و حریم خصوصی (ISO/IEC 27400 تا 27404)، و استانداردهای مرتبط با حفاظت از اطلاعات شخصی، مدیریت ریسک حریم خصوصی و پیاده‌سازی چارچوب‌های امنیتی (ISO/IEC 27550 تا ISO/IEC 27701).

این استانداردها ابزارهایی کاربردی برای مدیریت امنیت اطلاعات، محافظت از داده‌ها، کنترل ریسک‌های سایبری و پیاده‌سازی ISMS در سازمان‌های کوچک، متوسط و بزرگ فراهم می‌کنند و مرجع اصلی برای پیاده‌سازی استانداردهای امنیت اطلاعات در صنایع مختلف هستند.