ایزو ۱۳۵۶۹ ویژه خدمات مالی و دستورالعمل‌های امنیت اطلاعات

ایزو ۱۳۵۶۹ دستورالعمل‌هایی را در مورد توسعه یک برنامه امنیت اطلاعات برای مؤسسات، در صنعت خدمات مالی ارائه می‌دهد. این استاندارد سیاست‌های سازمان و اجزای ساختاری، قانونی و نظارتی چنین برنامه‌ای را بررسی می‌کند و ملاحظاتی را برای اجرای کنترل‌های امنیتی، و عناصر مورد نیاز برای مدیریت ریسک امنیت اطلاعات در یک موسسه خدمات مالی مورد بحث قرار می‌دهد.

این استاندارد توصیه‌هایی را ارائه می‌دهد که بر اساس در نظر گرفتن محیط کسب‌وکار و رویه‌های مؤسسات است. همچنین بحثی درباره مسائل مربوط به انطباق قانونی و مقرراتی را بیان می‌کند که در طراحی و اجرای برنامه‌ها مورد توجه قرار می‌دهیم.

تاریخچه ایزو ۱۳۵۶۹

ایزو ۱۳۵۶۹ تحت عنوان سیستم مدیریت خدمات مالی به توسعه‌دهندگان نرم‌افزار، شرکت‌ها و ادارات دولتی کمک می‌کند. رشد سریع تعداد و ماهیت تراکنش‌های مالی از دهه ۱۹۹۰ باعث افزایش مقیاس و تحریف اعداد در صنعت مالی می‌شود که با اجرای استاندارد ایزو ۱۳۵۶۹، می‌توانیم به یک سیستم مالی پایدار در مجموعه‌ها برسیم.

کمیته فنی ISO/TC 68 (خدمات مالی) و کمیته فرعی SC 2 (مدیریت امنیت و عملیات عمومی بانکی) این استاندارد را تدوین کردند. این نسخه را با بازنگری از نظر فنی، جایگزین نسخه دوم (ISO/TR 13569:1997) کردند.

اصول اولیه ایزو ۱۳۵۶۹

اصول اولیه این استاندارد را می‌توانیم به شکل زیر خلاصه کنیم:

موضوع: دستورالعمل‌های اجرا و ارزیابی سیاست‌های امنیت اطلاعات در موسسات خدمات مالی را پوشش می‌دهد.

دامنه کاربرد: بر تعهدات امنیت اطلاعات شامل جنبه‌هایی از امنیت اطلاعات و شبکه در شیوه های مالی RM/RA تمرکز دارد.

بخش‌های تحت تأثیر: این استاندارد را به طور خاص برای مؤسسات مالی تدوین کرده‌اند.

مقررات مربوطه: استاندارد رایگان نیست و مفاد آن در دسترس عموم قرار ندادند. به همین دلیل نمی‌توانیم احکام خاصی را نقل کنیم.

ارتباط RM/RA: این استاندارد دستورالعملی است که معمولاً به آن ارجاع می‌شود و به عنوان منبعی برای اجرای برنامه‌های مدیریت امنیت اطلاعات در مؤسسات بخش مالی و به عنوان معیاری برای حسابرسی چنین برنامه‌هایی عمل می‌کند.

ضرورت استفاده از ایزو ۱۳۵۶۹

شیوه‌های کسب‎وکار مالی با معرفی کامپیوتر و فناوری‌های مبتنی بر شبکه تغییر کرده است. افزایش اتکا به تراکنش‌های الکترونیکی نیاز به مدیریت امنیت فناوری اطلاعات و ارتباطات را تشدید کرده است. مبالغ هنگفتی در وجوه و اوراق بهادار روزانه توسط مکانیسم‌های ارتباط الکترونیکی که توسط شیوه‌های امنیتی بر اساس سیاست‌های تجاری کنترل می‌شود، منتقل می‌شود.

ارزش بالا و حجم چنین معاملاتی در یک محیط باز و متصل، صنعت مالی را در معرض پیامدهای بالقوه شدید قرار می‌دهد. شبکه‌های به‌هم‌پیوسته و افزایش تعداد و پیچیدگی دشمنان مخرب، این خطر را با پتانسیل تأثیرگذاری بر بانک‌ها و مشتریان آن‌ها تشدید می‌کند. و هنگامی که تراکنش‌های مالی شامل سیستم‌های پرداخت مهم سیستمی می‌شود، این عواقب ممکن است بر بازارهای مالی ملی و جهانی تأثیر منفی بگذارد.

ضرورت گسترش عملیات تجاری در این محیط‌ها و مدیریت ریسک، نیازمند یک برنامه امنیت اطلاعات سازمانی قوی و موثر است. مؤسسات مالی باید این برنامه‌ها را به شیوه‌ای جامع مدیریت کنند، همانطور که ریسک را از طریق رویه‌ها و توافق‌های تجاری تثبیت‌شده، برون‌سپاری دقیق وظایف، بیمه و استفاده از کنترل‌های امنیتی مناسب مدیریت می‌کنند. همچنین آن‌ها باید برنامه‌های امنیتی خود را برای رسیدگی به خطرات و الزامات در حال تغییر تحمیل شده توسط محیط قانونی و نظارتی ملی و بین‌المللی در حال توسعه طراحی کنند.

خطرات عدم استفاده از ایزو ۱۳۵۶۹

همانطور که توافقنامه بازل به ما هشدار می‌دهد، ریسک‌های عملیاتی، قانونی و نظارتی می‌توانند خطرات اعتباری و نقدینگی را ایجاد یا تشدید کنند. مدیریت این خطرات در برنامه امنیت اطلاعات یک مؤسسه مالی به مرکزیت تبدیل شده است. هر موسسه باید این ریسک ها را بر حسب فعالیت‌های تجاری خود تفسیر کند تا میزان مواجهه خود را درک کند. خطرات عملیاتی، از جمله تقلب و فعالیت‌های مجرمانه، بلایای طبیعی و اقدامات تروریستی باید به دقت مورد توجه قرار گیرد. رویدادهای با احتمال کم، مانند سونامی که در دسامبر ۲۰۰۴ آسیا را درنورد و حملات تروریستی یازدهم سپتامبر ۲۰۰۱ به خدمات مالی در شهر نیویورک، اتفاق می‌افتد و باید برای آن برنامه‌ریزی شود.

این گزارش فنی برای استفاده توسط موسسات مالی در هر اندازه و انواعی که نیاز به استفاده از یک برنامه مدیریت امنیت اطلاعات محتاطانه و منطقی تجاری دارند در نظر گرفته شده است. همچنین راهنمایی‌های مفیدی به ارائه‌دهندگان خدمات به مؤسسات مالی می‌دهد و ممکن است به عنوان یک سند منبع برای مربیان و ناشران در خدمت صنعت مالی باشد.

اهداف ایزو ۱۳۵۶۹

اهداف این گزارش فنی عبارتند از:

• تعریف برنامه مدیریت امنیت اطلاعات؛
• ارائه خط‌مشی برنامه، سازماندهی و اجزای ساختاری لازم؛
• ارائه راهنمایی در مورد انتخاب کنترل‌های امنیتی که نشان دهنده رویه تجاری محتاطانه پذیرفته شده در برنامه‌های مالی است.
• اطلاع رسانی به مدیریت خدمات مالی از نیاز به رسیدگی سیستماتیک خطرات قانونی و نظارتی در برنامه مدیریت اطلاعات امنیتی خود.

این گزارش فنی برای ارائه یک راه‌حل کلی برای همه مؤسسات خدمات مالی در نظر گرفته نشده است. تجزیه‌وتحلیل ریسک باید توسط هر سازمان انجام شود و اقدامات مناسب انتخاب شود. این گزارش فنی راهنمایی برای انجام آن فرآیند ارائه می‌دهد، نه راه‌حل‌های خاص.

مزایای پیاده‌سازی ISO

با اخذ گواهینامه‌های ایزو مزایا فراوانی را برای سازمان خود ایجاد می‌کنید. به برخی از این موارد اشاره می‌کنیم:

• افزایش اعتماد مشتری و مصرف کننده
• افزایش کیفیت محصولات/خدمات
• کاهش ضایعات و تلفات در محصولات/خدمات و در نهایت کاهش هزینه ها
• صرفه جویی در مصرف مواد و افزایش سود
• برنامه ریزی، اجرای امور در قالب یک نظام بین المللی از پیش تعریف شده
• بهبود عملکرد، افزایش بهره وری و سرعت در امور
• کسب امتیاز در مناقصات، اخذ رتبه و رتبه از سازمان های دولتی، ارائه مدرک در صادرات
• استفاده از تبلیغات در هدرها، سایت شرکت و کلیه امور تبلیغاتی

اخذ گواهینامه ایزو معتبر

خدمات ایزوسیستم نیز در زمینه‌ی مشاوره، پیاده‌سازی و اخذ ایزو برای مشاغل مختلف است که منتج به گرفتن ایزو و دریافت ایزو معتبر خواهد شد. برای کسب اطلاعات بیشتر درباره‌ی انواع گواهینامه ایزو می‌توانید از طریق شماره‌های ۳۳۴۴۴۸۱۴-۰۲۳ و ۳۳۴۴۴۸۱۳-۰۲۳ با ما در تماس باشید یا از طریق تکمیل فرم اخذ ایزو کارشناسان ما با شما تماس خواهند گرفت.

این مقاله به صورت اختصاصی توسط تیم فنی ایزوسیستم آماده شده است، هرگونه بهره برداری بدون ذکر نام و آدرس منبع شرعا و قانونا ممنوع می باشد.