رعایت استاندارد ISO 27001

رعایت استاندارد ISO 27001 به مراکز داده کمک می‌کند تا الزامات امنیتی ضروری را برآورده کنند، اما چگونه می‌توان اثربخشی آن را تأیید کرد؟

تقریباً همه مراکز داده ادعا می‌کنند که استانداردهای امنیتی بالایی را رعایت می‌کنند، اما چگونه می‌توان مطمئن شد که این تأسیسات زیرساخت دیجیتال به همان اندازه‌ای که ادعا می‌کنند، ایمن هستند؟ یکی از راه‌های ارزیابی امنیت یک مرکز داده، بررسی میزان انطباق آن با استاندارد ISO 27001 است که یکی از استانداردهای کلیدی امنیت اطلاعات محسوب می‌شود. البته رعایت این استاندارد به‌تنهایی تضمین نمی‌کند که یک مرکز داده از بالاترین سطح امنیت برخوردار است، اما در اکثر موارد، انتظار می‌رود که اپراتورهای مراکز داده حداقل الزامات این استاندارد را رعایت کنند.

استاندارد ISO 27001 چیست؟

ISO 27001 یک چارچوب برای تعیین بهترین شیوه‌های امنیت اطلاعات است. این استاندارد که آخرین بار در سال 2022 به‌روزرسانی شده، توسط سازمان بین‌المللی استانداردسازی (ISO) و کمیسیون بین‌المللی الکتروتکنیک (IEC) منتشر می‌شود.

الزامات کلیدی ISO 27001 شامل موارد زیر است:

• ارزیابی ریسک‌های امنیت اطلاعات که یک سازمان را تحت تأثیر قرار می‌دهند.
• ایجاد سیاست‌ها و کنترل‌های امنیت اطلاعات برای مدیریت مناسب ریسک‌های سازمان.
• پیاده‌سازی سیستم مدیریت امنیت اطلاعات (ISMS) برای نظارت و مدیریت یکپارچه کنترل‌ها و فرآیندهای امنیتی سازمان.
• مستندسازی نواقص امنیت اطلاعات و اقدام برای رفع آن‌ها.

برخلاف برخی استانداردهای دیگر مانند GDPR و HIPAA که برای مراکز داده الزامی هستند، ISO 27001 یک استاندارد داوطلبانه است. این بدان معناست که هیچ الزام قانونی برای اپراتورهای مراکز داده یا سایر شرکت‌ها وجود ندارد که از این استاندارد پیروی کنند. با این حال، رعایت ISO 27001 می‌تواند نشان‌دهنده تعهد یک مرکز داده به امنیت سایبری و جلب اعتماد مشتریان باشد.

تأثیر ISO 27001 بر مراکز داده

ISO 27001 یک استاندارد عمومی است که برای انواع کسب‌وکارها قابل اجرا است و به طور خاص در مورد مراکز داده الزامات منحصر‌به‌فردی تعیین نکرده است. بنابراین، تا حدی امکان تفسیر نحوه رعایت این استاندارد در مراکز داده وجود دارد.

با این حال، بیشتر اپراتورهای مراکز داده باید بر دو حوزه اصلی تمرکز کنند:

• امنیت فیزیکی: مراکز داده باید کنترل‌های امنیت فیزیکی لازم را برای جلوگیری از دسترسی غیرمجاز – چه توسط افراد داخلی مخرب و چه عوامل خارجی – پیاده‌سازی کنند.
• امنیت شبکه: مراکز داده باید کنترل‌های امنیت شبکه را برای محافظت از زیرساخت و ارتباطات شبکه‌ای خود در برابر حملات به کار گیرند.

این الزامات برای تمامی مراکز داده ضروری هستند، زیرا همگی با خطرات امنیتی فیزیکی و شبکه‌ای مواجه‌اند. اما مسئولیت تأمین امنیت سخت‌افزار و نرم‌افزاری که یک کسب‌وکار در داخل یک مرکز داده مستقر می‌کند، معمولاً بر عهده خود کسب‌وکار است، نه ارائه‌دهنده مرکز داده. البته، اگر یک ارائه‌دهنده مرکز داده خدماتی فراتر از فضای فیزیکی و اتصال شبکه ارائه دهد – مانند سخت‌افزار به‌عنوان سرویس (HaaS) – ممکن است لازم باشد کنترل‌های امنیتی بیشتری را برای محافظت از سخت‌افزار مستقر شده برای مشتریان اعمال کند تا با ISO 27001 سازگار باشد.

راهنمای رعایت ISO 27001 در شرکت‌های مراکز داده

امروزه تقریباً همه شرکت‌های بزرگ ارائه‌دهنده مراکز داده – از جمله Equinix، Digital Realty و CyrusOne – در تأسیسات خود از استاندارد ISO 27001 پیروی می‌کنند. بسیاری از ارائه‌دهندگان مراکز داده محلی و منطقه‌ای نیز دارای گواهینامه ISO 27001 هستند.

با این حال، هنگام ارزیابی میزان رعایت استاندارد ISO 27001 توسط یک مرکز داده، به نکات زیر توجه کنید:

1. نحوه صدور گواهینامه: بیشتر ارائه‌دهندگان مراکز داده از طریق ممیزی‌های انجام‌شده توسط حسابرسان مستقل، انطباق خود را با ISO 27001 نشان می‌دهند. این بدان معناست که تصمیم درباره رعایت این استاندارد توسط یک مرکز داده خاص، به حسابرس منتخب آن مرکز بستگی دارد، و ممکن است برخی حسابرسان نسبت به سایرین سختگیرانه‌تر عمل کنند. برای بررسی دقیق‌تر، می‌توانید نسخه‌ای از گزارش‌های انطباق را درخواست کنید و از زمان آخرین ممیزی‌ها مطلع شوید.
2. تفاوت در رعایت استاندارد بین مراکز مختلف: رعایت ISO 27001 ممکن است از یک مرکز داده به مرکز دیگر متفاوت باشد. بنابراین، صرفاً به ادعای یک شرکت مبنی بر داشتن گواهینامه ISO 27001 در وب‌سایتش اکتفا نکنید و بررسی کنید که آیا تمام تأسیسات آن از سطح امنیتی یکسانی برخوردارند یا خیر.

این نکات از آن جهت مهم هستند که بسیاری از اپراتورهای مراکز داده به‌راحتی اعلام می‌کنند که دارای گواهینامه ISO 27001 هستند، اما جزئیات مربوط به اینکه چه کسی ممیزی را انجام داده، این ممیزی هر چند وقت یک‌بار انجام می‌شود و چه کنترل‌های امنیتی خاصی مورد ارزیابی قرار گرفته‌اند را معمولاً منتشر نمی‌کنند. بدون این اطلاعات، دشوار است که بدانیم آیا دریافت این گواهینامه واقعاً به معنی رعایت بهترین شیوه‌های امنیتی است یا خیر.

[محصولات مرتبط: خرید تجهیزات سرور]