صفحه نخست --> امنیت --> ایزو مدیریت امنیت ISO 27016-27017

ایزو مدیریت امنیت ISO 27016-27017

مدیریت امنیت ISO/IEC TR 27016:2014

هدف و دامنه کاربرد مدیریت امنیت ISO 27016-27017

 هدف از تدوین مدیریت امنیت ISO 27016-27017، تعیین راهنماهایی درباره نحوه تصمیم گیری سازمان به منظور حفاظت اطلاعات و شناسایی پیامدهای اقتصادی این تصمیمات در زمینه الزامات رقابتی برای منابع است این استاندارد برای همه سازمان ها با هر نوع و اندازه کاربردپذیر است و اطلاعاتی برای سازمان ها فراهم می آورد تا مدیریت ارشد که مسئولیت تصمیمات امنیت اطلاعات را به عهده دارد بتواند، تصمیمات اقتصادی در مدیریت امنیت اطلاعات را اتخاذ نماید.

اصطلاحات و تعاریف در مدیریت امنیت ISO 27016-27017

انتظار زیان سالیانه(ALE)

زیان سالیانه برای یک دارایی که به دلیل مخاطره در طول یک دوره یک ساله می توان انتظار داشت. یادآوری – ALE به این صورت تعریف می شود. ALE=SLE*ARO که در آن SLE انتظار زیان مقطعی و ARO نرخ وقوع سالیانه است.

ارزش مستقیم

ارزشی که می توان، در صورت وقوع آسیب یا از بین رفتن دارایی اطلاعاتی یا دارایی ها، از طریق ارزش جابه – جایی با جایگزینی مشابه تعیین نمود.

ساختار استاندارد

قسمت اصلی علم اقتصاد سازمانی مدیریت امنیت اطلاعات، توانایی جهت ارائه ارزش های اقتصادی برای مدیریت است و از این طریق می توانند تصمیمات بهتری بر پایه واقعیت در خصوص منابع به کار رفته جهت حفاظت از دارایی های اطلاعاتی سازمان اتخاذ کنند.

در بند ۶ از این استاندارد، عوامل اقتصادی امنیت اطلاعات و تناسب آن ها در مدیریت تصمیم گیری توصیف می شود. بند ۷، اهداف اقتصادی را در چارچوب ارزیابی دارایی شرح می دهد. بند و نحوه کاربرد ترازنامه اقتصادی را با استفاده از مزیت های امنیت اطلاعات و هزینه ها در زمینه سازمانی به صورت کلی و استفاده از نمونه های وابسته به رده مورد کسب و کار بیان می کند.

عوامل اقتصادی امنیت اطلاعات در مدیریت امنیت ISO 27016-27017

– تصمیمات مدیریت

مشخص کردن یک توجیه اقتصادی مناسب برای تخصیص منابع جهت حفظ امنیت دارایی های اطلاعاتی به شیوه ای که مقایسه اقتصادی با شیوه های دیگر کاربرد منابع امکان پذیر باشد نیازمند بررسی از جانب مدیریت است.

– موردهای کسب و کار

یک مورد سرمایه گذاری در امنیت اطلاعات به سازمان امکان می دهد تا بررسی کنند آیا مزایای اقتصادی بر هزینه ها برتری دارد یا خیر و این برتری تا چه حد است. معمولاً اهداف امنیت اطلاعات برای مدیریت یک سازمان به شکل مورد کسب و کار ارائه می یابد.

ISO 2700x
مدیریت امنیت ISO 27016-27017

 

ISO/IEC 27017:2015 / ITU-T X.1631

اهدف و دامنه کاربرد استندارد مدیریت امنیت ISO 27016-27017

هدف از تدوین این استاندارد، تعیین و ارائه راهنمایی برای با واپایش های کاربردپذیر امنیت اطلاعات در تدارک و استفاده از خدمات ابری است. که از طریق ارائه موارد زیر است :

 – راهنمای افزوده پیاده سازی برای واپایش های مرتبط مشخص شده در استاندارد ۱۷۰۰۲ ISO/IEC

– واپایش های افزوده با راهنمای پیاده سازی که به ویژه در ارتباط با خدمات ابری است.

این استاندارد واپایش ها و راهنمای پیاده سازی را برای ارائه کنندگان خدمت ابری و همچنین مشتریان خدمت ابری فراهم می کند.

این استاندارد به صورت کلی شامل توصیه های در زمینه خدمات ابر به مشتریان و ارائه دهندگان خدمات ابری است.

مفاهیم بخش خاص ابر

استفاده از رایانش ابری نحوه ارزیابی و کاهش مخاطرات امنیت اطلاعات را تغییر داده است. به دلیل این که تغییرات چشمگیری در چگونگی طراحی، عملیات و حاکمیت منابع رایانش به وجود آورده است.

در این استاندارده به عنوان تعمیم برای استاندارد ISO/IEC 27002 واپایش های مشخص خدمات ابری، راهنمای پیاده سازی و اطلاعات دیگر به منظور کاهش مخاطرات ارائه می شود که با ویژگی های فنی و عملیاتی خدمات ابری همراه است.

ساختار این استاندارد

این استاندارد در قالبی مشابه با استاندارد ۲۷۰۰۲ ISO/IEC ساختار بندی شده است. این استاندارد بندهای ۵ تا ۱۸ از استاندارد ۲۷۰۰۲ ISO/IEC را از طریق بیان کاربرد پذیری های متن هایش در هر بند و پاراگراف شامل می شود. این استاندارد شامل ۲ پیوست است. در  پیوست (الف) از این استاندارد، به راهنماهای افزون پیاده سازی مشخص خدمات ابری در ارتباط با کنترل های مورد نیاز اشاره شده است که تحت عنوان «راهنمای پیاده سازی برای خدمات ابری» آورده می شود. پیوست ب (آگاهی دهنده) مراجع مخاطره امنیت اطلاعات مربوطه به رایانش ابر است.

مدیریت مخاطرات امنیت اطلاعات در خدمات ابری

رایانش ابری در مقایسه با کاربردپذیری عمومی فرایندهای مدیریت مخاطره امنیت اطلاعات، انواع منابع مخاطره خود را دارد. این منابع مخاطره شامل تهدیدها و آسیب پذیری ها است که از ویژگی های خود مشتق می شود. ویژگی هایی مانند شبکه سازی، مقیاس پذیری و توانمندی ارتجاعی سامانه، به اشتراک گذاری منبع، تدارک خود خدماتی، اداره کردن بر مبنای تقاضا و بینش محدود نسبت به  پیاده سازی واپایش ها.

آدرس کانال تلگرام سایت بیگ دیتا:

t.me/bigdata_channel

آدرس کانال سروش ما:
https://sapp.ir/bigdata_channel

جهت دیدن سرفصل های دوره های آموزشی بر روی اینجا کلیک کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *