ایزو ۱۳۵۶۹ ویژه خدمات مالی و دستورالعملهای امنیت اطلاعات
ایزو ۱۳۵۶۹ دستورالعملهایی را در مورد توسعه یک برنامه امنیت اطلاعات برای مؤسسات، در صنعت خدمات مالی ارائه میدهد. این استاندارد سیاستهای سازمان و اجزای ساختاری، قانونی و نظارتی چنین برنامهای را بررسی میکند و ملاحظاتی را برای اجرای کنترلهای امنیتی، و عناصر مورد نیاز برای مدیریت ریسک امنیت اطلاعات در یک موسسه خدمات مالی مورد بحث قرار میدهد.
این استاندارد توصیههایی را ارائه میدهد که بر اساس در نظر گرفتن محیط کسبوکار و رویههای مؤسسات است. همچنین بحثی درباره مسائل مربوط به انطباق قانونی و مقرراتی را بیان میکند که در طراحی و اجرای برنامهها مورد توجه قرار میدهیم.
فهرست مطالب
تاریخچه ایزو 13569
ایزو ۱۳۵۶۹ تحت عنوان سیستم مدیریت خدمات مالی به توسعهدهندگان نرمافزار، شرکتها و ادارات دولتی کمک میکند. رشد سریع تعداد و ماهیت تراکنشهای مالی از دهه ۱۹۹۰ باعث افزایش مقیاس و تحریف اعداد در صنعت مالی میشود که با اجرای استاندارد ایزو ۱۳۵۶۹، میتوانیم به یک سیستم مالی پایدار در مجموعهها برسیم.
کمیته فنی ISO/TC 68 (خدمات مالی) و کمیته فرعی SC 2 (مدیریت امنیت و عملیات عمومی بانکی) این استاندارد را تدوین کردند. این نسخه را با بازنگری از نظر فنی، جایگزین نسخه دوم (ISO/TR 13569:1997) کردند.
اصول اولیه ایزو 13569
اصول اولیه این استاندارد را میتوانیم به شکل زیر خلاصه کنیم:
موضوع: دستورالعملهای اجرا و ارزیابی سیاستهای امنیت اطلاعات در موسسات خدمات مالی را پوشش میدهد.
دامنه کاربرد: بر تعهدات امنیت اطلاعات شامل جنبههایی از امنیت اطلاعات و شبکه در شیوه های مالی RM/RA تمرکز دارد.
بخشهای تحت تأثیر: این استاندارد را به طور خاص برای مؤسسات مالی تدوین کردهاند.
مقررات مربوطه: استاندارد رایگان نیست و مفاد آن در دسترس عموم قرار ندادند. به همین دلیل نمیتوانیم احکام خاصی را نقل کنیم.
ارتباط RM/RA: این استاندارد دستورالعملی است که معمولاً به آن ارجاع میشود و به عنوان منبعی برای اجرای برنامههای مدیریت امنیت اطلاعات در مؤسسات بخش مالی و به عنوان معیاری برای حسابرسی چنین برنامههایی عمل میکند.
ضرورت استفاده از ایزو 13569
شیوههای کسبوکار مالی با معرفی کامپیوتر و فناوریهای مبتنی بر شبکه تغییر کرده است. افزایش اتکا به تراکنشهای الکترونیکی نیاز به مدیریت امنیت فناوری اطلاعات و ارتباطات را تشدید کرده است. مبالغ هنگفتی در وجوه و اوراق بهادار روزانه توسط مکانیسمهای ارتباط الکترونیکی که توسط شیوههای امنیتی بر اساس سیاستهای تجاری کنترل میشود، منتقل میشود.
ارزش بالا و حجم چنین معاملاتی در یک محیط باز و متصل، صنعت مالی را در معرض پیامدهای بالقوه شدید قرار میدهد. شبکههای بههمپیوسته و افزایش تعداد و پیچیدگی دشمنان مخرب، این خطر را با پتانسیل تأثیرگذاری بر بانکها و مشتریان آنها تشدید میکند. و هنگامی که تراکنشهای مالی شامل سیستمهای پرداخت مهم سیستمی میشود، این عواقب ممکن است بر بازارهای مالی ملی و جهانی تأثیر منفی بگذارد.
ضرورت گسترش عملیات تجاری در این محیطها و مدیریت ریسک، نیازمند یک برنامه امنیت اطلاعات سازمانی قوی و موثر است. مؤسسات مالی باید این برنامهها را به شیوهای جامع مدیریت کنند، همانطور که ریسک را از طریق رویهها و توافقهای تجاری تثبیتشده، برونسپاری دقیق وظایف، بیمه و استفاده از کنترلهای امنیتی مناسب مدیریت میکنند. همچنین آنها باید برنامههای امنیتی خود را برای رسیدگی به خطرات و الزامات در حال تغییر تحمیل شده توسط محیط قانونی و نظارتی ملی و بینالمللی در حال توسعه طراحی کنند.
