مفهوم الأيزو 27001: هي معيار دولي لحماية نظام إدارة أمن المعلومات، تقوم بتوفير أمن المعلومات للمنظّمة. وتكون بتشجيع ودعم من الإدارة العليا، حيث تقوم بحماية أصل المعلومات وتعمل على توفير كل الاحتياجات الأمنية اللازمة.
أبعاد للمواصفة القياسية (ISO 27001):
- بعد السايسة الأمنية: العمل على توثيق أهداف نظام أمن إدارة المعلومات؛ حتى تقوم الإدارة بالمساعدة والتشجيع والتوجيه.
- بعد أمن الموارد البشرية: العمل على تقليل الأخطاء البشرية. ويمكن إدارة الموارد البشرية من خلال تقييم أداء كل الموظفين في المنظّمة، بصورة أكثر فاعلية عن طريق المسؤوليات الأمنية لكل الموظفين.
- بعد تنظيم أمن المعلومات: هو وضع السياسات والأنشطة الأمنية وتوزيع المسؤوليات، التي تمكّن المنظّمة من إثبات سيطرتها الأمنية على كل المعلومات الخاصة بالمنظّمة.
- بعد الأمن البيئي: يعمل على تأمين التسهيلات المادية لمعالجة المعلومات وبيئة العمل داخل المنظّمة، بصوره تتَّصف بالفاعلية والكفاءة؛ لأن كل العناصر في النظام لها دور في نجاح عملية إدارة أمن المعلومات.
- بعدتطوير نظام أمن المعلومات والصيانة: هو العمل على حماية نظام أمن المعلومات، كذلك تحقيق المتطلبات والمحافظة عليها والعمل على الصيانة بشكل مستمر.
- بعد إدارة الموجودات: هو العمل على إدارة كل موجودات المنظّمة، مهما كانت سواء طبيعية أو فكرية عن طريق تقديم الحماية المناسبة، من خلال تحديد المسؤولية والملكية وحماية مصدر أمن المعلومات.
- بعد السيطرة على الدخول: هو القيام بالسيطرة على كل عمليات الدخول للموظفين لنظام أمن المعلومات، فهو من أهم الأبعاد لحماية نظام المعلومات في المنظّمة والعمل على منعها من خطر السرقة أو الاختراق.
- بعدالإدارة العرضية: هذا البُعد يستخدم ليتم مواجهة أي حالة طارئة، كذلك العمل على تحديد مواطن الضعف في نظام إدارة أمن المعلومات، بالإضافة إلى تقديم الحل الذي يناسب بناء نظام الاتصال الفعّال بين كل المستويات التنظيمية.
- بعد إدارة العمليات والاتصالات: هو توفير التسهيلات التي تتمثل عمليات التسليم الآمن، القيام بإدارة العمليات اليومية بشكل آمن وتسهيل تطبيق وسائل تشغيل البيانات والشبكات.
- بعدإدارة استمرارية العمل: وهو البُعد الذي يتطلَّب وجود المرونة التي تقوم بمواجهة أي كارثة طبيعية، أو أي حالة فشل أو أي عائق غير متوقع، يساعد في تحقيق الاستمرارية لأنشطة حماية المعلومات.
- بعد الالتزم: هذا البُعد هدفه البُعد عن الثغرات والاختراق لأي قانون، أو تشريعات مدنية أو جنائية. ويعرف الالتزامات المتعاقد عليها ومتطلبات سياسات الأمن التنظيمية.