ISO/IEC 27001 بر پایه سه اصل اساسی بنا شده است که به عنوان محرمانگی، یکپارچگی و در دسترس بودن شناخته میشوند. این اصول به عنوان پایه و اساس برای ایجاد سیستم مدیریت امنیت اطلاعات (ISMS) عمل میکنند و برای اطمینان از اینکه اطلاعات به طور موثر محافظت میشوند، ضروری هستند.
- محرمانگی:
محرمانگی به معنای اطمینان از دسترسی افراد غیرمجاز به اطلاعات محرمانه نیست. این شامل کنترلهای فیزیکی و فنی برای محافظت از اطلاعات، مانند احراز هویت و مجوز، رمزگذاری و کنترل دسترسی به دادهها میشود.
- یکپارچگی:
یکپارچگی به معنای اطمینان از دقت و کامل بودن اطلاعات و همچنین روشهای پردازش آنها است. این شامل کنترلهایی برای جلوگیری از تغییرات غیرمجاز، حذف یا تخریب اطلاعات میشود.
- در دسترس بودن:
در دسترس بودن به معنای اطمینان از اینکه افراد مجاز میتوانند در صورت نیاز به اطلاعات و سیستمها دسترسی داشته باشند. این شامل کنترلهایی برای محافظت از اطلاعات و سیستمها در برابر خرابی، بلایای طبیعی و حملات سایبری میشود.
این سه اصل به هم مرتبط هستند و برای دستیابی به امنیت اطلاعات موثر، باید به طور همزمان مورد توجه قرار گیرند.
*محرمانگی بدون یکپارچگی بیمعنی است، زیرا اطلاعات نادرست یا گمراهکننده محرمانه باقی نمیماند.
*یکپارچگی بدون در دسترس بودن بیمعنی است، زیرا اطلاعاتی که قابل دسترسی نیستند، مفید نیستند.
*در دسترس بودن بدون محرمانگی و یکپارچگی بیمعنی است، زیرا اطلاعاتی که به طور مناسب محافظت نمیشوند، به راحتی میتوانند به خطر بیفتند یا دستکاری شوند.
ISO 27001 مجموعهای از کنترلها را ارائه میدهد که به سازمانها در پیادهسازی و حفظ ISMS که با این سه اصل مطابقت داشته باشد، کمک میکند.
با پیادهسازی ISO 27001، سازمانها میتوانند از اطلاعات خود در برابر طیف گستردهای از تهدیدات محافظت کرده و به سطوح بالاتری از انطباق و اطمینان دست یابند.