خطرات عدم استفاده از ایزو 13569
همانطور که توافقنامه بازل به ما هشدار میدهد، ریسکهای عملیاتی، قانونی و نظارتی میتوانند خطرات اعتباری و نقدینگی را ایجاد یا تشدید کنند. مدیریت این خطرات در برنامه امنیت اطلاعات یک مؤسسه مالی به مرکزیت تبدیل شده است. هر موسسه باید این ریسک ها را بر حسب فعالیتهای تجاری خود تفسیر کند تا میزان مواجهه خود را درک کند. خطرات عملیاتی، از جمله تقلب و فعالیتهای مجرمانه، بلایای طبیعی و اقدامات تروریستی باید به دقت مورد توجه قرار گیرد. رویدادهای با احتمال کم، مانند سونامی که در دسامبر ۲۰۰۴ آسیا را درنورد و حملات تروریستی یازدهم سپتامبر ۲۰۰۱ به خدمات مالی در شهر نیویورک، اتفاق میافتد و باید برای آن برنامهریزی شود.
این گزارش فنی برای استفاده توسط موسسات مالی در هر اندازه و انواعی که نیاز به استفاده از یک برنامه مدیریت امنیت اطلاعات محتاطانه و منطقی تجاری دارند در نظر گرفته شده است. همچنین راهنماییهای مفیدی به ارائهدهندگان خدمات به مؤسسات مالی میدهد و ممکن است به عنوان یک سند منبع برای مربیان و ناشران در خدمت صنعت مالی باشد.
اهداف ایزو 13569
اهداف این گزارش فنی عبارتند از:
تعریف برنامه مدیریت امنیت اطلاعات؛
ارائه خطمشی برنامه، سازماندهی و اجزای ساختاری لازم؛
ارائه راهنمایی در مورد انتخاب کنترلهای امنیتی که نشان دهنده رویه تجاری محتاطانه پذیرفته شده در برنامههای مالی است.
اطلاع رسانی به مدیریت خدمات مالی از نیاز به رسیدگی سیستماتیک خطرات قانونی و نظارتی در برنامه مدیریت اطلاعات امنیتی خود.
این گزارش فنی برای ارائه یک راهحل کلی برای همه مؤسسات خدمات مالی در نظر گرفته نشده است. تجزیهوتحلیل ریسک باید توسط هر سازمان انجام شود و اقدامات مناسب انتخاب شود. این گزارش فنی راهنمایی برای انجام آن فرآیند ارائه میدهد، نه راهحلهای خاص.
مزایای پیادهسازی ISO
با اخذ گواهینامههای ایزو مزایا فراوانی را برای سازمان خود ایجاد میکنید. به برخی از این موارد اشاره میکنیم:
- افزایش اعتماد مشتری و مصرف کننده
- افزایش کیفیت محصولات/خدمات
- کاهش ضایعات و تلفات در محصولات/خدمات و در نهایت کاهش هزینه ها
- صرفه جویی در مصرف مواد و افزایش سود
- برنامه ریزی، اجرای امور در قالب یک نظام بین المللی از پیش تعریف شده
- بهبود عملکرد، افزایش بهره وری و سرعت در امور
- کسب امتیاز در مناقصات، اخذ رتبه و رتبه از سازمان های دولتی، ارائه مدرک در صادرات
- استفاده از تبلیغات در هدرها، سایت شرکت و کلیه امور تبلیغاتی
اخذ گواهینامه ایزو معتبر
خدمات ایزوسیستم نیز در زمینهی مشاوره، پیادهسازی و اخذ ایزو برای مشاغل مختلف است که منتج به گرفتن ایزو و دریافت ایزو معتبر خواهد شد. برای کسب اطلاعات بیشتر دربارهی انواع گواهینامه ایزو میتوانید از طریق شمارههای ۳۳۴۴۴۸۱۴-۰۲۳ و ۳۳۴۴۴۸۱۳-۰۲۳ با ما در تماس باشید یا از طریق تکمیل فرم اخذ ایزو کارشناسان ما با شما تماس خواهند گرفت.
این مقاله به صورت اختصاصی توسط تیم فنی ایزوسیستم آماده شده است، هرگونه بهره برداری بدون ذکر نام و آدرس منبع شرعا و قانونا ممنوع می باشد.
ایزوسیستم برترین مرکز صدور مدارک بین المللی ایزو و دارنده مجوز سازمان صنعت، معدن و تجارت می باشد.
هشدار: مراقب نیش مراکز بدون مجوز رسمی در حوزه ی خدمات مشاوره و صدور گواهینامه های ایزو باشید!
اولین نفری باشید که دیدگاه خود را ثبت می کنید