شماره: IRCNE2011121340
تاريخ: 21/9/90
به نقل از سازمان ملي استاندارد، با اجراي رويكرد مديريت رخدادهاي امنيت اطلاعات كه در استاندارد بين المللي جديدISO/ IEC 7035:2011 ارائه شده، مي توان اقدامات تهديد كننده امنيت اطلاعات كه به طرق مختلف همچون نفوذ هكرها به شبكه هاي رايانه اي تا استفاده كاربران داخلي شركتها، كه با توجه به ميزان مهارتهاي فردي و سطوح مجاز دسترسي به اطلاعات، از پايگاه اطلاعاتي خود براي امور شخصي استفاده مي نمايند را كاهش داد.
وجود هر گونه شكاف در امنيت اطلاعات مي تواند فعاليتهاي تجاري را به مخاطره افكند و سبب ايجاد گسست در عمليات تجاري گردد. حفظ شرايط آمادگي و انجام عكس العمل موثر در زمان مطلوب خط تمايز ميان حوادث جزيي و يا مصيبت بار براي شركتها است. استفاده از سيستم مديريت رخدادهاي امنيت اطلاعات، اين امكان را در اختيار سازمانها قرار مي دهد تا در محل مورد نظر براي مديريت رخدادهاي امنيتي متعدد و نقاط آسيب پذير كنترل و نظارت داشته باشند. استاندارد ISO/IEC 27035: 2011، فناوري اطلاعات – تكنيكنهاي امنيتي – مديريت مخاطرات امنيت اطلاعات، دستورالعمل لازم براي چگونگي شناسايي، گزارش دهي و ارزيابي ميزان آسيب پذيري و حوادث امنيت اطلاعات را ارايه مي نمايد. اين استاندارد به سازمانها كمك مي نمايد تا در مقابل حوادث ناشي از تهديد قرار گرفتن امنيت اطلاعات، و همچنين اجراي اقدامات كنترلي مناسب جهت پيشگيري، كاهش و يا بازيابي و رفع اثرات برجاي مانده عكس العمل مناسب داشته باشند و به همين ترتيب نقايص روش كلي خود را رفع و آن را بهبود دهند.
يكپارچه سازي سيستم مديريت حوادث امنيت اطلاعات مزاياي مختلفي را به همراه دارد كه عبارتند از:
- اصلاح كلي امنيت اطلاعات
- كاهش اثرات زيانبار تجارت
- تقويت تمركز بر جلوگيري از بروز حوادث ناشي از تهديد شدن امنيت اطلاعات، اولويت بندي و تهيه شواهد و مدارك
- كمك به بودجه بندي و توجيه منابع
- بهبود به روز رساني ارزيابي مخاطرات امنيت اطلاعات و نتايج مديريت
- تهيه مطالب آموزشي جهت افزايش آگاهي از امنيت اطلاعات
- فراهم آوري اطلاعات لازم براي خط مشي امنيت اطلاعات و بررسي مستندات مرتبط
استاندارد ISO/IEC 27035: 2011، كه جايگزين گزارش فني ISO/IEC TR 18044:2004 شده است، متضمن مفاهيم كلي مندرج در استاندارد ISO/IEC 27001:2005، فناوري اطلاعات – تكنيكهاي امنيتي – سيستم هاي مديريت امنيت اطلاعات – الزامات مي باشد. اين استاندارد جديد در هر سازماني صرف نظر از اندازه، كاربرد دارد و طيف وسيعي از حوادث ناشي از به مخاطره افتادن امنيت اطلاعات، چه به صورت تعمدي و يا تصادفي و يا اتفاقاتي كه به دلايل فني و يا فيزيكي رخ داده اند را شامل مي شود. استاندارد ISO/IEC 27035: 2011، فناوري اطلاعات – تكنيكنهاي امنيتي – مديريت مخاطرات امنيت اطلاعات، توسط كميته فني مشترك ISO/IEC JTC 1، فناوري اطلاعات؛ كميته فرعي SC 27، تكنيكهاي امنيتي فناوري اطلاعات، تدوين شده است. اين استاندارد به قيمت 180 فرانك سوئيس از دبيرخانه مركزي ايزو قابل خريداري ميباشد.
- 21