استاندارد ISO/IEC 27000 یکی از استانداردهای فنی ISO/IEC در خانواده استانداردهای ISO/IEC 27000 است که به سیستمهای مدیریت امنیت اطلاعات میپردازد. عنوان رسمی این استاندارد «فناوری اطلاعات — فنون امنیتی — سیستمهای مدیریت امنیت اطلاعات — کلیات و واژگان» است.
این استاندارد توسط زیرکمیته ۲۷ (SC27) از کمیته فنی مشترک اول (JTC 1) متعلق به ISO و IEC تدوین شده است.
ISO/IEC 27000 دو کارکرد اصلی دارد:
- ارائه نمای کلی و مقدمهای برای کل خانواده استانداردهای ISO/IEC 27000
- تعریف رسمی اصطلاحات تخصصی که در این خانواده استانداردها به کار میروند
این استاندارد از وبسایت ITTF بهصورت رایگان در دسترس است.
نگاه کلی و معرفی
این استاندارد توضیح میدهد که هدف از یک سیستم مدیریت امنیت اطلاعات (ISMS) چیست. ISMS از نظر مفهومی شبیه سیستمهای مدیریتی پیشنهادشده در استانداردهایی مانند ISO 9000 و ISO 14000 است؛ با این تفاوت که تمرکز آن بر مدیریت ریسکها و کنترلهای امنیت اطلاعات در سازمان قرار دارد.
قرار دادن امنیت اطلاعات بهطور آگاهانه و رسمی زیر نظر مدیریت، از اصول محوری خانواده استانداردهای ISO/IEC 27000 است.
واژهنامه و اصطلاحات تخصصی
امنیت اطلاعات، مانند بسیاری از حوزههای فنی، با مجموعهای پیچیده از اصطلاحات روبهروست. در بسیاری از متون، معنای دقیق واژهها بهروشنی تعریف نمیشود؛ همین موضوع میتواند به سوءتفاهم، دشواری در ارزیابی رسمی و کاهش اعتبار فرایند صدور گواهینامه منجر شود. استاندارد پایه ISO/IEC 27000، درست مانند ISO 9000 و ISO 14000، برای رفع همین چالش طراحی شده است.
مخاطب اصلی این استاندارد، کاربران دیگر استانداردهای خانواده ISO/IEC 27000 در حوزه مدیریت امنیت اطلاعات است.
همچنین بخوانید
- خانواده استانداردهای ISO/IEC 27000
- استاندارد ISO/IEC 27001
- استاندارد ISO/IEC 27002، که پیشتر با نام ISO/IEC 17799 شناخته میشد
- زیرکمیته ISO/IEC JTC 1/SC 27 در زمینه فنون امنیت فناوری اطلاعات